Seit geraumer Zeit sind das IT-Sicherheitsgesetz (ITSiG) sowie die dazugehörige KRITIS-Verordnung (KritisV) in Kraft und doch gibt es während der Prüfungen oft vermeidbare Überraschungen für die geprüften Betreiber.

Zum einen sind längst noch nicht alle branchenspezifischen Sicherheitsstandards (B3S) finalisiert worden und zum anderen besteht häufig der Irrglaube, dass eine bestehende ISO 27001 Zertifizierung ohne Berücksichtigung der Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (Version 1.0 vom 15.05.2019, Linkdatum 09.09.2019) als Nachweis ausreichend ist. Im Folgenden gehe ich auf diese beiden und weitere Punkte ein:

• Auch wenn kein B3S vorliegt, hat der Betreiber die gesetzlichen Fristen und Vorgaben einzuhalten.

• Eine ISO 27001 Zertifizierung sollte die Vorgaben der Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (Version 1.0 vom 15.05.2019, Linkdatum 09.09.2019) erfüllen, um als Nachweis dienen zu können. 

• Wenn der Betreiber sich für einen B3S entscheidet und als ISMS-Grundlage zum Beispiel die ISO 27001 wählt, dann umfasst die Prüfung das ISMS gemäß ISO 27001 sowie die branchenspezifischen Erweiterungen aus dem B3S.

• Es ist mehr Prüfzeit als bei einer ISO 27001 Zertifizierung erforderlich, da wie bereits erwähnt neben dem ISMS auch die branchenspezifischen Erweiterungen des B3S geprüft werden.

• Das bei KRITIS-Prüfungen zugrundelegende Prüfniveau sowie der damit verbundene Prüfumfang sind deutlich höher als bei einer ISO 27001 Zertifizierung, da die Bereitstellung und Aufrechterhaltung der kritischen Dienstleistung im Fokus der Prüfung stehen.

• Die KRITIS-Prüfung erfolgt gegen den Ist-Zustand des Umsetzungsgrades der Maßnahmen. 

• Der Auditor muss den Einsatz von Lösungen und Komponenten bemängeln, wenn diese schwerwiegende technische order konzeptionelle Schwachstellen aufweisen, die die Aufrechterhaltung der kritischen Dienstleistung erschweren oder gefährden könnten.

• Ein Transfer von Risiken, zum Beispiel durch Versicherungen, ist kein Ersatz für die Sicherheitsvorkehrungen gemäß § 8a Absatz 1 BSIG. Auch bei Versicherung oder anderem Risikotransfer sind angemessene Sicherheitsvorkehrungen nach Stand der Technik vorzunehmen. 

• Risiken im Geltungsbereich dürfen gemäß §8a Absatz 1 BSIG nicht akzeptiert werden, sofern Sicherheitsvorkehrungen nach Stand der Technik möglich und angemessen sind. Erst für das dann noch verbleibende Restrisiko ist eine Risikoakzeptanz möglich.

• Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

• Stand der Technik im Sinne des ITSiG ist "der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt. Bei der Bestimmung des Standes der Technik sind insbesondere einschlägige internationale, europäische und nationale Normen und Standards heranzuziehen, aber auch vergleichbare Verfahren, Einrichtungen und Betriebsweisen, die mit Erfolg in der Praxis erprobt wurden. Die Verpflichtung zur Berücksichtigung des Stands der Technik schließt die Möglichkeit zum Einsatz solcher Vorkehrungen nicht aus, die einen ebenso effektiven Schutz wie die anerkannten Vorkehrungen nach dem Stand der Technik bieten." Quelle: FAQ BSI (Linkdatum 11.11.2019)

• Der Entwurf eines zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0) aus dem April 2019, sieht eine Erhöhung der möglichen Bußgelder um den Faktor 200 vor.

• Die Bewertung erfolgt in der Regel gemäß den Bewertungskriterien der Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (Version 1.0 vom 15.05.2019, Linkdatum 09.09.2019) vom BSI, die vom Auditor bei Bedarf durch die Kategorien "Nicht anwendbar" und "Nicht geprüft" ergänzt werden: