Bei einem Stillstand der internen IT oder einem Cyber-Angriff sind nicht nur private Unternehmen im Visier der Angreifer. Kritische Einrichtungen gelten als besonders gefährdet, da durch einen Ausfall oder eben einer Attacke aus dem Internet großer Schaden angerichtet werden kann. Und dieser wirkt sich in der Regel auch unmittelbar auf die Bevölkerung aus. Denn dann sind nicht nur die Betreiber in Mitleidenschaft gezogen worden, sondern unter Umständen auch mehrere Hunderttausend oder im schlimmsten Fall sogar Millionen von Einwohnern betroffen. Dabei können sich auch erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen ergeben. Daher besitzen kritische Infrastrukturen ein besonders hohes Schadenspotenzial für die Gesellschaft.
Damit in der heutigen Zeit, wo Cyber-Attacken zum Alltag in der IT gehören, müssen sich insbesondere solche kritischen Einrichtungen möglichst gut vor diesen Angriffen und sonstigen Gefahren schützen. Den gesetzlichen Rahmen schafft das BSI hierfür mit den KRITIS-Bestimmungen.
Was sind kritische Infrastrukturen?
Seit dem 28. Mai 2021 ist das IT-Sicherheitsgesetz 2.0 in Kraft. Das Bundesamt für Sicherheit in der Informationstechnik verpflichtet in diesem Gesetz Betreiber kritischer Infrastrukturen sowie künftig auch weitere Unternehmen im besonderen öffentlichen Interesse, IT-Sicherheitsmaßnahmen nach dem Stand der Technik umsetzen. Das Ziel des BSI ist es, Sicherheitslücken in IT-Systemen jederzeit schnellstmöglich zu schließen.
Kritische Einrichtungen bzw. Infrastrukturen sind nach der KRITIS-Strategie aus dem Jahr 2009 in folgende neun Sektoren eingeteilt.
- Energie
- Informationstechnik und Telekommunikation
- Transport und Verkehr
- Gesundheit
- Wasser (Trink- und Abwasser)
- Ernährung
- Finanz- und Versicherungswesen
- Staat und Verwaltung
- Medien und Kultur
Kritische Infrastrukturen (alle genannten Sektoren außer Staat und Verwaltung sowie Medien und Kultur) sind genauso Angriffsziele für Cyber-Attacken wie auch andere Unternehmen. Sie besitzen jedoch ein besonders hohes Schadenspotenzial in Bezug auf die Gesellschaft. Die Absicherung der IT-Systeme, die von KRITIS-Betreibern eingesetzt werden, ist hochkomplex. Erschwerend kommt hinzu, dass die Systeme der Informationsinfrastruktur zum Teil einen langen Lebenszyklus haben und häufig nicht oder nicht zeitnah mit Sicherheitsupdates versorgt werden können.
Ab wann eine Infrastruktur als kritische Einrichtung zählt, wird von einem Schwellenwert (Anzahl der zu versorgenden Personen) festgelegt.
Da sich gerade solche spezifischen Bestimmungen und Definitionen gerne ändern können, verweisen wir an dieser Stelle auch direkt an die Informationsseite des BSI zu diesem Thema: https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-FAQ/FAQ-BSI-KritisV/faq_kritisv_node.html
Branchenspezifische Sicherheitsstandards (B3S)
Das Thema KRITIS geht in einigen Bereichen natürlich nicht in die Tiefe, wenn es um branchenspezifische Anforderungen geht, die nur für bestimmte Bereiche anwendbar sind.
So sind spezielle Maßnahmen, die zum Beispiel der sicheren Verwahrung von Patientendaten und -akten nötig sind, für ein Energieversorgungsunternehmen nicht nötig. Ebenso wenig wird sich im umgekehrten Fall ein ein Krankenhaus mit den spezifischen Sicherheitsmaßnahmen des Transport- und Verkehrswesens auseinandersetzen.
Die vollständigen Informationen hier zu publizieren, ist aus rechtlichen Gründen nicht möglich. Auch würde es den Umfang dieses Artikels einfach sprengen. Um sich dennoch einen geeigneten Überblick zu verschaffen, stellen wir hier die offiziellen Informationen vom Bundesamt für Sicherheit und Informationstechnik (BSI) und Deutsche Krankenhausgesellschaft (DKG) zur Verfügung.
Ein Blick auf die Maßnahmen im Krankenhaussektor
Das BSI-Gesetz schreibt eine Reihe von Maßnahmen zur Verbesserung der IT-Sicherheit in Deutschland vor. Betreiber kritischer Infrastrukturen haben gemäß § 8a BSI-Gesetz u. a. „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der VERFÜGBARKEIT, INTEGRITÄT, AUTHENTIZITÄT und VERTRAULICHKEIT ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.
Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Infrastruktur steht.“ Die Aufrechterhaltung des im jeweiligen Krankenhaus etablierten Versorgungsniveaus steht im Mittelpunkt der Betrachtung. Dieses kann abhängig vom Versorgungsauftrag, der jeweils verfügbaren Ressourcen sowie weiteren Einflussfaktoren unterschiedlich ausgeprägt sein.
Deutsche Krankenhausgesellschaft (DKG) – Informationssicherheit im Krankenhaus:
Der Preis der Digitalisierung
Es wird digitaler. Alles rund um uns herum wird zunehmend digitalisiert. Dokumente, Informationen und vor allem auch persönliche Daten werden von Unternehmen und Organisationen nicht mehr in dicken Aktenordnern abgelegt, sondern der digitalen Verarbeitung am Computer zugeführt. Das gibt es schon lange. Aktuell und im Vergleich dazu relativ neu sind die ständigen Bedrohungen, die vor allem durch das Internet ständiger Begleiter des digitalen Alltags geworden ist.
Wie in allen Bereichen des Lebens werden Gefahren gerne so lange ignoriert, bis man selbst davon betroffen ist. Das ist in der Welt der IT genauso wie beim Wandern oder Autofahren. Nicht jedem sind dabei die längst harsch an der Tür klopfenden Gefahren bewusst. In der IT-Welt reicht es eben schon, wenn die Gerätschaften oder das IT-Netzwerk mit dem Internet verbunden ist.
Der Mut zur Gefahr entsteht in der IT oft aus mehreren Gründen. Zum einen sind Sicherheitsvorkehrungen teuer. Das kann richtig auf das meist schon hart erkämpfte IT-Budget drücken. Ist dann auf Entscheidungsebene kein Bewusstsein oder Verständnis für die aktuellen Bedrohungen aus dem Internet vorhanden, kann das aufwändig ausgearbeitete Sicherheitskonzept schnell am Sanctus des Vorgesetzten scheitern. Zum anderen ändern sich die Arten der Bedrohungen derart schnell, dass auch alteingesessene IT-Administratoren nicht mehr ständig auf dem neuesten Stand bleiben. Vor allem, wenn das Netzwerk sich seit geraumer Zeit nicht großartig verändert hat und „damals“ ein adäquater Sicherheitsstandard eingeführt wurde. Wie bereits gesagt: Die Gefahren und Bedrohungen speziell aus dem oder im Internet ändern sich nahezu täglich.
Für wen ist das IT-Sicherheitsgesetz gültig?
Verpflichtend sind die Paragrafen des BSI IT-Sicherheitsgesetzes für Kritische Infrastrukturen, deren Versorgung der Bevölkerung einen gewissen Schwellenwert übersteigt.
Sämtliche relevante Informationen zum Thema KRITIS findet man auf der Webseite des BSI.
Wie so oft ist die Umsetzung von Vorgaben zur IT-Sicherheit keine triviale Aufgabe. Vor allem wird die Einhaltung des BSI IT-Sicherheitsgesetzes mit einem Prüfungsnachweis gemäß §8a Abs. 3 BSIG (regelmäßige Audits) gefordert. Das bedeutet nicht nur, dass die Umsetzung durchzuführen ist, sondern dass auch in regelmäßigen Abständen die Überprüfung erneut durchzuführen ist. Dies wird in §8f Abs. 1 definiert, der besagt, dass mindestens alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit beim Bundesamt vorzulegen ist.
Umsetzung in der Praxis
Ähnlich wie bei anderen Unternehmen ist auch in den Bereichen der kritischen Einrichtungen die IT in den letzten Jahren stark gewachsen. Vom übersichtlichen, kleinen Netzwerk von damals wurde ein nahezu unüberschaubares Konstrukt geschaffen, das einer ständigen Veränderung unterliegt. Mit manuellen Mitteln ist dem nahezu nicht beizukommen. Darum setzen professionell geführte IT-Abteilung schon als Basis für jedwede Grundlage zur IT-Sicherheit auf eine genaue Dokumentation und eine Inventarisierung aller eingesetzten IT-Systeme.
Als ersten Schritt gilt es festzustellen, welche Geräte im eigenen IT-Netzwerk (und auch in den einzelnen Standorten) im Einsatz sind. Nur mit diesen Informationen ist überhaupt erst eine lückenlose IT-Sicherheit möglich.
Verwendet die IT-Abteilung hierfür eine professionelle Dokumentationssoftware wie Docusnap, kann dies leicht mittels eines Berichts ausgelesen werden. Docusnap verfügt durch die automatische Inventarisierung immer über die aktuellsten Daten aller erreichbaren Geräte im Netzwerk. Dort werden nicht nur Geräteinformationen wie Name und IP-Adresse gespeichert, sondern auch die für die IT-Sicherheit wichtige Information der Software- und Patch-Stände oder etwa der eingesetzten Firmware. Denn nur so besteht die Möglichkeit, das eigene IT-Netzwerk mit all seinen Komponenten auf neue Versionen oder oder notwendige Patches zu überprüfen.
Wichtig bei der Umsetzung ist in jedem Fall eine umfassende Dokumentation. Dabei sind nicht nur die vorhandenen Geräte wichtig, sondern auch viele andere Aspekte rund um die IT. Dazu gehören die folgenden Punkte unweigerlich mit dazu:
- Inventarisierung
- Lizenzverwaltung
- Benutzerverwaltung
- Berichtserstellung
- Automatisierung
Basis zur Umsetzung mit Dokumentationssoftware
Basis für jede Umsetzung ist eine Bestandsaufnahme und lückenlose Dokumentation des IT-Netzwerkes.
- Aktualität
- Automation
- Lückenlos
- Zentrale Datenhaltung
- Leichter Zugriff von unterschiedlichen Personen
- Individuelle Anpassbarkeit zur Darstellung von Daten, Plänen und Listen
Erst, wenn alle relevanten Daten verfügbar sind, können auch Audits, wie im BSI-IT-Sicherheitsgesetz unter §8 gefordert werden, durchgeführt werden.
Wie kann Docusnap helfen
Mit Docusnap werden alle relevanten Informationen aus dem Netzwerk automatisch erfasst. Zusätzlich lassen sich eben auch andere wichtige Informationen manuell ergänzen. Damit sind nicht nur die Geräte in einer zentralen Datenbank hinterlegt, sondern können auch zum Beispiel die erforderlichen Lizenzen zugewiesen werden. Mit der professionellen Dokumentationssoftware wird zwar die Umsetzung des BSI Sicherheitsgesetzes auch nicht zum Kinderspiel. Es löst aber von vornherein grundlegenden Problemen bei der Beschaffung von Informationen über die eigenen IT-Anlagen. Ist die Basis bekannt, kann die Umsetzung nach dem BSI IT-Sicherheitsgesetztes begonnen werden.
Ebenso hilfreich ist Docusnap, wenn IT-Dienstleister die Verwaltung und den Aufbau der eigenen IT-Landschaft übernehmen sollen. Auch diese profitieren von den zentral gesammelten Daten, die einen schnellen Überblick über die eingesetzte IT verschafft.
Auch nach der Umsetzung nach dem BSI-IT-Sicherheitsgesetzes übernimmt Docusnap eine wichtige Aufgabe. Da sich mit der Zeit sowohl Strukturen als auch Gerätschaften in Netzwerken ändern, wird von Docusnap mittels eines automatischen Netzwerk-Scans die Datenbank stets mit den aktuellsten Daten gespeist. Das bedeutet vor allem für die wiederkehrenden Audits eine enorme Erleichterung, da diese relativ einfach in Berichtsform (oder als Excel-/Word-/PDF-Export) mit den aktuellen Daten generiert werden können.
Fazit
Stimmt das Fundament nicht, wird auch der Aufbau zu einem wackligen Konstrukt. Organisationen, die nach dem BSI IT-Sicherheitsgesetz gefordert sind, eine umfassende IT-Sicherheitsstrategie aufzubauen, benötigen eine solide Grundlage mit allen benötigten Informationen rund um die eigenen IT. Mit der passenden professionellen Dokumentationslösung Docusnap machen Sie sich und dem eigenen IT-Team das Leben sehr viel leichter. Und sicherer.