Häufige Fragen und Antworten (FAQ) zu § 8a BSIG

Häufige Fragen und Antworten (FAQ)
zu § 8a BSIG
im Rahmen der Orientierungshilfe B3S V0.9
BSI-Entwurf Version 0.5.2, Stand: 30.11.2015
Die FAQ zu § 8a BSIG dient dazu, häufig wiederkehrende Fragen auf einfachem und schnellem Weg zu
beantworten. B3S steht für Branchenspezifischer Sicherheitsstandard gemäß § 8a (2) BSIG.
§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen
(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der
Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung
von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen
Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen
Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und
technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den
Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.
(2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische
Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf
Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt
1. im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe,
2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst
zuständigen Aufsichtsbehörde.
(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach
Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder
Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt eine Aufstellung der durchgeführten Audits,
Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann bei
Sicherheitsmängeln verlangen:
1. die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und
2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst
zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel.
(4) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen
nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise
sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der
betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen.
Version 0.5.2 Entwurf
Stand: 30.11.2015
Seite 1 von 6
1 Wer muss § 8a (1) BSIG umsetzen?
§ 8a (1) BSIG muss von den Betreibern einer Kritischen Infrastruktur im Sinne des BSIG
umgesetzt werden.
Wer Betreiber einer Kritischen Infrastruktur im Sinne des BSIG ist, wird nach
Verabschiedung der Rechtsverordnung (BSI-KritisV) feststellbar sein. Die BSI-KritisV wird
messbare Kriterien festlegen. Wer diese Kriterien erfüllt, betreibt eine Kritische Infrastruktur
im Sinne des Gesetzes.
2 Bis wann muss § 8a (1) BSIG umgesetzt sein?
Die Pflicht zur Einhaltung von § 8a (1) BSIG (Vorkehrungen nach Stand der Technik), zu denen
Betreiber Kritischer Infrastrukturen mit dem IT-Sicherheitsgesetz verpflichtet werden,
besteht zwei Jahre nach Inkrafttreten der BSI-KritisV.
3 Welche kritischen Dienstleistungen (kDL) und welche Einrichtungen,
Anlagen oder Teile davon sind von § 8a betroffen? Wer legt diese fest?
Die kritischen Dienstleistungen (kDL) sowie Einrichtungen, Anlagen oder Teile davon, die
unter § 8a fallen, werden in der BSI-KritisV festgelegt.
4 Müssen sich alle Betreiber einer Branche, die eine Kritische Infrastruktur
im Sinne des BSIG betreiben, an einen vorhandenen B3S halten?
Auch wenn ein B3S existiert, ist es für die Betreiber einer Kritischen Infrastruktur im Sinne
des BSIG nicht verpflichtend diesen umzusetzen. Sie können die Anforderungen gemäß § 8a
(1) BSIG auch auf andere Weise erfüllen. Ein B3S hilft dabei und gibt Rechtssicherheit.
5 Geht es bei den Anforderungen gemäß § 8a BSIG um Normal- oder um
Krisenlagen?
An erster Stelle geht es bei den Anforderungen gemäß § 8a BSIG darum, den normalen
Betrieb einer Kritischen Infrastruktur abzusichern, also Normallagen. Der Reaktion auf
besondere Ereignisse ist dabei ebenfalls Rechnung zu tragen (z. B. Fortsetzen des Betriebs bei
Stromausfall). Krisenlagen müssen gemäß § 8a BSIG ausdrücklich dort adressiert werden, wo
andere gesetzliche Vorgaben von den betroffenen Kritischen Infrastrukturen auch ein
Funktionieren in Krisenlagen verlangen. Die entsprechenden, im B3S berücksichtigten
rechtlichen Rahmenbedingungen sollten in einem B3S daher ausdrücklich benannt werden.
6 In der Orientierungshilfe zu einem B3S werden umfangreiche
Anforderungen genannt. Wäre es nicht zweckmäßiger und einheitlicher,
von allen Betreibern eine ISO-27001-Zertifizierung zu fordern?
Das BSIG lässt den Betreibern bewusst viel Freiheit bei der Wahl der Umsetzung des
geforderten Stands der Technik sowie bei der Art der Überprüfung. Ziel hierbei ist, auf die
unterschiedlichsten, bei KRITIS-Betreibern bereits bestehenden Sicherheitsmechanismen
aufbauen zu können. Eine Zertifizierung nach ISO-Standards ist nur ein möglicher Weg, um
den erforderlichen Nachweis nach § 8a (3) BSIG zu erbringen.
Version 0.5.2 Entwurf
Stand: 30.11.2015
Seite 2 von 6
7 Ist eine ISO-27001-Zertifizierung dann zumindest ausreichend für den
Nachweis nach § 8a (3)?
Bei einer reinen ISO 27001-Zertifizierung ist nicht von vornherein klar, dass Scope und
Maßnahmen geeignet sind. Deswegen reicht sie alleine nicht aus; wichtige Schutzziele für
kritische Dienstleistungen könnten dabei theoretisch unberücksichtigt bleiben.
Wer jedoch eine ISO-27001-Zertifizierung vorlegt und gleichzeitig nachweist, dass Scope und
Maßnahmen geeignet sind, seine kritischen Dienstleistungen ausreichend zu schützen, hat
die Voraussetzungen zur Erfüllung der Anforderungen gemäß § 8a (1) und (3) BSIG
geschaffen.
Ein möglicher Weg ist daher, einen B3S zu erstellen, der in Ergänzung zu einem ISO-Standard
die notwendigen Rahmensetzungen gemäß der Orientierungshilfe vornimmt und
dokumentiert.
8 Was genau ist im Rahmen § 8a unter „Stand der Technik“ zu verstehen?
„Stand der Technik“ ist ein gängiger juristischer Begriff. Die technische Entwicklung ist
schneller als die Gesetzgebung. Daher hat es sich in vielen Rechtsbereichen seit Jahren
bewährt, in Gesetzen auf den Stand der Technik abzustellen, statt zu versuchen, konkrete
technische Anforderungen bereits im Gesetz festzulegen. Was zu einem bestimmten
Zeitpunkt Stand der Technik ist, lässt sich zum Beispiel anhand existierender nationaler oder
internationaler Standards oder anhand erfolgreich in der Praxis erprobter Vorbilder für den
jeweiligen Bereich ermitteln. Da sich die notwendigen technischen Maßnahmen je nach
konkreter Fallgestaltung unterscheiden können, ist es nicht möglich, den Stand der Technik
allgemeingültig und abschließend zu beschreiben.
In der Gesetzesbegründung des IT-SiG ist „Stand der Technik“ wie folgt beschrieben:
„Auf Grund der weitreichenden gesellschaftlichen Auswirkungen ist bei den technischen
und organisatorischen Vorkehrungen der Stand der Technik zu berücksichtigen. Stand
der Technik in diesem Sinne ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum
Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten
oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität
und Vertraulichkeit gesichert erscheinen lässt. Bei der Bestimmung des Standes der
Technik sind insbesondere einschlägige internationale, europäische und nationale Normen und Standards heranzuziehen, aber auch vergleichbare Verfahren, Einrichtungen
und Betriebsweisen, die mit Erfolg in der Praxis erprobt wurden. Die Verpflichtung zur
Berücksichtigung des Stands der Technik schließt die Möglichkeit zum Einsatz solcher
Vorkehrungen nicht aus, die einen ebenso effektiven Schutz wie die anerkannten Vorkehrungen nach dem Stand der Technik bieten.“
Die Erstellung eines B3S ist eine Chance für eine Branche, ausgehend von der eigenen
Expertise selber Vorgaben zum Stand der Technik zu formulieren.
Version 0.5.2 Entwurf
Stand: 30.11.2015
Seite 3 von 6
9 Die Orientierungshilfe fordert, dass Risiken in der Regel nicht einfach
versichert oder getragen werden können. Andererseits bestehen immer
Restrisiken und die umzusetzenden Maßnahmen sollen angemessen
sein. Wie ist das miteinander zu vereinbaren?
Risiken werden niemals auf Null reduziert werden können. Wenn Risiken kritische
Dienstleistungen betreffen, von denen das Gemeinwohl abhängt, dürfen sie jedoch nicht
einfach getragen oder transferiert werden, ohne dass vorher angemessene Maßnahmen zur
Risikoverringerung getroffen wurden.
Beispiel: Ein Geschäftsprozess sei mit einem Risiko behaftet, das eine vergleichsweise hohe
Eintrittswahrscheinlichkeit hat. Trotzdem könnte sich der Betreiber entschließen, das Risiko
zu tragen oder zu versichern, weil ihm die Gegenmaßnahmen beispielsweise zu umständlich
sind. Wenn von diesem Geschäftsprozess jedoch das Gemeinwohl abhängt, kann erwartet
werden, dass der Betreiber trotzdem zunächst angemessene Maßnahmen zur Verringerung
des Risikos trifft und erst das danach noch verbleibende Restrisiko trägt oder versichert.
10 Eine einheitliche Beschreibung der Schutzziele, Bedrohungen, Risiken,
Prozesse und Technologien aller Betreiber einer Branche in einem B3S
erscheint kaum möglich. Beispielsweise ist bei den einzelnen Betreibern
meistens unterschiedliche IT im Einsatz. Wie ist damit umzugehen?
Eine Branche sollte zunächst die Schnittmenge bei ihren Schutzzielen, Bedrohungen,
Risiken, Prozessen, Technologien, etc. klären.
Die Überschneidungen können in einem B3S behandelt werden. Der B3S dient dann als
Richtlinie für die Betreiber, die auf diese Weise ihr Wissen bündeln und voneinander
profitieren. Der B3S stellt dabei auch abstrakte Anforderungen auf, die beispielsweise
unabhängig von der im Einzelfall eingesetzten IT umgesetzt werden können.
Sollte die Schnittmenge zwischen verschiedenen Betreibern im Einzelfall leer oder nahezu
leer sein, lohnt es sich auch nicht, einen gemeinsamen B3S zu schreiben.
11 Wie oft muss ein B3S aktualisiert werden?
Die Feststellung der Eignung eines B3S wird in der Regel für zwei Jahre erteilt. Spätestens
nach zwei Jahren sollte überprüft werden, inwiefern die im B3S gemachten Annahmen und
vorgenommenen Beschreibungen noch der aktuellen Bedrohungslage und dem aktuellen
Stand der Technik entsprechen.
12 Müssen im B3S alle Anforderungen und Maßnahmen explizit
ausformuliert werden?
In einem B3S kann auf bereits existierende und gültige Vorgaben wie z. B. Standards,
Normen, Regelwerke, bewährte Vorgehensweisen (Best Practices) oder sonstige
Umsetzungshilfen verwiesen wird.
Version 0.5.2 Entwurf
Stand: 30.11.2015
Seite 4 von 6
13 Wie ist mit Dienstleistungen umzugehen, die an Dritte ausgelagert
wurden?
Der jeweilige Betreiber einer Kritischen Infrastruktur im Sinne des BSIG ist für die Umsetzung
des § 8a (1) BSIG in der von ihm betriebenen Kritischen Infrastruktur verantwortlich. Lagert
er Teile davon an Dritte aus, liegt die Verantwortung für die Umsetzung des § 8a (1) BSIG
weiterhin bei ihm. Es empfiehlt sich hier, Umsetzungsverpflichtungen in die vertraglichen
Vereinbarungen mit dem Dritten aufzunehmen.
Gleiches gilt, wenn der Betreiber IT auslagert, die für den Betrieb der Kritischen Infrastruktur
erforderlich ist. Der Bezug von sonstigen Dienstleistungen (Einkauf von Strom, Wasser,
öffentlicher TK, etc.) gilt nicht als Auslagerung in diesem Sinne, sofern sie nicht selbst Teil der
kritischen Dienstleistung ist.
14 Wer kann ein Sicherheitsaudit, eine Prüfung oder Zertifizierung nach §
8a (3) BSIG durchführen, und wie ist die Prüfung reguliert? Wer stellt
letztlich die Eignung von Maßnahmen fest?
Antworten rund um die Absätze (3) und (4) des § 8a werden zu einem späteren Zeitpunkt
ergänzt.
15 Warum sollen Bedrohungen im B3S aufgelistet werden? Ändert sich die
Bedrohungslage nicht zu schnell?
In der Tat ändert sich die Bedrohungslage sehr schnell. Dennoch bleiben grundlegende
Arten von Bedrohungen, wir nennen diese Bedrohungskategorien, über eine längere Zeit
bestehen.
Im B3S sollen die im B3S betrachteten und durch die Betreiber zu berücksichtigenden
Bedrohungskategorien explizit aufgelistet und einer ersten Bewertung unterzogen werden.
Das dient einerseits dem Zweck, dass die Betreiber, die den B3S umsetzen, bei ihrer Arbeit
eine geeignete Grundlage haben und sichergestellt ist, dass alle branchenrelevanten
Bedrohungen auch tatsächlich berücksichtigt werden.
Andererseits stellt die explizite Benennung und Bewertung der Bedrohungskategorien im
Zuge der Anerkennung des B3S klar, dass alle relevanten Bedrohungen einbezogen wurden.
Selbstverständlich muss jeder Betreiber auch vorbereitet sein, jederzeit neue Bedrohungen
zu erkennen und geeignete Maßnahmen hiergegen zu ergreifen.
16 Führt die Umsetzung von § 8a nicht zu finanziellen Aufwänden?
Die Umsetzung des IT-SiG und insbesondere der Vorkehrungen nach Stand der Technik
gemäß § 8a wird dort zu finanziellen Aufwänden führen, wo heute noch keine im Sinne des
BSIG ausreichenden IT-Sicherheitsvorkehrungen getroffen sind. Diese Aufwände werden –
im Rahmen der vom Gesetz geforderten Angemessenheitsprüfung – jedoch zur Erfüllung
der Intention des Gesetzes durch die jeweiligen Betreiber getragen werden müssen.
IT-Sicherheitsverantwortliche können notwendige Investitionen mit den Anforderungen
des BSIG begründen.
Version 0.5.2 Entwurf
Stand: 30.11.2015
Seite 5 von 6
17 Kann das geforderte IT-Sicherheitsmanagement auch an ein anderes im
Unternehmen bestehendes Sicherheitsmanagement und/oder an ein
BCM gekoppelt werden?
Die Integration des geforderten IT-Sicherheitsmanagement in bestehende Strukturen eines
Betreibers ist eine geeignete Möglichkeit der Umsetzung. Wichtig ist, dass IT-Sicherheit
adressiert bzw. der B3S umgesetzt wird.
18 In der Orientierungshilfe wird die Betrachtung im Sinne eines
All-Gefahrenansatzes gefordert? Beschränkt sich das IT-SiG nicht auf
IT?
In der Tat steht beim IT-SiG die Informationstechnik im Mittelpunkt. Das IT-SiG geht jedoch
bewusst nicht darauf ein, welche Auslöser zu Störungen oder Beeinträchtigungen der für die
Kritischen Infrastrukturen essentiellen IT führen.
Neben Cyber-Angriffen fallen somit auch sonstige informationstechnische Bedrohungen wie
auch physische Bedrohungen als Auslöser von informationstechnischen Störungen in das
vom IT-SiG abgedeckte Spektrum.
Für die informationstechnische Absicherung ist also ein Allbedrohungs- bzw.
Allgefahrenansatz notwendig.
19 Wie kann bei einem Antrag auf Anerkennung die Erfüllung der
Anforderungen nachvollziehbar dargelegt werden?
Um prüfen zu können, ob ein B3S den Anforderungen entspricht, muss er entweder der
vorgegebenen Struktur folgen oder es muss eindeutig nachvollziehbar sein, wie der B3S die
Anforderungen erfüllt.
Eine „Mapping-Tabelle“ ist eine Möglichkeit, diese Nachvollziehbarkeit zu gewährleisten. In
jedem Fall muss ein Bezug zwischen den Anforderungen und den entsprechenden Stellen im
B3S hergestellt werden.
Ein Muster dieser Mapping-Tabelle wird als Anlage zum Antragsformular (Anerkennung
eines B3S) zur Verfügung gestellt.
Version 0.5.2 Entwurf
Stand: 30.11.2015
Seite 6 von 6