Ein Leben ohne technische Systeme ist in unserer modernen Gesellschaft kaum mehr vorstellbar. Unsere Produktionsanlagen sind auf eine zuverlässige Energieversorgung angewiesen, funktionierende Informations- und Kommunikationstechnologien ermöglichen unsere Bankgeschäfte und die Versorgung mit sauberem Trinkwasser gilt schon fast als Selbstverständlichkeit. Kaum vorstellbar sind die möglichen Folgen einer Beschädigung dieser kritischen Infrastrukturen (KRITIS) durch natürliche oder anthropogene Einflüsse. Naturkatastrophen wie z. B. der Orkan „Kyrill“ (2007) oder Systemfehler wie in Fukushima (2011) haben deutlich gemacht, wie sehr unser privates und öffentliches Leben von KRITIS abhängig ist.


Welche Infrastrukturen sind „kritisch“?

Die Bundesregierung definiert kritische Infrastrukturen (KRITIS) als „[…] Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“. Dabei werden diese kritischen Infrastrukturen in insgesamt neun Sektoren (siehe Abbildung 1) unterteilt. Zum sogenannten „ersten Korb“ gehören die Sektoren Energie, IT & Telekommunikation, Wasser und Ernährung. Diese gelten nach dem IT-Sicherheitsgesetz (IT-SiG) seit Mai 2016 als KRITIS. Der „zweite Korb“ besteht aus Gesundheit, Finanz- & Versicherungswesen sowie Transport & Verkehr und gehört seit Juni 2017 dazu. All diesen Sektoren lassen sich wiederum Branchen zuordnen. Zum Sektor „Gesundheit“ zählen beispielsweise die Medizinische Versorgung, Arzneimittel und Impfstoffe sowie Labore.

Abbildung 1: Die neun Sektoren zur Unterteilung kritischer Infrastrukturen (KRITIS).


Wie werden KRITIS geschützt?

Um Wohlstand und Wettbewerbsfähigkeit in einer industriell und technologisch geprägten Nation wie Deutschland zu sichern, ist die Gewährleistung des Schutzes der KRITIS eine Kernaufgabe staatlicher und unternehmerischer Sicherheitsvorsorge und zentrales Thema der Sicherheitspolitik des Landes.
Hierfür wurde unter anderem 2009 das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) vom Bundestag verabschiedet. Darin wird unter anderem darauf hingewiesen, dass alle KRITIS-Betreiber spätestens 24 Monate nach Inkrafttreten der Verordnung einen Mindestschutz an IT-Sicherheit vorweisen müssen. Um diesen Schutz sicherzustellen müssen sie zum Beispiel

  • eine jederzeit erreichbare Kontaktstelle benennen,
  • unverzüglich Störungen ihrer IT-Systeme melden und
  • angemessene Vorkehrungen zur Vermeidung von Störungen nach dem „Stand der Technik“ umsetzen.

In Form von sogenannten branchenspezifischen Sicherheitsstandards (B3S) können KRITIS-Betreiber die Anforderungen zum „Stand der Technik“ konkretisieren. Diese B3S wiederum können dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Feststellung der Eignung vorgelegt werden. Zur Erarbeitung eines solchen B3S besteht keine gesetzliche Pflicht. Die Erstellung eines B3S ist jedoch für die Branchen eine Chance, ausgehend von der eigenen Expertise, Vorgaben zum „Stand der Technik“ zu formulieren.
Die Deutsche Krankenhausgesellschaft (DKG) hat beispielsweise 2019 im Sektor „Gesundheit“ für die Branche „Medizinische Versorgung“ einen B3S für Krankenhäuser veröffentlicht. Das Dokument „Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus“ orientiert sich an der in der Praxis etablierten Norm ISO 27001, dem „Stand der Technik“, den branchenspezifischen Anforderungen der Norm ISO 27799 sowie an dem Geltungsbereich relevanter wesentlicher Risiken.


KRITIS Betreiber nutzen und schätzen roXtra

Die Qualitätsmanagementsoftware roXtra wird von Kunden in allen Unternehmensgrößen und Branchen genutzt. Darunter auch Betreiber kritischer Infrastrukturen wie das Universitätsklinikum Essen (UK Essen). „Unser Klinikum gilt als kritische Infrastruktur, da wir über 30.000 vollstationäre Patienten pro Jahr betreuen. Störungen oder Ausfälle würden demzufolge eine große Anzahl an Menschen beeinträchtigen oder sogar gefährden“, erklärt Simone Bröker, Referentin für IT Change Management am Universitätsklinikum Essen. Kliniken und Krankenhäuser gehören zum KRITIS Sektor Gesundheit und somit zum „zweiten Korb“ des IT-Sicherheitsgesetzes. Bis spätestens Juni 2019 waren die Betreiber dieser KRITIS aufgefordert, einen Mindestschutz an IT-Sicherheit vorzuweisen. Entsprechende Umsetzungsnachweise konnten durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.
„Die Auditoren waren insgesamt zehn Manntage vor Ort, um zu überprüfen, ob alle Vorgaben des B3S für den Gesundheitssektor erfolgreich umgesetzt wurden“, äußert sich Frau Bröker. Bei den Vorbereitungen für das Audit hat sich das Team des UK Essen vor allem an der DIN EN ISO/IEC 27001 orientiert. „Der B3S für die Gesundheitsversorgung im Krankenhaus erschien leider erst im April 2019, also recht zeitnah zu unserem geplanten Audit. Aus diesem Grund waren wir gezwungen unsere Vorbereitungen entsprechend kurzfristig anzupassen. Wie der Name schon sagt ist der B3S deutlich branchenspezifischer als die ISO 27001“.

Zur Vorbereitung des Audits mussten vom Universitätsklinikum hunderte Dokumente zusammengetragen werden. Die KRITIS-Richtlinien fordern beispielsweise Festlegungen und Nachweise zur Verwendung von Sicherheitsschlüsseln, Anwendung von Schutzsoftware und die Schulung des Bewusstseins der Mitarbeiter zu dieser Thematik.
Für die strukturierte Zusammenstellung der benötigten Dokumente und die Erstellung einer Erklärung zur Anwendbarkeit (engl. Statement of Applicability, abgekürzt SoA), nutzte das Team des UK Essen eine konfigurierte Form der Funktion „Ordner-Report“ in roXtra. „In roXtra sind bereits alle benötigten Informationen enthalten. Händisch einen SoA-Report zu erstellen, hätte umfangreiche Detailarbeit bedeutet. Der roXtra SoA-Report hat uns diesen Mehraufwand zum Glück erspart. Er fügt uns die Informationen aus den Selektionsfeldern als Grundlage ein, sortiert dazu die Dokumente und kann weitere Informationen, wie beispielsweise Maßnahmen des Anhang A der ISO 27001, hinzufügen“, berichtet Simone Bröker. Zum Zeitpunkt des Dokumentenaudits konnte den Auditoren dadurch eine tagesaktuelle SoA zur Verfügung gestellt werden. „Mit roXtra können wir uns optimal auf das nächste Audit 2021 vorbereiten. Wir planen beispielsweise den B3S für das Gesundheitswesen als Kategorisierungsmöglichkeit in den SoA-Report aufzunehmen und somit den Prozess kontinuierlich zu verbessern“, fügt Frau Bröker abschließend hinzu.


Fazit

Das Universitätsklinikum Essen zeigt beispielhaft wie wichtig es ist, kritische Infrastrukturen zu schützen und auf Ernstfälle vorbereitet zu sein. Das deutsche Gesundheitssystem besticht oftmals im internationalen Vergleich. Insbesondere, da bereits im Vorfeld „Worst Case-Szenarien“ durchdacht und Notfallkonzepte erstellt werden. Die KRITIS-Richtlinien tragen positiv zum Erfolg bei, erzeugen aber bei KRITIS-Betreibern Mehrarbeit. roXtra unterstützt Sie dabei Ihre Dokumentation aktuell, nachvollziehbar und übersichtlich zu führen und somit diese Mehrarbeit zu reduzieren. Funktionen wie der „Ordner-Report“ erleichtern Ihnen zudem die Auswertung und den Überblick.


Referenzen:

BBK und BSI. 2017. Internetplattform von BBK und BSI zum Thema “Schutz Kritischer Infrastrukturen”. [Online] 2017. [Zitat vom: 17. Juli 2019.] https://www.kritis.bund.de/.
BSI. Bundesamt für Sicherheit in der Informationstechnik. [Online] [Zitat vom: 17. Juli 2019.] https://www.bsi.bund.de/DE/Home/.
BSIG. 2009. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG). 2009.
Bundesministerium des Innern. 2009. Nationale Strategie zum Schutz Kritischer Infrastrukturen. Berlin : s.n., 2009.
DIN EN ISO/IEC 27001. 2017. Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen. 2017.
DKG. 2019. Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus. s.l. : Deutsche Krankenhausgesellschaft e. V., 2019.
IT-Sig. 2015. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). s.l. : Bundesgesetzblatt, 2015.

69