Anleitung - Das IT-Sicherheitsgesetz

Melde- und Informationsportal (MIP)
für Betreiber Kritischer Infrastrukturen im
Rahmen des IT-Sicherheitsgesetzes
- Benutzeranleitung Stand: August 2016
Link zur Webseite: https://mip.bsi.bund.de
Inhaltsverzeichnis
Abkürzungsverzeichnis......................................................................................................................................... 3
Einleitung................................................................................................................................................................ 4
1. Allgemeine Hinweise........................................................................................................................................ 5
1.1. Traffic Light Protocol................................................................................................................................ 5
1.2. Im Melde- und Informationsportal gespeicherte Daten..................................................................6
1.3 Ansprechpartner im BSI........................................................................................................................... 6
2. Registrierung...................................................................................................................................................... 7
3. Zugangsdaten..................................................................................................................................................... 8
4. Anmeldung....................................................................................................................................................... 10
5. Navigation......................................................................................................................................................... 11
6. Meldungsabgabe............................................................................................................................................. 13
Glossar................................................................................................................................................................... 21
2
Abkürzungsverzeichnis
Abb.
Abbildung
BSI
Bundesamt für Sicherheit in der Informationstechnik
BSI-KritisV
Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem
BSI-Gesetz (BSI-Kritisverordnung)
GÜAS
Gemeinsame übergeordnete Ansprechstellen
JSON
JavaScript Object Notation
KRITIS
Kritische Infrastrukturen
MIP
Melde- und Informationsportal
OTP
One Time Password
PDF
Portable Document Format
TLP
Traffic Light Protocol
URL
Uniform Resource Locator
3
Einleitung
Mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (ITSicherheitsgesetz)1 werden Betreiber Kritischer Infrastrukturen u. a. dazu verpflichtet, signifikante
IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.
Das Melde- und Informationsportal (MIP) bildet die Schnittstelle zur Erfüllung dieser Meldepflicht.
Darüber hinaus erhalten verpflichtete Unternehmen über dieses Portal eine Fülle von aktuellen
Informationen zur Optimierung der Sicherheit sowohl auf operativer als auch auf strategischer
Ebene.
1
https://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/it-sicherheitsgesetz.pdf? blob=publicationFile
4
1. Allgemeine Hinweise
1.1. Traffic Light Protocol
Die durch das BSI bereitgestellten Dokumente enthalten mitunter sensitive Informationen. Um der
damit verbundenen Schutzbedürftigkeit Rechnung zu tragen, werden diese Informationen gemäß
des Traffic Light Protocol (TLP)2 eingestuft.
Das TLP sieht die folgende Klassifizierung vor:
• TLP WHITE: Informationen dürfen uneingeschränkt an jeden einschließlich Massenmedien
weitergegeben werden.
• TLP GREEN: Informationen dürfen auch an andere Organisationen weitergegeben, aber
nicht veröffentlicht oder den Massenmedien zugänglich gemacht werden.
• TLP AMBER: Wenn es den Zielen der Arbeitsgruppe dient, dürfen Informationen auch an
Kollegen in der eigenen Organisation oder an andere Organisationen (zum Beispiel Berater)
weitergegeben werden („Need-to-know“-Prinzip).
• TLP RED: Informationen dürfen nur im Kreise der auf das TLP verpflichteten, in einer
Besprechung anwesenden Personen ausgetauscht werden. Dokumente dürfen vom
Empfänger nur nach Genehmigung durch den Absender weitergegeben werden.
Eine Weitergabe von sensiblen Informationen durch das BSI an nach dem IT-Sicherheitsgesetz
verpflichtete Unternehmen ist nur dann möglich, wenn Sie bei der Registrierung (Benennung der
Kontaktstelle) die TLP-Erklärung vollständig abgegeben bzw. dies zu einem späteren Zeitpunkt
nachgeholt haben.
2
https://mip.bsi.bund.de/Anlage 1 TLP-Merkblatt.pdf
5
1.2. Im Melde- und Informationsportal gespeicherte Daten
Die Sicherheit der im Rahmen des IT-Sicherheitsgesetzes und im Melde- und Informationsportal
erfassten Daten steht für das BSI an vorderster Stelle. Daher werden sowohl die Daten zu Ihrem
Unternehmen als auch zu den von Ihnen betriebenen Kritischen Infrastrukturen nicht dauerhaft im
Portal gespeichert, sondern zeitnah zur weiteren Verarbeitung in interne IT-Systeme des BSI
transferiert. Gleiches gilt für die Daten, die bei der Meldung von Vorfällen erfasst werden.
Diese wichtige Sicherheitseigenschaft bedingt gewisse Einbußen beim Nutzerkomfort. Einmal
erfasste und zur Übertragung an das BSI freigegebene Daten, wie z. B. Vorfallsmeldungen, können
nicht mehr eingesehen oder verändert werden. Daher erhalten Sie nach der Abgabe von
Registrierungs- oder Meldungsdaten die Möglichkeit, die erfassten Daten in Form eines PDFFormulars sowie eines zur automatisierten Verarbeitung geeigneten JSON-Datensatzes
herunterzuladen.
Die
JSON-Datensätze
können
Sie
beispielsweise
verwenden,
um
Vorfallsmeldungen zu einem späteren Zeitpunkt (z. B. bei Folge-/Abschlussmeldung oder einem
weiteren Vorfall mit ähnlichen Angaben) erneut in das MIP zu importieren und weiterzubearbeiten.
Bitte beachten Sie, dass es sich hierbei um sensible Daten handelt und es sich empfiehlt, diese in
Ihrem eigenen Interesse sicher aufzubewahren.
Impressum, Datenschutzerklärung, Benutzerhinweise und Haftungsausschluss finden Sie immer
am oberen Ende der Seite.
1.3 Ansprechpartner im BSI
Betreibern, Gemeinsame übergeordnete Ansprechstellen (GÜAS) sowie Behörden stehen die
folgenden Kontaktmöglichkeiten zur Verfügung.
Für sämtliche Fragen bezüglich des Meldeprozesses und des IT-Sicherheitsgesetzes kontaktieren
Sie bitte das
KRITIS-Büro E-Mail: [email protected]
Telefon: +49 (0)228 99 9582 6166
Fax: +49 (0)228 99 10 9588 6166
Für Fragen zum Meldeportal und allen damit verbundenen Fragen, kontaktieren Sie bitte die
6
Meldestelle im Nationalen IT-Lagezentrum
Email-Adresse: [email protected]
Beachten Sie hierzu bitte auch Punkt 8 der weiterführenden Informationen zu alternativen
Meldewegen im Falle von technischen Problemen3.
2. Registrierung
Das Melde- und Informationsportal (MIP) ist unter der folgenden URL verfügbar:
https://mip.bsi.bund.de
Damit gelangen Sie auf die folgende Startseite:
Abbildung 1: Startseite des Melde- und Informationsportal
Sofern Sie sich bereits registriert haben, können Sie sich hier über den „Login“-Button (2)
anmelden.
Ansonsten gelangen Sie durch einen Klick auf den Button „Registrieren“ (1) zum
Registrierungsprozess.
3
https://www.bsi.bund.de/Meldeformular
7
Dieser läuft in mehreren Schritten ab:
1. Auswahl der Registrierungsart (Betreiber oder GÜAS)
2. Erfassung der Stamm- und Kontaktdaten
3. Nur bei Betreibern:
- Erfassung der Kritischen Infrastrukturen gem. BSI-KritisV4. Hier werden zunächst die
Kritischen Infrastrukturen erfasst. Anschließend können Sie in der Übersicht die jeweiligen
Aufsichtsbehörden angeben. Sowohl Kritische Infrastrukturen als auch Aufsichtsbehörden
können anschließend editiert und gelöscht werden
- Zur Registrierung von Anlagen durch die Betreiber muss die Verwendung von JavaScript
erlaubt sein
4. Prüfansicht zur Kontrolle der gemachten Angaben. Von hier aus haben Sie die Möglichkeit,
zurück zur Erfassung der Stamm- und Kontaktdaten sowie ggf. zur Erfassung der Kritischen
Infrastrukturen zu gehen und dort Korrekturen vorzunehmen. Anschließend können Sie die
Registrierung abschließen.
5. Bestätigungsansicht: Hier können Sie eine PDF-Bestätigung mit allen getätigten Angaben
herunterladen. Darüber hinaus können Sie einen JSON-Datensatz herunterladen, mit dem
Sie Ihre Daten zu einem späteren Zeitpunkt pflegen können, sobald Sie einen Zugang zum
zugriffsbeschränkten Bereich des Meldeportals haben. Diesen erhalten Sie nach Abschluss
des Registrierungsprozesses durch das BSI. Wenn Sie in dieser Ansicht angekommen sind,
ist es nicht mehr möglich, Ihre Daten zu ändern.
Wichtig: Bitte nutzen Sie während des Registrierungsprozesses nur die vorhandenen Links und
Buttons. Der "Zurück"-Button des Browsers sowie die Aktualisierung der Seite (z. B. mittels F 5Tast) darf nicht genutzt werden.
3. Zugangsdaten
Der Zugang zum internen Bereich des Melde- und Informationsportals (MIP) ist für Institutionen
(Betreiber, GÜAS, Behörden) nur nach vollständig abgeschlossenem Registrierungsvorgang
4 https://www.gesetze-im-internet.de/bundesrecht/bsi-kritisv/gesamt.pdf
8
möglich. Nach Abschluss der Registrierung werden die erforderlichen Zugangsdaten (Benutzer-ID
und Passwort) auf dem Postweg übermittelt.
Um sich im MIP anmelden zu können, erhält jede Institution einen sogenannten OTP-Token (One
Time Password) zum Generieren von Einmalpasswörtern (siehe Abb. 2). Sie erhalten drei Geräte, so
dass diese an Mitarbeiter weitergegeben werden können, die ebenfalls Zugang zum Melde- und
Informationsportal haben sollen.
Hinweis: Es ist Sicherzustellen, dass alle Mitarbeiter mit Zugang zum MIP vollständig TLPverpflichtet sein müssen.
Abbildung 2: Token Hardware für Einmalpasswörter
Die OTP-Token nutzen einen zeitbasierten Algorithmus zur Erzeugung von Einmalpasswörtern.
Durch Betätigen des roten Ein-/Ausschalterknopfes generiert der OTP-Token ein für fünf Minuten
gültiges Einmalpasswort, welches aus sechs Ziffern besteht.
Die im Display links zu sehenden horizontalen Striche geben die Zeitdauer (30 Sekunden) an, bevor
ein neues
Einmalpasswort generiert wird. Läuft diese Zeitspanne ab, kann durch erneutes
Betätigen des Ein-/Ausschalterknopfes ein neues Passwort generiert werden.
Falls einer der Token einen Defekt aufweist, die generierten Zufallszahlen ungültig sind oder es zu
Verlust eines Tokens kommt, kontaktieren Sie bitte umgehend die Meldestelle im Nationalen ITLagezentrum (Email-Adresse: [email protected]).
Zur Identifizierung des defekten Tokens halten Sie bitte die Seriennummer, die sich auf der
Rückseite des Tokens befindet, bereit. Sie können weiterhin einen der anderen Token zur
Anmeldung im MIP verwenden.
9
4. Anmeldung
Abbildung 3: Anmeldung via Einmalpasswort
Auf der Startseite des Melde- und Informationsportals, können Sie sich über den dort befindlichen
„Login“-Button anmelden (vgl. Abb. 1).
In den Feldern (1) „Benutzer-ID“ und „Passwort“ tragen Sie die von uns übermittelten
Zugangsdaten ein. Im Feld „OTP-Token / Einmalpasswort“ geben Sie die 6-stellige Zufallszahl ein,
die durch einer der drei Token generiert wurde. Sind die Angaben korrekt, gelangen Sie
anschließend zum internen Bereich des MIP.
Hinweise:
- Anmeldungen durch mehrere Mitarbeiter parallel sind mit verschiedenen Token möglich.
- Bitte melden Sie sich aus Sicherheitsgründen nach jeder Benutzung vom MIP ab, indem Sie auf
den „abmelden“-Button klicken.
10
5. Navigation
Der interne Bereich im MIP bietet die folgende Navigation:
Abbildung 4: Startseite innerhalb des Melde- und Informationsportals
Unter Meldungen (1) (siehe Abb. 4) haben Sie die Möglichkeit, die durch das IT-Sicherheitsgesetz
vorgeschriebenen Meldungen an das BSI zu übermitteln. Hierbei handelt es sich um Erst-, Folgeund Abschlussmeldungen (im Kapitel „6. Meldungsabgabe“ werden die einzelnen Schritte des
Prozesses näher betrachtet).
11
Der Button Informationen (2) (siehe Abb. 5) führt Sie zu einer Übersicht der aktuellen
Informationen des BSI. Hierunter finden Sie beispielsweise aktuelle Cyber-Sicherheits-Warnungen.
Wenn Sie mit dem Mauszeiger über das Menü Informationen fahren, dann erscheint ein Hinweis
zum Inhalt des Titels.
Abbildung 5: MIP-Informationen
Unter „Informationen“ finden Sie folgende Auswahlmöglichkeiten:
- „Operative Informationen“ bietet Ihnen aktuelle Sicherheitswarnungen und weitere
Informationen zur Verwendung im operativen Betrieb. Die graue Zahl neben dem Titel zeigt
Ihnen die Anzahl der ungelesenen Nachrichten.
- „Security Dashboard“: hier finden Sie das Cyber-Sicherheitslagebild sowie Lagedossiers
12
6. Meldungsabgabe
Über den Link „Meldungen“ (vgl. Punkt 5 „Navigation“) in der Navigation gelangen Sie zur
Übersicht der bislang von Ihnen abgegebenen Meldungen. Hier können Sie wählen zwischen
„Neue Erstmeldung abgeben“ (1) oder „Neue freiwillige Meldung abgeben“ (2) (siehe Abb. 6).
Ersterer dient der Abgabe von Vorfallsmeldungen zu meldungspflichtigen Vorfällen im Rahmen
des IT-Sicherheitsgesetzes. Freiwillige Meldungen hingegen sind solche, die nicht der Meldepflicht
unterliegen, die Sie aber beispielsweise zur Information an das BSI oder zwecks Kontaktaufnahme
zu Experten im BSI übermitteln möchten.
Abbildung 6: Meldungsabgabe und Meldungsübersicht
Sofern Sie bereits Meldungen abgegeben haben, befinden sich in dieser Übersicht auch Buttons zur
Abgabe von Folge- oder Abschlussmeldungen.
13
Die Details früherer Meldungen sind nicht dauerhaft auf dem Portal gespeichert und können daher
nicht mehr eingesehen werden. Die Übersicht der alten Meldungen dient vielmehr der Abgabe von
Folge- oder Abschlussmeldungen sowie der Abwicklung von Rückfragen durch das BSI.
Durch Anklicken einer der Buttons zur Meldungsabgabe gelangen Sie zunächst zu einer
vorgeschalteten Seite, auf der Sie früher erfasste Meldungsdatensätze importieren können. Das
anschließend bereitgestellte Meldeformular wird dann mit diesen Daten vorbefüllt. Falls Sie keinen
Import wünschen, klicken Sie einfach auf den Button „Importieren und weiter zur Erfassung“ (1).
Sie erhalten dann ein leeres Meldeformular (siehe Abb. 7).
Abbildung 7: Vorfallsmeldung erfassen
14
Falls Sie eine Folgemeldung abgeben möchten und sich entschieden haben die JSON-Datei mit
einzubinden, brauchen Sie nur die entsprechende JSON-Datei zu markieren und in das leere Feld
zu ziehen.
Anschließend wird das Feld, wie in Abbildung 8 zu sehen, befüllt und kann durch Anklicken des
Buttons „Importieren und weiter zur Erfassung“ (1) erfasst werden.
Abbildung 8: Vorfallsmeldung durch Import von JSON erfassen
Das anschließend bereitgestellte Meldeformular wird dann mit diesen Daten vorbefüllt. Diese
Funktion ist für die Abgabe von Folge- und Abschlussmeldungen sehr hilfreich.
Da IT-Sicherheitsvorfälle sehr unterschiedlich gelagert sein können, bietet das Meldeformular zur
Erfassung von freiwilligen Meldungen bzw. Erst-, Folge- oder Abschlussmeldungen Ihnen die
Möglichkeit, eine Vielzahl von Details zum jeweiligen Vorfall zu erfassen.
15
Lediglich die Angaben im Abschnitt „0. Allgemeine Angaben zum Meldenden“ sind
verpflichtend (1).
Abbildung 9: Meldeformular
Pflichtfelder sind in der vordersten Spalte des Formulars mit einem * gekennzeichnet. Bedingte
Pflichtangaben (z. B. entweder/oder), die von bestimmten Eingaben abhängen, sind mit
zwei ** und einer Erläuterung gekennzeichnet. Um überflüssige Rückfragen zu ersparen und eine
bestmögliche Meldungsbearbeitung zu gewährleisten, sind Sie gebeten, so viele und präzise
Angaben wie möglich zu machen.
16
Beim Übermitteln des Formulars über den „Absenden“-Button (1) am Ende des Formulars, werden
Ihre Eingaben serverseitig validiert (siehe Abb. 10). Dabei werden u. a. Pflichtangaben und Formate
(z. B. gültige Datumsangabe) geprüft.
Abbildung 10: Absenden des Meldeformulars
Bitte beachten Sie, dass sich mit Anklicken des „Absenden“-Buttons ein Zeitfenster von
30 Minuten öffnet. Innerhalb dieses Zeitfensters, kann die von Ihnen verfasste Meldung
heruntergeladen werden. Nach Ablauf der 30 Minuten werden die Informationen aus
Sicherheitsgründen aus dem MIP entfernt.
Hinweis: Wenn Sie sich entscheiden die Dateien herunterzuladen, bewahren Sie diese in Ihrem
Interesse stets sorgfältig und in einer sicheren Umgebung auf.
Im Fehlerfall gelangen Sie nach dem Anklicken des oben genannten „Absenden“ Buttons, erneut
zu dem von Ihnen ausgefüllten Formular. Hier werden Sie nun auf ungültige oder unvollständige
17
Pflichtangaben hingewiesen. Im Kopf des Meldeformulars befindet sich der rot hinterlegte
Hinweis (1) (siehe Abb. 11). Die aufgezeigten Fehler müssen korrigiert oder ergänzt werden, bevor
das Formular übertragen werden kann.
Auch hier gilt nach Eingang der Meldung das Zeitfenster von 30 Minuten, um diese als PDF oder
JSON herunterzuladen.
Abbildung 11: Fehler beim Ausfüllen des Meldeformulars
18
Nach erfolgreicher Meldungsabgabe gelangen Sie zurück zur Übersicht. Ihre aktuell abgegebene
Meldung wird darin mit aufgelistet.
Zudem sehen Sie hier nun auch die entsprechenden Links, um eine Bestätigung Ihrer Meldung mit
allen Detailangaben (als PDF-Datei) sowie einen JSON-Datensatz herunterzuladen. Mit einem
Klick auf den gewünschten Link, wird der entsprechende Datensatz auf den Rechner
heruntergeladen (siehe Abb. 12).
Bitte beachten Sie auch hier das bereits zuvor erwähnte Zeitfenster von 30 Minuten.
Abbildung 12: Meldungsübersicht und Meldungen herunterladen
19
Rückfragen durch das BSI können sowohl telefonisch als auch über das Meldeportal erfolgen. Eine
Rückfrage über das MIP ist in der Übersicht der von Ihnen abgegebenen Meldungen verfügbar.
Antworten Sie auf solche Rückfragen bitte stets durch Abgabe einer Folge- bzw.
Abschlussmeldung.
20
Glossar
Betreiber
Betreiber im Sinne des § 1 Verordnung zur Bestimmung
Kritischer Infrastrukturen nach dem
BSI-Gesetz (BSI-KritisV) sind natürliche oder juristische
Personen, die unter Berücksichtigung der rechtlichen,
wirtschaftlichen und
tatsächlichen Umstände bestimmenden Einfluss auf die
Beschaffenheit und den Betrieb einer Anlage oder
Teilen davon ausübt.
Erst-, Folge-, Abschlussmeldung
Erstmeldung: Neue Meldung, die vom Betreiber im MIP
eingestellt wird
Folgemeldung: Aktualisierung einer bereits abgegebenen
Meldung
Abschlussmeldung: Abschließen einer im MIP eingestellten
Meldung
Gemeinsame übergeordnete
Ansprechstellen (GÜAS)
Betreiber, die dem gleichen Sektor angehören, können dem
BSI eine gemeinsame übergeordnete Ansprechstelle
benennen. In diesem Fall läuft die Kommunikation zwischen
dem BSI und den Betreibern über die GÜAS.
IT- Sicherheitsgesetz
Gesetz zur Erhöhung der Sicherheit informationstechnischer
Systeme
Kritische Infrastrukturen
Kritische Infrastrukturen sind Organisationen und
Einrichtungen mit wichtiger Bedeutung für das staatliche
Gemeinwesen, bei deren Ausfall oder Beeinträchtigung
nachhaltig wirkende
Versorgungsengpässe, erhebliche Störungen der
öffentlichen Sicherheit oder andere dramatische Folgen
einträten.
In Deutschland werden folgende Sektoren (und Branchen)
den Kritischen Infrastrukturen zugeordnet:
• Transport und Verkehr (Luftfahrt, Seeschifffahrt,
Binnenschifffahrt, Schienenverkehr, Straßenverkehr,
Logistik)
• Energie (Elektrizität, Mineralöl, Gas)
• Informationstechnik und Telekommunikation
21
•
•
•
•
•
•
(Telekommunikation, Informationstechnik)
Finanz- und Versicherungswesen (Banken,
Versicherungen, Finanzdienstleister, Börsen)
Staat und Verwaltung (Regierung und Verwaltung,
Parlament, Justizeinrichtungen, Notfall- und
Rettungswesen einschließlich Katastrophenschutz)
Ernährung (Ernährungswirtschaft,
Lebensmittelhandel)
Wasser (Öffentliche Wasserversorgung, öffentliche
Abwasserbeseitigung)
Gesundheit (Medizinische Versorgung, Arzneimittel
und Impfstoffe, Labore)
Medien und Kultur (Rundfunk (Fernsehen und Radio),
gedruckte und elektronische Presse, Kulturgut,
symbolträchtige Bauwerke)
Melde- und Informationsportal
Das MIP bildet die Schnittstelle zwischen Betreibern
Kritischer Infrastrukturen, die durch das ITSicherheitsgesetz dazu verpflichtet wurden ITSicherheitsvorfälle zu melden, und dem BSI.
OTP-Token
Der „One Time Password“-Token nutzt einen zeitbasierten
Algorithmus zur Erzeugung von Einmalpasswörtern.
Security Dashboard
Im Security Dashboard sind Themenlagebilder (z. B.
Identitätsdiebstahl, Malware, Botnetze) sowie Lagedossiers
hinterlegt.
Traffic Light Protocol
Vereinbarung zum Schutz von Informationen. Das TLP dient
der Schaffung von Vertrauen bzgl. des Schutzes
ausgetauschter Informationen durch Regelung der
Weitergabe.
22

Download Report