Sie sind hier: HomeSteuerungsebeneSafety & Security

IT-Schutz für kritische Infrastrukturen: BSI zertifiziert ersten KRITIS-Sicherheitsstandard

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dem ersten branchenspezifischen IT-Sicherheitsstandard die Eignung bescheinigt. Es geht dabei um den bundesweiten Schutz von kritischen Infrastrukturen.

IT-Sicherheit in Deutschland: Erster KRITIS-Branchenstandard wurde vom BSI zertifiziert. Bildquelle: © wutzkohphoto - Shutterstock

In Deutschland wurde im Sommer 2015 das IT-Sicherheitsgesetz mit Blick auf solche Fälle umfassend erweitert. Neu aufgenommen wurde unter anderem die Festsetzung, dass Betreiber von kritischer Infrastruktur (KRITIS) die Einhaltung der IT-Sicherheit nach dem aktuellen Stand der Technik alle zwei Jahre dem BSI nachzuweisen haben.

Wassersektor als Vorreiter in der IT-Sicherheit

Um aus dieser allgemeinen Forderung des Gesetzgebers konkrete und für die jeweilige Branche angemessene Maßnahmen abzuleiten, erarbeiten die KRITIS-Betreiber und ihre Verbände branchenspezifische Sicherheitsstandards, deren Eignung vor der Veröffentlichung vom BSI festgestellt werden muss.

Arne Schönebohm Bildquelle: © Bundesamt für Sicherheit in der Informationstechnik

BSI-Präsident Arne Schönbohm: “Der branchenspezifische Sicherheitsstandard Wasser/Abwasser ist die Grundlage für mehr Cyber-Sicherheit in diesem für Staat, Wirtschaft und Gesellschaft lebenswichtigen Versorgungsbereich.”

Die Prüfung eines erarbeiteten Sicherheitsstandards durch eine Bundesbehörde ist ein Novum für die regelsetzenden Verbände, sagte der Präsident der Deutschen Vereinigung für Wasserwirtschaft, Abwasser und Abfall (DWA) Otto Schaaf im Zuge der Veröffentlichung des KRITIS-Sicherheitsstandards für den Wassersektor. Es ist der erste und bisher einzige branchenspezifische KRITIS-Sicherheitsstandard in Deutschland, dessen Eignung vom BSI festgestellt wurde. Er enthält Rahmenanforderungen an die IT-Sicherheit, die die tatsächlichen Gegebenheiten in der Trinkwasserversorgungen und der Abwasserbeseitigung berücksichtigen, eine konkrete Vorgehensweise zur Risikoanalyse und eine Sammlung von möglichen Sicherheitsmaßnahmen, um die identifizierten Risiken zu reduzieren.

In der Prüfung oder der Erstellung befinden sich laut BSI aktuell zwei Branchenstandards für die Informations- und Kommunikationstechnik (Datacenter & Hosting sowie Internetinfrastruktur), ein Standard für die Lebensmittelindustrie sowie einer für das Finanz- und Versicherungswesen.

Cyber-Attacke dringt auch in Tschernobyl-Sperrzone vor

Laut einer Bitkom-Studie wurde bereits jedes zweite Unternehmen innerhalb der letzten beiden Jahre Opfer eines Cyber-Angriffs. Welche Schäden daraus resultieren können, machten die jüngsten Attacken durch WannaCry und NotPetya deutlich. Aber Schadsoftware ist nicht allein für den Umsatz und den Ruf eines Unternehmens bedrohlich. NotPetya tauchte zuerst in Russland und der Ukraine auf und wurde bald auch auf Computern des havarierten Kernkraftwerks Tschernobyl entdeckt, wie das Magazin Heise berichtete. Aufgrund des Computerausfalls musste die Kontrolle der Radioaktivität manuell stattfinden, wie das Magazin unter Berufung auf die Sperrzonenverwaltung weiter mitteilte.