BSI legt Grundstein für Prüfungen gemäß IT-Sicherheitsgesetz

March 2, 2017 - 5:51 am in Security

[ad_1]

Betreiber kritischer Infrastruktur müssen sich zukünftig regelmäßig prüfen lassen und dabei nachweisen, Sicherheitsvorkehrungen gemäß dem Stand der Technik vorgenommen zu haben. Die ersten Schulungen für Prüfer machen klar, was das konkret bedeutet.

Die Umsetzung des IT-Sicherheitsgesetzes (IT-SiG) läuft an: Betreiber kritischer Infrastruktur (KRITIS) der Sektoren Energie, IT+TK, Ernährung und Wasser müssen die ersten Prüfungsnachweise bereits zum 3. Mai 2018 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) einreichen. In einem “Multiplikatoren-Workshop” Mitte Februar hat das BSI die Schulungsinhalte und -konzepte festgelegt, nach denen Prüfer fortgebildet werden. Das wiederum definiert, was und vor allem wie letztlich geprüft werden soll.

Der Grundstein für die Prüfungen ist das am 25. Juli 2015 in Kraft getretene IT-SiG; konkret regelt Paragraph 8a die Vorgaben zur “Sicherheit in der Informationstechnik Kritischer Infrastrukturen”. Im BSI-Workshop “Zusätzliche Prüfverfahrens-Kompetenz für Paragraph 8a BSIG” wurde mit den Ausbildern gemeinsam erarbeitet, wie Prüfer in die Lage versetzt werden, so zu prüfen und was sie prüfen sollen.

Weg von der reinen Wirtschaftlichkeit

In aller Regel sind die dabei geprüften Maßnahmen nicht neu und durchaus auch Bestandteil herkömmlicher Audits. Allerdings liegt die Latte bei den Kritis-Tests deutlich höher, da insbesondere auch die spezifischen Fragestellungen für die Verfügbarkeit auch in Notfallsituationen gestellt werden. So gilt etwa die Wirtschaftlichkeit nur noch sehr begrenzt als Entschuldigung, eine eigentlich erforderliche Maßnahme nicht umzusetzen.

Beispielsweise kann der Kritis-Prüfer durchaus den Einsatz von komplexen SPS-Steueranlagen bemängeln, die seit Jahren einwandfrei laufen und bisher quasi Branchenstandard sind, wenn diese inzwischen gravierende Schwachstellen aufweisen, mit denen ein wesentlicher Versorgungsengpass bewirkt werden könnte. Das darf dann nicht ohne weiteres in Kauf genommen oder durch eine Versicherung kompensiert werden.

Trotzdem führt ein solches Problem nicht zur Stilllegung der Anlage, was ja die Versorgung auch nicht verbessern würde. Vielmehr wird im anschließenden Dialog mit dem BSI und anderen zuständigen Aufsichtsbehörden diskutiert, wie mit den nicht erfüllten Maßnahmen und den dazu benannten Umsetzungsplänen des Betreibers verfahren wird. Derzeit bemüht man sich also eher um einen Dialog mit der Wirtschaft statt auf formale Vorgaben und Strafen zu setzen. Diese sind im Gesetz allerdings durchaus schon vorgesehen.

Wer muss sich prüfen lassen?

Kritische Infrastrukturen im Sinne des § 2 (10) BSIG sind Einrichtungen, Anlagen oder Teile davon, die:

  1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
  2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Von der aktuellen Prüfpflicht betroffen ist der am 3. Mai 2016 veröffentlichte 1. Korb bestehend aus den Branchen Energie, IT+TK, Ernährung und Wasser. Ob deren Betreiber allerdings tatsächlich alle bis zum Ablauf der Frist am 3. Mai 2018 beim BSI Prüfberichte einreichen, darf bezweifelt werden, da einige noch nicht mit der Umsetzung der Maßnahmen nach dem geforderten “Stand der Technik” begonnen haben. (ju)

[ad_2]

Read more on: Source

5G-Mobilfunk: Massive MIMO vervielfacht Zell-Kapazitäten

March 1, 2017 - 1:00 pm in Internet

[ad_1] Wie leistungsfähig die MIMO-Technik ist, belegt sie in WLAN-Geräten. Nun kündigt sich die nächste Entwicklungsstufe an, Massive MIMO mit hunderten…

Mentor-Organisationen für Googles Summer of Code 2017 stehen fest

March 1, 2017 - 12:30 pm in OSS

[ad_1] Mehr als 200 Projekte und Organisationen weist die diesjährige Auflage des Programms zur Förderung von Open-Source-Projekten auf. Nachdem sich…

GDC: Fotorealistische Darstellungen: Khronos Group verabschiedet WebGL 2.0

March 1, 2017 - 12:00 pm in Software-Entwicklung

[ad_1] Die neue Version der Programmierschnittstelle orientiert sich an OpenGL ES 3.0, verspricht ein verbessertes Grafik-Rendering und bietet Funktionen für besser aussehende 3D-Grafiken. Schon traditionell nutzt die Khronos Group die derzeit in San Francisco…

MWC: Hunderttausende verwundbare IoT-Geräte allein in Barcelona

March 1, 2017 - 11:50 am in Security

[ad_1] Die Antivirenhersteller entwickeln zunehmend Produkte, die sich nicht nur um die klassische vernetzte Hardware wie PCs und Tablets kümmern, sondern um den gesamten IoT-Gerätezoo im Haushalt. Ein großer Scan offenbart, dass das sehr notwendig ist.…

LTE-V2X: Direktkommunikation zwischen Fahrzeugen im Test auf der A9

February 28, 2017 - 6:56 pm in Internet

[ad_1] Bosch, Vodafone und Huawei testen das neue LTE-V2X für Fahrzeugkommunikation über kurze Distanzen. Das System soll Unfälle verhindern. Mobiles Internet-Tarifvergleich Anzeige Datenrate 3,6 Mbit/s (HSDPA) 7,2 Mbit/s (HSDPA) mehr als 7,2 Mbit/s ein…

Zorin OS 12.1: Linux für Windows-Umsteiger

February 28, 2017 - 6:30 pm in OSS

[ad_1] Einsteigerfreundlich und leicht zu bedienen: Die Linux-Distribution Zorin OS will beides und gleichzeitig einen optisch vertrauten Desktop bieten. Version 12.1 bringt dem System unter anderem einen neuen Kernel mit besserer Hardware-Unterstützung.…

CloudBees Jenkins Enterprise will wachsenden DevOps-Anforderungen gerecht werden

February 28, 2017 - 5:55 pm in Software-Entwicklung

[ad_1] Der maßgebliche Entwickler des Continuous-Delivery-Servers Jenkins baut sein Angebot aus, das sich an DevOps-Prinzipien nutzende Unternehmen richtet. CloudBees hat die Verfügbarkeit von CloudBees Jenkins Enterprise bekannt gegeben. Es handelt sich…

E2EMail: Google veröffentlicht PGP für GMail als Open-Source-Projekt

February 28, 2017 - 5:45 pm in Security

[ad_1] Die Chrome-Extension erlaubt das Ende-zu-Ende-Verschlüsseln von Mails in GMail. Allerdings nur mit einigen Einschränkungen. Google arbeitet bereits seit Mitte 2014 daran, PGP mit GMail kompatibel zu machen. Nun haben Google-Mitarbeiter das Ergebnis…

"Die vierte Plattform": Telefónica gibt dem Netz ein Gehirn

February 28, 2017 - 12:54 am in Internet

[ad_1] Mit einer KI im Netz wagt sich der Netzbetreiber auf "unbekanntes Territorium". Davon soll vor allem der Kunde profitieren, dem der Konzern mehr Transparenz und Kontrolle über seine eigenen Daten verspricht. Telefónica setzt voll auf Künstliche Intelligenz.…