Bund hat nur Security-Tipps für Betreiber kritischer Infrastruktur

27. August 2018 um 12:54
  • security
  • schweiz
  • bund
  • bsi
  • iso 27001
image

Nun legt der Bund einen sogenannten Minimalstandard für Cybersicherheit für Betreiber von kritischer Infrastruktur vor.

Nun legt der Bund einen sogenannten Minimalstandard für Cybersicherheit für Betreiber von kritischer Infrastruktur vor. Er wurde vom Bundesamt für Wirtschaftliche Landesversorgung (BWL) veröffentlicht.
Basis der Standards ist die Untersuchung von 13 zentralen Bereichen und Branchen auf ihre Verwundbarkeit, darunter die Stromversorgung, die Trinkwasser- und Lebensmittelversorgung oder der Strassen- und Schienenverkehr.
Für alle 13 seien unter dem Titel "Minimalstandard zur Stärkung der IKT-Resilienz" Massnahmen definiert worden. Diese basieren auf dem NIST-Cybersecurity-Framework und weiteren Cybersecurity-Standards.
Das Dokument gliedert die Standards in drei Hauptkapitel: Erstens Grundlagen, zweitens Verhaltensanweisungen ("Identifizieren", "Schützen", "Detektieren", "Reagieren" und "Wiederherstellen") und drittens eine Art Resilienz-Assessment. Dieses stellt das BWL als Excel-Dokument zur Verfügung.
Thematisiert werden unter anderem die Cybersecurity-Architektur, das Patch-Management, die Inventarisierung von Kommunikations- und Datenflüssen oder das Lieferketten-Management. Die Standards reichen bis hin zu interner Sensibilisierung oder den Eckpunkten der Recovery-Planung.
Dabei wird Security als Prozess und Daueraufgabe verstanden, nicht als fixer Zustand.
Aufgeführt sind als Referenz-Standards unter anderem COBIT 5, ISO 27001:2013 oder 100.2 des deutschen Bundesamts für Informationssicherheit (BSI). Das eingesetzte NIST-Cybersecurity-Framework stammt aus dem Jahr 2014 und Version 1.1. erschien letzten April.
Gar kein Thema ist die Zertifizierung der Betreiber nach ISO 27001 oder diejenige von IT-Produkten (Hard- und Software) oder Prozessen nach internationalen Informatik-Security-Standards (Common Criteria, FIPS). Solche sind anderswo unter gewissen Bedingungen Pflicht bei zentralen staatlichen Aufgaben.
Auch ist die Umsetzung der Mindeststandards keine Pflicht: "Betreibern von kritischen Infrastrukturen wird empfohlen, den IKT-Minimalstandard umzusetzen", schreibt das BWL, welche diesen als irgendwann als verbindlich erklären könnte. Der Minimalstandard für die Stromversorger ist bereits in Kraft. Die Wasser- und die Lebensmittelversorgung sollen nachziehen.
Die Standards seien auch für andere Firmen brauchbar und stehen zum Download als PDF beim BWL zur Verfügung. (mag)

Loading

Mehr zum Thema

image

Cyberkriminelle stehlen schützenswerte Daten von Franz Carl Weber

Die Ransomware-Bande Black Basta behauptet, über 700 GB an Daten des Spielwaren-Händlers ergaunert zu haben. Darunter finden sich vor allem persönliche Daten von Angestellten. Das Mutterhaus bestätigt den Angriff.

publiziert am 1.3.2024 1
image

Zürcher Securosys stellt Sicherheits­modul für Post-Quantum-Welt vor

Das neue Hardware-Sicherheitsmodul (HSM) unterstützt aktuelle wie auch die neuen Quanten-sicheren Algorithmen und soll sich so für den hybriden Einsatz eignen.

publiziert am 1.3.2024
image

Podcast: Sind die Bemühungen gegen Ransomware-Banden aussichtslos?

Lockbit und Alphv wurden zerschlagen – und waren Tage danach wieder aktiv und drohen mit Vergeltung. Wir diskutieren, ob die Bemühungen gegen Ransomware aussichtslos sind.

publiziert am 1.3.2024
image

Ivanti-Backdoors können Factory-Resets überleben

Das bisherige Integrity-Checker-Tool von Ivanti konnte zudem manche Infektionen nicht finden, warnt die US-Sicherheitsbehörde Cisa.

publiziert am 1.3.2024