KRITIS Prüfung: Nutzen Sie Ihre ISO 27001 Zertifizierung als Nachweis für §8a Absatz 3 BSIG

Leider ist eine ISO 27001 Zertifizierung nicht automatisch ausreichend, um als Nachweis für §8a Absatz 3 BSIG dienen zu können. Zum Glück bietet die Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (Version 1.0 vom 15.05.2019, Linkdatum 09.09.2019) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in diesem Fall eine Unterstützung, um die Differenz identifizieren und schließen zu können:

"5.1.3.1 Verwendung von ISO 27001-Zertifikaten für Nachweise

Ein gültiges ISO 27001-Zertifikat ist als Bestandteil eines Nachweises gemäß §8a Absatz 3 BSIG verwendbar, sofern einige Rahmenbedingungen eingehalten werden. Dies gilt sowohl für native ISO 27001-Zertifikate als auch für ISO 27001-Zertifikate auf Basis von IT-Grundschutz. Bei einer ISO 27001-Zertifizierung ist nicht automatisch der gesamte, für den Nachweis nach §8a BSIG relevante Geltungsbereich erfasst. Der Geltungsbereich des Nachweises muss die Kritische Infrastruktur bzw. die kritische Dienstleistung (kDL) vollständig umfassen (Prozess-Sicht). Zudem ist der Informations-sicherheitsprozess bzgl. der kritischen Dienstleistung mit der „KRITIS-Brille“ zu betrachten. Die Vermeidung von Versorgungsengpässen in der kritischen Dienstleistung ist im Kontext von KRITIS von sehr hoher Bedeutung. Daher muss die kritische Dienstleistung mit dem Fokus der Vermeidung von Versorgungsengpässen der Bevölkerung betrachtet werden.

Im Folgenden wird allgemein auf die Rahmenbedingungen für die Verwendung von ISO 27001-Zertifikaten für Nachweise nach §8a Absatz 3 BSIG eingegangen:

1. Abgrenzung Geltungsbereich

Der Geltungsbereich muss die betriebenen Anlagen nach BSI-Kritisverordnung umfassen. Die Schnittstellen sind geeignet festzulegen.

2. Erweiterter Geltungsbereich

Der Geltungsbereich muss auf ausgelagerte Bereiche erweitert und eine umfassende Sicherheitsbetrachtung aus KRITIS-Sicht durchgeführt werden. Diese kann an ISO 27001 oder andere vergleichbare Vorgehensweisen angelehnt sein.

3. Berücksichtigung der KRITIS-Schutzziele

Das BSI-Gesetz fordert, für die betriebsrelevanten Teile der jeweiligen Anlagen dem Schutzbedarf entsprechende angemessene Maßnahmen zu ergreifen. Das Aufrechterhalten der Versorgungssicherheit der Bevölkerung muss das zentrale Anliegen bei der Informationssicherheitsrisikobehandlung sein. Die Anforderungen, die dabei an die Dienstleistungserbringung gestellt werden, werden auch als KRITIS-Schutzziele bezeichnet. Die KRITIS-Schutzziele der betriebsrelevanten Teile sind geeignet festzulegen. Die KRITIS-Schutzziele (z.B. die Verfügbarkeit der kritischen Dienstleistung) sind in die eigene Risikobetrachtung aufzunehmen und durchgängig in allen Prozessen und Maßnahmenumsetzungen zusätzlich zu betrachten („KRITIS-Brille“).

4. KRITIS-Schutzbedarf

Deshalb sind im Rahmen des Risikomanagements die Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität in Bezug auf die Aufrechterhaltung der kritischen Dienstleistung zu bewerten. Eine rein betriebswirtschaftliche Betrachtung ist in der Regel nicht ausreichend (siehe „Umgang mit Risiken“). Als Anhaltspunkt für das Ausmaß eines Risikos für die Allgemeinheit sollten die Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur und der kritischen Dienstleitung berücksichtigt werden. Dennoch ist zu berücksichtigen, dass der Aufwand zur Umsetzung der Maßnahmen in angemessenem Verhältnis zum Risikoausmaß für die Bevölkerung steht. Hinweis: §8a Absatz 1 BSIG verlangt „[...] Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit [...]“. Ein Risikomanagement unter Bewertung von Vertraulichkeit, Integrität und Verfügbarkeit, wie in ISO 27001 oder

IT-Grundschutz des BSI üblich, ist möglich, solange sichergestellt ist, dass Authentizität bei der Risikobewertung und Maßnahmenauswahl berücksichtigt wird.

5. Umgang mit Risiken

Eine rein betriebswirtschaftliche Betrachtung der Risiken und des Schutzbedarfs ist in der Regel nicht ausreichend. Es muss insbesondere das Ausmaß eines Risikos für die Allgemeinheit, d.h. die Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur und der kritischen Dienstleistung, berücksichtigt werden. Bei der Maßnahmenauswahl muss auf Angemessenheit geachtet werden, also die möglichen Folgen eines Ausfalls oder einer Beeinträchtigung für die Versorgung der Allgemeinheit im Verhältnis zum Aufwand der Sicherheitsvorkehrungen betrachtet werden.

• Risikoakzeptanz

  Risiken im Geltungsbereich dürfen gemäß §8a Absatz 1 BSIG nicht akzeptiert werden, sofern Sicherheitsvorkehrungen nach Stand der Technik möglich und angemessen sind. Erst für das dann noch verbleibende Restrisiko ist eine Risikoakzeptanz möglich.

  
  

• Versicherbarkeit der Risiken

  Ein Transfer der Risiken, z.B. durch Versicherungen, ist kein Ersatz für die Sicherheitsvorkehrungen gemäß §8a Absatz 1 BSIG. Auch bei Versicherung oder anderem Risikotransfer sind angemessene Sicherheitsvorkehrungen nach Stand der Technik vorzunehmen. Es steht dem KRITIS-Betreiber aber frei, sich zusätzlich zu versichern.

6. Maßnahmenumsetzung

Grundsätzlich sind alle für die Aufrechterhaltung der kritischen Dienstleistung erforderlichen Maßnahmen umzusetzen. Alle lediglich in Planung befindlichen Maßnahmen, beispielsweise im kontinuierlichen Verbesserungsprozess (KVP), im Umsetzungsplan oder im Risikobehandlungsplan, müssen in die Auflistung der Sicherheitsmängel gemäß §8a Absatz 3 BSIG aufgenommen werden. Zur Bewertung dieser Mängel sollten auch erklärende Dokumente wie die Mängelbewertung, KVP-Dokumentation und der Umsetzungsplan eingereicht werden." (siehe Quelle, Linkdatum 09.09.2019)

Erfahrung aus der Praxis

Neben den in der Orientierungshilfe zu Nachweisen genannten Punkte, haben sich weitere ergänzende Maßnahmen / Schwerpunkte als hilfreich zur Erfüllung der Anforderungen herausgestellt:

• All-Gefahren-Ansatz

  Berücksichtigung des All-Gefahren-Ansatzes samt der Schwachstellenkategorien, Bedrohungskategorien und Maßnahmenkategorien im Risikomanagement, wie in der Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß §8a (2) BSIG (Version 1.0 vom 01.12.2017, Linkdatum 09.09.2019) aufgeführt.

  
  

• Dienstleistersteuerung

  Vollständige Abdeckung aller an der kritischen Dienstleistung beteiligten Dienstleister, inklusive der sich durch die Dienstleister ergebenden Risiken.

  
  

• Interne Audits 

  Jährlich sollten die Anforderungen der ISO 27001 sowie die Vorgaben der Orientierungshilfe zu Nachweisen, als auch die in diesem Abschnitt genannten ergänzenden Maßnahmen intern bei den an der kDL beteiligten Standorten geprüft werden. Nachweise sollten dediziert pro Prüfpunkt erfasst (Dokument, Version, Datum, Kapitel, Seite, Abschnitt & Kommentar) und bewertet werden. Die Durchführung der internen Audits sollte durch eine Person erfolgen, die nachweislich unabhängig und qualifiziert ist. Die Qualifikation kann z.B. durch Schulungen und erfolgreich absolvierte Prüfungen zum ISO 27001 Lead Auditor mit zusätzlicher Prüfverfahrens-Kompetenz für §8a BSIG nachgewiesen werden. 

Henne-Ei-Problem: Neue Zertifizierung vs. bestehende Zertifizierung als Nachweis

Neue ISO 27001 Zertifizierung

Eine ISO 27001 Zertifizierung muss die zusätzlichen Anforderungen adäquat erfüllen. Dies nachträglich bei einer bestehenden Zertifizierung nachzuweisen kann eine Herausforderung darstellen, inbesondere wenn das Zertifizierungsaudit diese zusätzlichen Anforderungen nicht berücksichtigt und dementsprechend auch nicht dokumentiert hat. Aus diesem Grund empfiehlt es sich die zusätzlichen Anforderungen durch die Zertstelle bei der ISO 27001 Erst- bzw. Rezertifizierung berücksichtigen und die Auditzeit entsprechend erweitern zu lassen.

Bestehende ISO 27001 Zertifizierung

Bei einer bestehenden Zertifizierung können Sie die Umsetzung und Einhaltung der zusätzlichen Anforderungen durch ein externes Audit prüfen, dokumentieren und durch eine geeignete prüfende Stelle bestätigen lassen.