Bund hat nur Security-Tipps für Betreiber kritischer Infrastruktur

Nun legt der Bund einen sogenannten Minimalstandard für Cybersicherheit für Betreiber von kritischer Infrastruktur vor. Er wurde vom Bundesamt für Wirtschaftliche Landesversorgung (BWL) veröffentlicht.
 
Basis der Standards ist die Untersuchung von 13 zentralen Bereichen und Branchen auf ihre Verwundbarkeit, darunter die Stromversorgung, die Trinkwasser- und Lebensmittelversorgung oder der Strassen- und Schienenverkehr.
 
Für alle 13 seien unter dem Titel "Minimalstandard zur Stärkung der IKT-Resilienz" Massnahmen definiert worden. Diese basieren auf dem NIST-Cybersecurity-Framework und weiteren Cybersecurity-Standards.
 
Das Dokument gliedert die Standards in drei Hauptkapitel: Erstens Grundlagen, zweitens Verhaltensanweisungen ("Identifizieren", "Schützen", "Detektieren", "Reagieren" und "Wiederherstellen") und drittens eine Art Resilienz-Assessment. Dieses stellt das BWL als Excel-Dokument zur Verfügung.
 
Thematisiert werden unter anderem die Cybersecurity-Architektur, das Patch-Management, die Inventarisierung von Kommunikations- und Datenflüssen oder das Lieferketten-Management. Die Standards reichen bis hin zu interner Sensibilisierung oder den Eckpunkten der Recovery-Planung.
 
Dabei wird Security als Prozess und Daueraufgabe verstanden, nicht als fixer Zustand.
 
Aufgeführt sind als Referenz-Standards unter anderem COBIT 5, ISO 27001:2013 oder 100.2 des deutschen Bundesamts für Informationssicherheit (BSI). Das eingesetzte NIST-Cybersecurity-Framework stammt aus dem Jahr 2014 und Version 1.1. erschien letzten April.
 
Gar kein Thema ist die Zertifizierung der Betreiber nach ISO 27001 oder diejenige von IT-Produkten (Hard- und Software) oder Prozessen nach internationalen Informatik-Security-Standards (Common Criteria, FIPS). Solche sind anderswo unter gewissen Bedingungen Pflicht bei zentralen staatlichen Aufgaben.
 
Auch ist die Umsetzung der Mindeststandards keine Pflicht: "Betreibern von kritischen Infrastrukturen wird empfohlen, den IKT-Minimalstandard umzusetzen", schreibt das BWL, welche diesen als irgendwann als verbindlich erklären könnte. Der Minimalstandard für die Stromversorger ist bereits in Kraft. Die Wasser- und die Lebensmittelversorgung sollen nachziehen.
 
Die Standards seien auch für andere Firmen brauchbar und stehen zum Download als PDF beim BWL zur Verfügung. (mag)