In Zeiten, in denen Unternehmen zunehmend von der Informationstechnologie abhängig sind, wird die Sicherheit von IT-Systemen und -Netzwerken immer wichtiger. Insbesondere für Betreiber von kritischen Infrastrukturen (KRITIS-Betreiber) ist eine sichere IT von entscheidender Bedeutung. Um diesen Sicherheitsbedarf zu decken, wurden in den letzten Jahren einige branchenspezifische Sicherheitsstandards (B3S) entwickelt und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) "freigegeben". Diese Standards setzen immer die Einführung eines Informationssicherheitsmanagementsystems (ISMS) voraus, welches auf einem anerkannten Standard wie z.B. der ISO 27001 oder IT-Grundschutz basiert bzw. daran angelehnt ist. Dieses ISMS wird dann durch die im B3S enthaltenen branchenspezifischen Maßnahmen ergänzt. Ein umgesetztes ISMS ist somit für KRITIS-Betreiber eine Grundvoraussetzung, um die Systeme der kritischen Dienstleistung (kDL) schützen und die B3S-Vorgaben vollständig erfüllen zu können. Eine Zertifizierung des ISMS ist hingegen (aktuell) nur im Bereich der Energiewirtschaft erforderlich.
Die ISMS-Einführung ist gemäß B3S eine Pflicht, seine Zertifizierung ist es hingegen (meist) nicht.
Ein ISMS ist ein Rahmenwerk, das die Planung, Umsetzung, Überwachung und ständige Verbesserung von Informationssicherheitsmaßnahmen umfasst. Es stellt einen systematischen Ansatz bereit, der sicherstellt, dass alle Sicherheitsmaßnahmen aufeinander abgestimmt sind und auf einer Risikobewertung basieren. Unternehmen, die ein ISMS implementiert haben, besitzen einen kontinuierlichen Verbesserungsprozess, um ihre IT-Sicherheit auf dem neuesten Stand zu halten. Dies umfasst auch die kontinuierliche Identifikation und Bewertung von Risiken, damit die Unternehmen rechtzeitig auf neue Bedrohungen reagieren können.
Wenn ein KRITIS-Betreiber kein ISMS implementiert und nur die im branchenspezifischen Sicherheitsstandard enthaltenen "zusätzlichen" Maßnahmen umsetzt, führt dies sowohl zu einer Nichterfüllung von Anforderungen, die vom BSI mit einem Bußgeld belegt werden kann, als auch zu dem Risiko, dass wichtige Aspekte der IT-Sicherheit übersehen werden können. Das Unternehmen kann dann zwar eine Reihe von Maßnahmen umsetzen, die es sicherer machen, aber es besteht die Gefahr, dass diese nicht aufeinander abgestimmt sind. Dies bedeutet, dass das Unternehmen immer noch anfällig für Bedrohungen sein kann, die nicht abgedeckt werden und somit die Aufrechterhaltung der kritischen Dienstleistung gefährden. Ein ISMS sorgt dafür, dass alle Maßnahmen aufeinander abgestimmt sind und dass alle Mitarbeiter im Unternehmen die Bedeutung der Informationssicherheit verstehen.
Haben Sie, als KRITIS-Betreiber, ein ISMS gemäß anerkanntem Standard implementiert?
Ja, auf Basis der ISO 27001
Ja, auf Basis vom IT-Grundschutz
Teilweise, einzelne Aspekte des Standards wurden umgesetzt
Nein, es wurden nur B3S-Anforderungen ohne ISMS umgesetzt
Die Konsequenzen einer unzureichenden IT-Sicherheit sind ernsthaft. Im Falle eines KRITIS-Sektors wie dem Gesundheitswesen kann ein Angriff auf die IT-Systeme zu einer unmittelbaren Gefahr von Leib und Leben der Patienten führen, wie der Todesfall nach dem Hackerangriff auf die Uni-Klinik in Düsseldorf gezeigt hat. Es kann zu einem Ausfall wichtiger Systeme kommen, die die Patientenversorgung und somit die kritische Dienstleistung beeinträchtigen. Es kann auch dazu führen, dass sensible Daten gestohlen oder verschlüsselt werden, was zu erheblichen Datenschutzverletzungen und möglicherweise sogar zu Identitätsdiebstahl führen kann. Solche Vorfälle können das Vertrauen der Patienten in das Gesundheitssystem beeinträchtigen und zu einem erheblichen Image-Schaden für das betroffene Unternehmen führen.
...
Zusammenfassend lässt sich sagen, dass die Umsetzung der im branchenspezifischen Sicherheitsstandard enthaltenen Maßnahmen, ein wichtiger erster Schritt für die KRITIS-Betreiber ist, um IT-Sicherheit zu gewährleisten. Allerdings ist dies nicht ausreichend, um alle Aspekte der IT-Sicherheit zu berücksichtigen. Ein ISMS ist für Unternehmen, die KRITIS betreiben, unerlässlich, um ein umfassendes Sicherheitskonzept zu gewährleisten und alle vorgeschriebenen Anforderungen umsetzen zu können. Denn nur die Unternehmen, die ein ISMS vollständig implementieren, können sicherstellen, dass alle Sicherheitsmaßnahmen aufeinander abgestimmt sind und dass alle Mitarbeiter im Unternehmen die Bedeutung von Informationssicherheit verstehen. Die Konsequenzen einer unzureichenden IT-Sicherheit können schwerwiegend sein und zu erheblichen Schäden für das betroffene Unternehmen sowie für die Gesellschaft führen.