ISO-27001-zertifizierte Informationssicherheit für KRITIS-Betreiber

KRITIS-Betreiber sind attraktive Ziele für Cyberangriffe. Falls ihre Sicherheit nicht den höchsten Standards entspricht, kann dies schwerwiegende Auswirkungen auf die Bevölkerung haben. Aus diesem und weiteren Gründen ist eine softwaregestützte Informationssicherheit, nachgewiesen etwa mit einer ISO-27001-Zertifizierung, für alle kritischen Infrastrukturen verpflichtend.

KRITIS steht für kritische Infrastrukturen. Bezeichnet werden damit „Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen“ (BBK). Kommt es in diesen Systemen zu einem Ausfall oder Störungen, wirkt sich dies auf die öffentliche Sicherheit aus oder führt zu Versorgungsengpässen.

Wer als KRITIS-Betreiber zählt, wird vom Bund festgelegt. Heute gehören Einrichtungen aus den folgenden Sektoren dazu: Energie, Ernährung, Finanz- & Versicherungswesen, Gesundheit, Informationstechnik (IT) und Telekommunikation (TK), Siedlungsabfallentsorgung, Medien & Kultur, Staat & Verwaltung sowie Transport & Verkehr. Jedoch spielt nicht nur die Branche eine Rolle, sondern auch die Größe und somit Bedeutung des Versorgers, denn damit einher gehen die Auswirkungen potenzieller Schadenfälle.

ISO/IEC 27001 ist die internationale Norm für Informationssicherheit in Unternehmen. Der ausgeschriebene Titel der aktuellen Version lautet „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen“. Sie bietet einen Rahmen für die Implementierung eines ISMS („Information Security Management System“).

Ziel dessen ist, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu garantieren. Wer den internationalen Standard einhält, kann sich im Rahmen eines Audits mit regelmäßigen Überwachungs- und Rezertifizierungsaudits zertifizieren lassen.

Ein Vorteil der Norm ISO/IEC 27001 ist, dass sie wenig exakte Vorgaben macht und sie sich dadurch an den Kontext (Größe, Art der Organisation, Branche …) jeder Organisation anpassen lässt. Sie kann also auch „durch die KRITIS-Brille betrachtet“ werden.

Weiterführende Informationen zur Norm im Zusammenhang mit Informationssicherheits-Managementsystemen lesen Sie hier.

Alle KRITIS-Betreiber müssen laut IT-SiG 2.0 (IT-Sicherheitsgesetz) ein Informationssicherheitsmanagementsystem verwenden: Gemäß § 8a BSIG sind sie verpflichtet, alle zwei Jahre nachzuweisen, dass ihre IT-Sicherheit auf dem [aktuellen] Stand der Technik ist. Seit dem 1. Mai 2023 sind außerdem Systeme zur Angriffserkennung vorgeschrieben. Die Einhaltung der Vorgaben kann beispielsweise durch ein ISO-27001-Zertifikat oder nach den Vorgaben des BSI-Grundschutzes nachgewiesen werden.

Die ISO-Zertifizierung ist demnach nicht zwingend vorgeschrieben. Jedoch ist sie für zu empfehlen – im Speziellen für die Schutzziele der kritischen Dienstleistung. Denn die Inhalte der ISO 27001 dienen als Best Practice für die Umsetzung eines funktionierenden ISMS. Zudem hat die ISO 27001 zu Recht zahlreiche inhaltliche Überschneidungen mit dem IT-Grundschutz-Kompendium, welches vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben wird. Die internationale Norm ist also auch Vorbild für die deutschen Regularien. Zusätzlich eignen sich die „Branchenspezifischen Sicherheitsstandards (B3S)“, um bei einem Audit die eigene Umsetzung sicherheitstechnischer Standards gegenüber dem BSI nachzuweisen.

Neben den vom Bund vorgegebenen Gesetzen gibt es zusätzlich eine EU-Richtlinie zur Stärkung von Cybersicherheit: die sektorübergreifende NIS2-Richtlinie. Sie ist für alle KRITIS-Betreiber europaweit verbindlich. Auch die NIS2-Richtlinine und die ISO-27001-Norm haben viele Überschneidungen. Doch die NIS2-Regeln werden in nationale Gesetze übertragen, während die ISO 27001 ein internationaler Standard ist, für den sich jede Institution freiwillig zertifizieren lassen kann.

Vieles spricht dafür, dass KRITIS-Organisationen sich nach ISO 27001 zertifizieren lassen. Dies sollte softwareunterstützt geschehen. Die wichtigsten Gründe sind:

• Cyberabwehr und Stärkung der IT-Sicherheit

Es liegt in der Natur der Sache: Jede Organisation, welche die ISO-27001-Norm einhält, erhöht damit ihre Datensicherheit und schützt sich vor Bedrohungen wie Datendiebstahl und Systemausfälle, indem entsprechende Risiken anhand konkreter Maßnahmen und Kontrollmechanismen reduziert werden. KRITIS-Organisation sind beliebte Ziele solcher Cyberattacken.

• Risikoeinschätzung

Wer sich mit dem internationalen Standard auseinandersetzt, muss alle denkbaren Risiken erfassen und deren Auswirkungen einschätzen. Dadurch werden bessere Maßnahmen erarbeitet und pro Störung ausgewählt. Die Schäden für die Bevölkerung durch beeinträchtige KRITIS-Betreiber werden bei einem solchen systematischen Vorgehen deutlich reduziert.

• Vertrauensaufbau

Durch das Zertifikat wird sichtbar, dass sich diese Einrichtung um ihre Informationssicherheit kümmert und sich selbst einen hohen Standard gesetzt hat. Die IEC/ISO-Normen sind vielen Personen bekannt. Sie erhöhen somit das Vertrauen in der Bevölkerung, die immerhin von den KRITIS-Betreibern abhängig ist.

• Compliance-Erfüllung

Eine Einhaltung der ISO-27001-Vorgaben hilft, Compliance-Erwartungen zu erfüllen. Das bedeutet, es ist leichter, Rechtskonformität bezüglich aller gestellten Anforderungen einzuhalten. Die ISO-Norm lässt sich auch als Basis für zukünftige Änderungen nutzen. Denn je mehr Komponenten bereits dokumentiert und zertifiziert sind, desto leichter werden Aktualisierungen, da ein grundsätzliches prozessbasiertes Verständnis bereits erarbeitet wurde.

• Kostensenkung

Im Prozess hin zur Zertifizierung werden alle Sicherheitsmaßnahmen optimiert und Verantwortlichkeiten geklärt. Risiken werden entsprechend ihrer Priorität behoben. Kommt es zu Störungen, wissen alle Beteiligten, was zu tun ist. Dies steigert indirekt die Effizienz und Produktivität in allen Arbeitsschritten zur IT-Sicherheit.

• Wettbewerbsvorteile

Die weltweit anerkannte ISO-Norm verschafft aufgrund gesetzlicher Nachweispflichten jedem KRITIS-Betreiber einen Wettbewerbsvorteil gegenüber nicht zertifizierten Konkurrenten. Sie bieten ihren Kunden und Geschäftspartnern mehr (Cyber-)Sicherheit und Zuverlässigkeit. Dies wird nicht nur qualitative Auswirkungen in der Zusammenarbeit haben, sondern auch quantitative: Kunden kommen vermehrt zu Ihnen und bringen somit mehr Absatz.

• Unterstützung durch Auditoren und Prüfer

Die ISO-27001-Zertifizierung kann nicht vom KRITIS-Betreiber allein durchgeführt werden. Ein externer Prüfer wird hinzugezogen. Dadurch erhält die Einrichtung einen Blick von außen, der blinde Flecken aufdecken kann. Bei relevanten Abweichungen muss nachgebessert werden.

• Versorgungsgarantie

ISO 27001 bedenkt in allen Punkten den Kontext der Organisation. Von Experten lassen sich die Richtlinien auf jedes Unternehmen anwenden. Dies erzeugt Handlungsflexibilität, damit eine durchgehende Versorgung der Bürger sichergestellt ist.

• Schutzziele

Gerade bei einem Neueinstieg in eine KRITIS-Branche oder bei der ersten Übertretung der Schwelle, die eine Infrastruktur kritisch für das Gemeinwesen macht, gibt ISO 27001 eine klare Übersicht an die Hand, worauf es bei IT-Sicherheit ankommt. Die Schutzziele der Informationssicherheit – Schutz vor Angriff, Vertraulichkeit, Integrität und Verfügbarkeit – sind abgedeckt.

• Internationalität

Das IT-Sicherheitsgesetz muss eingehalten werden, auch wenn Teile davon nicht in der ISO-Norm enthalten sind. Dazu gehört beispielsweise die Meldepflicht von Ausfällen gegenüber dem BSI. Doch mit der Norm ist internationale Zusammenarbeit leichter. Die Sicherheit sowie die Erkennung des Zertifikats gehen über Deutschland hinaus.

• Vorarbeit zur Gesetzeskonformität

Das Bundesamt für Sicherheit in der Informationstechnik sagt, dass ein ISO/IEC-27001-Zertifikat offiziell als Bestandteil des Nachweises gemäß § 8a Absatz 3 BSIG genutzt werde kann. Es ist jedoch nicht automatisch der gesamte relevante Geltungsbereich erfasst. Dieser muss von der kritischen Infrastruktur entsprechend festgesetzt werden.

KRITIS-Organisationen sollten sich daher näher mit der ISO-27001-Zertifizierung befassen und sie in die Tat umsetzen.

Kritische Infrastrukturen müssen eine Vielzahl von Gefahren auf dem Schirm haben. Ausfälle können ebenso durch menschliche Fehler oder Naturkatastrophen verursacht werden. Informationssicherheit sind jedoch ein maßgeblicher Teil davon.

Ein ISMS ist daher Pflicht und sollte durch eine ISO-Zertifizierung nachgewiesen werden. Die Einrichtung und Wirksamkeit eines solche Systems lässt sich am besten softwaregestützt umsetzen – mit einer Software, die Sie beim Nachweis der ISO-Standards bestmöglich unterstützt. Das OMNITRACKER GRC Center hilft Ihnen, Audits zu bestehen und Compliance-Vorgaben dokumentiert und revisionssicher umzusetzen.