Zertifizierung nach dem BSI-Standard für eine kritische Infrastruktur (KRITIS)

Für moderne, arbeitsteilige Volkswirtschaften, die auf die Mobilität von Personen und Gütern angewiesen sind, ist ein funktions- und leistungsfähiges Transport- und Verkehrssystem Grundvoraussetzung. Störungen im Transportverkehr wirken sich sowohl auf die Gesellschaft als auch die Wirtschaft aus. Insbesondere sind die folgenden Szenarien denkbar: unzureichende Versorgung mit lebenswichtigen Gütern, Auswirkungen auf Rettungs-, Gesundheitswesen sowie fehlende Mobilität im Arbeits- und Freizeitbereich. Um den Gefährdungen entgegenzuwirken, hat der Gesetzgeber im Juli 2015 das IT-Sicherheitsgesetz verabschiedet sowie in weiterer Folge kritische Infrastrukturen (KRITIS) bestimmt. Die Betreiber dieser kritischen Infrastrukturen, unabhängig davon, ob privatwirtschaftlich oder öffentlich-rechtlich organisiert, sind verpflichtet, die Informationssicherheit nach dem BSI-Standard unter technischen und organisatorischen Aspekten zu beleuchten und in ihrer Organisation zu implementieren. Die grundsätzliche Motivation der gesetzlichen Vorgabe ist es, in den einzelnen KRITIS-Sektoren einen Mindeststandard in Bezug auf die Informationssicherheit zu erreichen sowie den Risiken einer modernen und weit vernetzten IT-Landschaft adäquat zu begegnen.

Um dieses Ziel zu erreichen, stehen u.a. die KRITIS-Betreiber des Sektors Transport und Verkehr der Herausforderung gegenüber, die Verfügbarkeit ihrer Dienste durch technische Maßnahmen robuster zu gestalten sowie die Vertraulichkeit und Integrität der Informationsflüsse zu gewährleisten.

Das Leistungsspektrum von Rücker + Schindele in diesem Projekt:

• Ist-Erhebung der IT-Systeme, IT-Anwendungen, Räume und Gebäude sowie Kommunikationsverbindungen im IT-Verbund des Kunden (IT-Strukturanalyse, IT-Netzpläne)
• Kunden-Workshops zur Schutzbedarfsfeststellung
• Modellierung des IT-Verbundes und Durchführung von Basis-Sicherheitschecks
• Durchführung von Risikoanalysen in Bezug auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit
• Beratung und Unterstützung bei der Implementierung des Informationssicherheitsmanagementsystems (ISMS) mit dem Ziel der Zertifizierung

Für den KRITIS-Sektor Transport und Verkehr bestehen aktuell nur rudimentäre Vorgaben. Ein Sicherheitskatalog für den Sektor ist noch nicht vorhanden. Dies bedeutet im Umkehrschluss, dass das Projekt einen signifikanten Anteil daran hat, eine einheitliche, bundesweite Vorgehensweise zur Implementierung der Informationssicherheit für Einrichtungen des KRITIS-Sektors Transport und Verkehr zu gestalten. Im IT-Verbund sind ca. 100 Liegenschaften auf einer Fläche von 17.000 km² enthalten.