Bund hat nur Security-Tipps für Betreiber kritischer Infrastruktur

27. August 2018, 12:54
  • security
  • schweiz
  • bund
  • bsi
  • iso 27001
image

Nun legt der Bund einen sogenannten Minimalstandard für Cybersicherheit für Betreiber von kritischer Infrastruktur vor.

Nun legt der Bund einen sogenannten Minimalstandard für Cybersicherheit für Betreiber von kritischer Infrastruktur vor. Er wurde vom Bundesamt für Wirtschaftliche Landesversorgung (BWL) veröffentlicht.
Basis der Standards ist die Untersuchung von 13 zentralen Bereichen und Branchen auf ihre Verwundbarkeit, darunter die Stromversorgung, die Trinkwasser- und Lebensmittelversorgung oder der Strassen- und Schienenverkehr.
Für alle 13 seien unter dem Titel "Minimalstandard zur Stärkung der IKT-Resilienz" Massnahmen definiert worden. Diese basieren auf dem NIST-Cybersecurity-Framework und weiteren Cybersecurity-Standards.
Das Dokument gliedert die Standards in drei Hauptkapitel: Erstens Grundlagen, zweitens Verhaltensanweisungen ("Identifizieren", "Schützen", "Detektieren", "Reagieren" und "Wiederherstellen") und drittens eine Art Resilienz-Assessment. Dieses stellt das BWL als Excel-Dokument zur Verfügung.
Thematisiert werden unter anderem die Cybersecurity-Architektur, das Patch-Management, die Inventarisierung von Kommunikations- und Datenflüssen oder das Lieferketten-Management. Die Standards reichen bis hin zu interner Sensibilisierung oder den Eckpunkten der Recovery-Planung.
Dabei wird Security als Prozess und Daueraufgabe verstanden, nicht als fixer Zustand.
Aufgeführt sind als Referenz-Standards unter anderem COBIT 5, ISO 27001:2013 oder 100.2 des deutschen Bundesamts für Informationssicherheit (BSI). Das eingesetzte NIST-Cybersecurity-Framework stammt aus dem Jahr 2014 und Version 1.1. erschien letzten April.
Gar kein Thema ist die Zertifizierung der Betreiber nach ISO 27001 oder diejenige von IT-Produkten (Hard- und Software) oder Prozessen nach internationalen Informatik-Security-Standards (Common Criteria, FIPS). Solche sind anderswo unter gewissen Bedingungen Pflicht bei zentralen staatlichen Aufgaben.
Auch ist die Umsetzung der Mindeststandards keine Pflicht: "Betreibern von kritischen Infrastrukturen wird empfohlen, den IKT-Minimalstandard umzusetzen", schreibt das BWL, welche diesen als irgendwann als verbindlich erklären könnte. Der Minimalstandard für die Stromversorger ist bereits in Kraft. Die Wasser- und die Lebensmittelversorgung sollen nachziehen.
Die Standards seien auch für andere Firmen brauchbar und stehen zum Download als PDF beim BWL zur Verfügung. (mag)

Loading

Mehr zum Thema

image

Beschaffung des Bundes-CMS wird kritisiert

Der Einkauf des neuen Content Management Systems des Bundes sei intransparent gewesen, heisst es von einer Gruppe Parlamentarier.

publiziert am 27.9.2022
image

Geotech: Huaweis "eiserne Armee" in der Defensive

Huawei-CEO Zhengfei spricht von einem Überlebenskampf, während der internationale Druck zunimmt. Wir haben bei Huawei Schweiz nach Transparenzbemühungen und Geschäftsgang gefragt.

publiziert am 27.9.2022 2
image

Swisscom und EU-Telcos fordern Big-Tech-Beteiligung an Netzkosten

16 CEOs von europäischen Telekomunternehmen wollen, dass sich Google, Meta, Netflix & Co. am Netzausbau beteiligen. Die Forderung ist nicht neu, doch der Ton gewinnt an Schärfe.

publiziert am 26.9.2022
image

Basler Datenschützer sieht Cloud-Gutachten kritisch

Entgegen der öffentlichen Wahrnehmung bedeute der Entscheid aus Zürich nicht, dass der Gang in die Cloud unproblematisch sei, findet der kantonale Beauftragte in Basel-Stadt.

publiziert am 26.9.2022