Nicht jedes KRITIS-Unternehmen verfügt über einen internen ISB – sei es aus personellen oder aus fachlichen Gründen. Unterstützung ist aber oft dringend erforderlich. Hier kann ein externer ISB helfen und die anfallenden Aufgaben übernehmen. Manchmal ist dieser dabei jedoch auf die Mitarbeitenden des KRITIS-Unternehmens angewiesen. Welche Aufgaben ein externer ISB in einem KRITIS-Unternehmen erledigen kann und wo das Unternehmen selbst agieren muss, zeigt dieser Artikel.
Der Inhalt im Überblick
Aufgaben für den externen ISB
Typischerweise exisitiert in Unternehmen – insbesondere in KRITIS-Unternehmen – ein Managementsystem zur Wahrung des sicheren Betriebs der Anlagen und der Einhaltung der Informationssicherheitsanforderungen. Wenn das Unternehmen keinen internen ISB hat, kann auch ein externer ISB slle Elemente dieses Managementsystems überwachen und pflegen. Hier ist der externe ISB allerdings auf eine umfassende Unterstützung durch die Mitarbeiter des KRITIS-Betreibers angewiesen, um gemeinsam im ISMS-Team dafür zu sorgen, dass diese Anforderungen im Unternehmen dann auch richtig erfüllt werden. Ein intern benannter Informationssicherheitskoordinator (ISK) erleichtert dem ISB den Einblick in die internen Verfahren im Unternehmen.
In den ISMS-Dokumenten und den ISMS-Prozess ergänzenden Unterlagen ist dann eine regelmäßige Anpassung durchzuführen.
Unterstützende Mitarbeit bei Austausch zwischen KRITIS-Betreiber und BSI
Beim Informationsaustausch zwischen dem KRITIS-Betreiber und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) kann der externe ISB unterstützende mitarbeiten, allerdings mit gewissen Einschränkungen:
- Die Meldung von Sicherheitsvorfällen hat nach den von der Aufsichtsbehörde vorgegebenen Verfahren und in den zwingend einzuhaltenden Fristen erfolgen. Besonders bei der Erstmeldung, die zeitnah durchzuführen ist kann es sein, dass es nicht möglich ist, den externen ISB innerhalb dieser vorgegeben Zeit zu kontaktieren. Dann ist die Erstmeldung bei einem meldepflichtigen Sicherheitsvorfall ohne Unterstützung durch den externen ISB durchzuführen.
- Durch die Beschränkungen des TLP ist dem externen ISB der Zugang zu Sicherheitsinformationen nur eingeschränkt möglich. Somit ist seine Mitwirkung an der passgenauen Bedrohungsanalyse (strategisch, taktisch, operativ) nur bedingt möglich, da er ggf. nicht über alle relevanten Informationen verfügt. Das Erstellen der Bedrohungsanalyse hat somit unter Mitwirkung der Mitarbeiter zu erfolgen, die den Zugang zu allen relevanten Informationen verfügen.
- Da ein Bestandteil des Dialogs zwischen dem BSI und dem KRITS-Betreiber auch Informationen zu veränderten oder zusätzliche zu erfüllenden Anforderungen sind, erfahren diese dann nur die Mitarbeiter des KRITS-Betreibers. Diese sollten den externen ISB frühzeitig dazu in Kenntnis setzen, damit im ISMS gemeinsam daran gearbeitet werden kann.
Verbindliche Vorgaben für die Branche
Grundsätzlich wird das ISMS im KRTIS-Bereich auf der ISO27001 und den Regeln des IT-Grundschutzes vom BSI basieren. Dies sind die bekannten Normen und Regeln, die ein ISB immer beherrscht.
Die Vertreter des jeweiligen Branchenverbands erarbeiten einen sogenannten Branchenstand zur anforderungsgemäßen Umsetzung der gesetzlichen Vorgaben, den der KRITIS-Betreiber im Regelfall für die ordnungsgemäße Nachweisführung anwenden wird (B3S). In diese Vorschriften muss der externe ISB sich im Einzelfall einarbeiten, vor allem deshalb, weil diese nicht immer frei verfügbar sind.
Der Branchenstandard wird beim BSI einer Eignungsfeststellungsprüfung unterzogen und danach die geeignete Version des Standards für zwei oder drei Jahre zur Anwendung freigegeben.
Zugriff auf ergänzende Dokumente
Der KRITIS-Betreiber hat durch seine Mitgliedschaft beim jeweiligen Branchenverband Zugriff auf ergänzende Dokumente und Verfahren zu Branchenstandards, die durch ihn zu beachten sind:
- Der Branchenstand selbst, mit allen Verweisen auf die zusätzlich gültigen Normen für die Branche und weiteren Regeln, die anzuwenden und einzuhalten sind. Dadurch wird sichergestellt, dass die kritischen Anlagen anforderungsgemäß entsprechend dem Stand der Technik betrieben werden.
- Der Zugriff auf Verfahren, wie etwa IT- oder OT-Leitfäden mit ergänzenden Tools, die sicherstellen, dass die Anwendungsfälle und Anforderungen der Branche für die kritischen Anlagen richtig und vollständig erfasst werden.
Unterstützung bei Auditplanung und Zertifizierung
Mit den Verfahren, die zwischen der Zertifizierungsstelle, den durch diese beauftragten Auditoren und dem KRITIS-Betreiber ablaufen, ist jeder ISB vertraut, da sie auf normativen Vorgaben beruhen.
Mit der Zertifizierungsstelle hat der KRITIS-Betreiber alle Abläufe zu dem erforderlichen Audit für den Nachweis gegenüber dem BSI und die anderen Normen, wie etwa der ISO 27001 oder der ISO 27019, abzustimmen.
Für die Beauftragung und rechtzeitige Durchführung der jeweiligen erforderlichen Audits haben die dafür verantwortlichen Mitarbeiter beim KRITIS-Betreiber zu sorgen:
- Die Auswahl einer DAkkS (Deutsche Akkreditierungsstelle) akkreditierten Zertifizierungsunternehmens das auch über entsprechend qualifizierte Auditoren für die geforderten Audits und Nachweise verfügt.
- Die terminliche und inhaltliche Abstimmung der durchzuführenden Audits, so dass die Audits in den erforderlichen Zeiträumen durchgeführt werden und auch die für einen Nachweis bei der Aufsichtsbehörde einzuhaltenden Fristen berücksichtigt sind.
Diese Informationen sind dann rechtzeitig an den externen ISB weiterzugeben und die notwendigen Abstimmungen dazu mit ihm zu treffen. Er wird mit dem ISMS-Team die Vorbereitungen zu diesen Audits sorgfältig durchführen, um den erforderlichen Erfolg zu erzielen.
Dieser Artikel ist Teil 2 der Serie „KRITIS mal anders“
In unserer Artikelreihe „KRITIS mal anders“ gehen wir auf die gesetzlichen Anforderungen für KRITIS-Unternehmen ein und den Wechsel vom internen zum externen Informationssicherheitsbeauftragten (ISB).
Die anderen Teile finden Sie hier:
