Zertifizierungen im Kontext KRITIScher Infrastrukturen
- PDF / 333,649 Bytes
- 4 Pages / 595.276 x 790.866 pts Page_size
- 81 Downloads / 203 Views
Manuel Atug
Zertifizierungen im Kontext KRITIScher Infrastrukturen Vorgaben und Möglichkeiten für KRITIS-Betreiber Der nachfolgende Artikel geht auf die von KRITIS-Betreibern geforderten Nachweiserbringungen nach § 8a BSI-Gesetz (BSIG) ein. Dabei wird auch thematisiert, welche Informationen in diesem Zusammenhang mit welchen weiteren Behörden geteilt werden müssen und ob Zertifizierungen zur Nachweiserbringung ggf. ein besseres Instrument darstellen würden. 1 Einleitung
Abbildung 1 | Darstellung der Schritte des Meldeprozesses nach § 8b Abs. 4 BSIG.
Als Ausgangspunkt der Überlegungen in den weiteren Abschnitten werden nun zunächst die grundlegenden Anforderungen an die Betreiber kritischer Infrastrukturen (kurz: KRITIS-Betreiber) dargestellt.
1.1 Anforderungen an KRITIS-Betreiber In § 8b Abs. 3 BSIG ist geregelt, dass KRITISBetreiber beim Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Kontaktstelle für die betriebene kritische Infrastruktur benennen müssen, die jederzeit erreichbar sein muss; dies ist für KRITIS-Betreiber sicher einer der offensichtlichsten Schritte. Nach § 8b Abs. 4 BSIG haben KRITIS-Betreiber zudem folgende Störungen unverzüglich über die Kontaktstelle an das BSI zu melden: „Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben“ sowie
Manuel Atug leitet ehrenamtlich die unabhängige Arbeitsgruppe AG KRITIS, die sich dem Schutz kritischer Infrastrukturen verschrieben hat. Bei der HiSolutions AG unterstützt er als Senior Manager Betreiber von Kritischen Infrastrukturen bei der Umsetzung der Anforderung aus dem BSI-Gesetz (BSIG) und der zugehörigen Kritisverordnung (BSI-KritisV). E-Mail: [email protected] 668
„erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können“. Die verschiedenen Schritte dieses Meldeprozesses sind in Abbildung 1 nochmals zusammenfassend grafisch dargestellt. Dabei muss die Meldung „Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur erbrachten kritischen Dienstleistung und zu den Auswirkungen der Störung auf diese Dienstleistung“ beinhalten. Der KRITIS-Betreiber ist aber nur dann namentlich zu benennen, wenn „die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur“ geführt hat; anderenfalls reicht auch eine pseudonyme Meldung, wozu allerdings die Existenz einer „gemeinsame übergeordnete Ansprech
Data Loading...
