Viele KRITIS-Unternehmen stehen vor der Herausforderung: Ihnen fehlt ein eigener, interner Informationssicherheitsbeauftragter (ISB) – sei es aus Personalmangel oder aufgrund fehlenden Fachwissens. Doch gerade im Bereich kritischer Infrastrukturen ist Informationssicherheit unerlässlich. Hier kommt der externe ISB ins Spiel! Er kann entscheidende Aufgaben übernehmen und wertvolle Unterstützung bieten. Aber Vorsicht: Auch mit externer Hilfe gibt es Bereiche, in denen das KRITIS-Unternehmen selbst aktiv werden muss. Dieser Blogbeitrag beleuchtet, welche Aufgaben ein externer ISB in Ihrem KRITIS-Unternehmen erledigen kann und wo Ihre interne Mitarbeit unerlässlich ist.
Die Rolle des externen ISB: Ein Überblick
Ein externer ISB kann eine Vielzahl von Aufgaben übernehmen, um die Informationssicherheit in Ihrem KRITIS-Unternehmen zu gewährleisten:
• Das Herzstück: Das Informationssicherheits-Managementsystem (ISMS)
◦ Ein externer ISB kann alle Elemente des Managementsystems zur Gewährleistung des sicheren Betriebs Ihrer Anlagen und der Einhaltung von Informationssicherheitsanforderungen überwachen und pflegen.
◦ Ganz wichtig: Für diese Aufgaben ist der externe ISB auf die umfassende Unterstützung Ihrer internen Mitarbeiter angewiesen. Nur gemeinsam im ISMS-Team können die Anforderungen korrekt umgesetzt werden.
◦ Ein intern benannter Informationssicherheitskoordinator (ISK) kann dem externen ISB dabei helfen, Einblick in die internen Verfahren Ihres Unternehmens zu erhalten.
◦ Die regelmäßige Anpassung von ISMS-Dokumenten und -Prozessen ist dabei eine durchzuführende Aufgabe.
• Der Draht zum BSI: Unterstützung beim Informationsaustausch
◦ Der externe ISB kann den KRITIS-Betreiber beim Informationsaustausch mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützen.
◦ Achtung bei Sicherheitsvorfällen: Die Erstmeldung von Sicherheitsvorfällen muss fristgerecht und nach den Vorgaben der Aufsichtsbehörde erfolgen. Wenn der externe ISB innerhalb dieser vorgegebenen Zeit nicht erreichbar ist, müssen Sie die Erstmeldung ohne seine Unterstützung durchführen.
◦ Eingeschränkter Zugang zu Sicherheitsinformationen: Aufgrund der Beschränkungen des TLP (Traffic Light Protocol) hat der externe ISB möglicherweise nur eingeschränkten Zugang zu sensiblen Sicherheitsinformationen.
◦ Bedrohungsanalyse: Eine passgenaue Bedrohungsanalyse (strategisch, taktisch, operativ) kann er daher nur bedingt leisten. Ihre Mitarbeiter, die Zugang zu allen relevanten Informationen haben, müssen hier unbedingt mitwirken.
◦ Neue Anforderungen vom BSI: Wenn das BSI neue oder geänderte Anforderungen kommuniziert, erfahren dies zunächst nur Ihre Mitarbeiter. Setzen Sie den externen ISB frühzeitig in Kenntnis, damit im ISMS gemeinsam daran gearbeitet werden kann.
• Branchenstandards und ergänzende Dokumente: Der B3S-Dschungel
◦ Ein ISMS im KRITIS-Bereich basiert grundsätzlich auf der ISO 27001 und den Regeln des IT-Grundschutzes vom BSI – Normen, die ein ISB immer beherrschen muss.
◦ Zusätzlich erarbeiten Branchenverbände verbindliche Branchenstandards (B3S) zur anforderungsgemäßen Umsetzung der gesetzlichen Vorgaben, die Ihr Unternehmen im Regelfall für die Nachweisführung anwenden wird.
◦ Einarbeitung des externen ISB: Ihr externer ISB muss sich in diese spezifischen Branchenvorschriften im Einzelfall einarbeiten, besonders da diese nicht immer frei verfügbar sind. Die Eignung des Branchenstandards wird vom BSI geprüft und für einen Zeitraum von zwei oder drei Jahren zur Anwendung freigegeben.
◦ Zugriff auf Dokumente: Als Mitglied Ihres Branchenverbandes haben Sie Zugriff auf ergänzende Dokumente und Verfahren zu diesen Branchenstandards, die Sie beachten müssen. Dazu gehören der Branchenstandard selbst (mit Verweisen auf zusätzlich gültige Normen und weitere Regeln) sowie Verfahren wie IT- oder OT-Leitfäden mit ergänzenden Tools, die sicherstellen, dass Anwendungsfälle und Anforderungen der Branche für die kritischen Anlagen richtig und vollständig erfasst werden.
• Audits und Zertifizierung: Der Nachweis der Sicherheit
◦ Der externe ISB ist mit den Verfahren vertraut, die zwischen der Zertifizierungsstelle, den beauftragten Auditoren und dem KRITIS-Betreiber ablaufen, da diese auf normativen Vorgaben beruhen (z.B. ISO 27001 oder ISO 27019).
◦ Ihre Verantwortung als KRITIS-Betreiber: Sie müssen alle Abläufe mit der Zertifizierungsstelle abstimmen, die für das erforderliche Audit und den Nachweis gegenüber dem BSI und anderen Normen notwendig sind.
◦ Planung und Beauftragung von Audits: Ihre verantwortlichen Mitarbeiter im KRITIS-Betreiber sind dafür zuständig, eine DAkkS (Deutsche Akkreditierungsstelle) akkreditierte Zertifizierungsgesellschaft auszuwählen, die über entsprechend qualifizierte Auditoren für die geforderten Audits verfügt.
◦ Terminliche und inhaltliche Abstimmung: Auch die zeitliche und inhaltliche Abstimmung der durchzuführenden Audits liegt in Ihrer Hand, um sicherzustellen, dass die Audits in den erforderlichen Zeiträumen durchgeführt werden und die für einen Nachweis bei der Aufsichtsbehörde einzuhaltenden Fristen berücksichtigt sind.
◦ Informationsfluss an den externen ISB: Diese Informationen müssen rechtzeitig an den externen ISB weitergegeben werden, damit er mit dem ISMS-Team die Auditvorbereitungen sorgfältig durchführen kann, um den erforderlichen Erfolg zu erzielen.
Fazit: Gemeinsam zum Erfolg
Ein externer ISB ist eine hervorragende Lösung, wenn interne Ressourcen fehlen. Er kann Ihr Unternehmen maßgeblich bei der Einhaltung von Informationssicherheitsanforderungen unterstützen – von der Pflege des ISMS über die Kommunikation mit dem BSI bis hin zur Auditvorbereitung. Doch für den vollen Erfolg ist die enge Zusammenarbeit und der proaktive Informationsaustausch zwischen Ihren internen Mitarbeitern und dem externen ISB unerlässlich. Nur gemeinsam meistern Sie die komplexen Anforderungen im KRITIS-Bereich und stellen die Sicherheit Ihrer Anlagen sicher!
