Schlagwort-Archiv B3S

Was ist KRITIS?

Wofür steht eigentlich KRITIS und was steckt dahinter? Alle Hintergründe und die Basics zu KRITIS erläutern wir Ihnen im folgenden spannenden Beitrag. Bin ich KRITIS – mit praktischer Analyse-Tabelle!

KRITIS steht für Kritische Infrastruktur. Dazu zählen laut Definition vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie Bundesamt für Sicherheit in der Informationstechnik (BSI) Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Soweit so gut. Schauen wir uns das im Folgenden etwas genauer an.

In Deutschland werden Organisationen und Einrichtungen aus den Bereichen Energieversorgung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur zu den Kritischen Infrastrukturen gezählt.1 Diese in 2009 von der Bundesregierung verabschiedeten Bereiche werden wiederum in Sektoren unterteilt. Hier lohnt es sich einen genaueren Blick hineinzuwerfen, denn nicht jeder, der sich beispielsweise zum Bereich Gesundheit zählt, ist automatisch KRITIS. Dazu später mehr.

Worum geht es konkret bei KRITIS?

Es geht bei KRITIS um die Gewährleistung, dass im Ausnahmezustand die Dienstleistungen/Produkte der KRITIS Betreiber weiterhin zur Verfügung stehen. Die Betreiber Kritischer Infrastrukturen sollen durch geeignete technische und organisatorische Maßnahmen die Bedrohungen auf die IT reduzieren oder sogar eliminieren können. In Ausnahme -bzw. Krisensituationen muss die Organisation oder Einrichtung weiterhin handlungsfähig bleiben. Die IT kann wesentlich durch Hackerangriffe, feindliche Staaten sowie Naturkatastrophen und andere Elementare Gefährdungen bedroht werden, wie beispielsweise Stromausfall, Hochwasser und Feuer.

Die Wiederstandfähigkeit der IT und die Absicherung der kritischen Infrastruktur durch geeignete und empfohlene Maßnahmen wird wiederum in regelmäßigen Audits geprüft. KRITIS Betreiber müssen alle drei Jahre einen Auditierungsnachweis erbringen.

Ferner ist die Rede davon, dass die IT dem Stand der Technik entsprechen muss, welcher das ist, kann zum Beispiel durch die Ableitung eines gängigen Standards (ISO/IEC 27001) ermittelt werden. Zu beachten ist nur, dass der „Stand der Technik“ in der Definition nie allgemeingültig ist und von Branche zu Branche unterschiedlich sein kann. Darüber hinaus unterliegen einige Branchen weiterer Standards bzw. Sicherheitsvorkehrungen, hierzu zählt unter anderem der B3S (Abk. für Branchenspezifische Sicherheitsstandards).2 Im B3S werden auf die jeweilige Branche angepasste Anforderungen an die Kritische Infrastruktur definiert.

Auch an dieser Stelle der Hinweis, dass der B3S ebenfalls nicht unbedingt von allen Organisationen und Einrichtungen der jeweiligen Branche/Sektoren umgesetzt werden muss.

Weiterhin gilt, dass KRITIS Betreiber eine Kontaktstelle benennen müssen, die eine Erreichbarkeit zu jeder Zeit ermöglicht. Zu melden ist diese Kontaktstelle auf der Meldeseite des BSI. Doch Obacht, über diese gemeldete Kontaktstelle hat die Kommunikation ausschließlich und 24/7 zu erfolgen, Außnahmen durch Feiertage, Betriebsferien oder ähnliches sind nicht gestattet. Meldet der KRITIS Betreiber jedoch keine Kontaktstelle, so muss er mit Bußgeldern rechnen. Zusammenschlüsse mehrerer Einheiten unter einer Kontaktstelle sind möglich.

KRITIS Betreiber unterliegen zudem einer Meldepflicht von Sicherheitsvorfällen sowie erheblicher IT-Störungen, die zu einem Ausfall führen können. Allerdings muss erst bei einem Ausfall die Meldung namentlich erfolgen, Störungen können zunächst auch anonym gemeldet werden.

Wer zu den KRITIS Betreibern gehört, sollte sich Unterstützung zur Umsetzung der geforderten Maßnahmen suchen. Unterstützung bietet zum Beispiel auch der UP KRITIS. Dieser ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen.3 Übrigens können auch kleinere Unternehmen, die zwar eine Kritische Infrastruktur haben, aber nicht unter KRITIS fallen, beim UP KRITIS aufgenommen werden. Die Teilnahme ist kostenfrei.

Ist man offiziell KRITIS Betreiber und erfüllt nicht alle geforderten technischen und/oder organisatorische Maßnahmen, so können ebenfalls Bußgelder verhängt werden. Diese erhöhen sich, wenn man diese selbst nach Aufforderungen durch das BSI nicht behebt. Wenn ein KRITIS Betreiber eine Maßnahme aufgrund von Kostengründen nicht umsetzen möchte, ist dies nicht zulässig.

Außerdem ist es ratsam, sich mit seiner Bedrohungslage auch dann auseinander zu setzen und entsprechende technische und organisatorische Maßnahmen anzunehmen, wenn man nicht unter KRITIS fällt. Wie Sie eine Risikoanalyse sinnvoll umsetzen, können Sie in diesen Beiträgen nachlesen:

Risikobewertung – Wissen wie es geht!

Risikomanagement – Und warum wir es lieben

Wie weiß ich nun, ob ich oder mein Kunde KRITIS ist oder nicht?

Informieren Sie sich zum Beispiel auf der Website des BSI und finden Sie heraus, ob Sie zu den aufgelisteten Sektoren zählen, die in §2 Absatz 10 des BSI-Gesetzes BSIG zu finden sind.4 Darüber hinaus müssen Sie den Versorgungsgrad ermitteln, eine bestimmte Mitarbeiteranzahl überschreiten sowie über 2 Mio. Jahresumsatz liegen. Nutzen Sie darüber hinaus unsere praktische KRITIS Analyse-Tafel, bei der Sie in fünf Schritten zum Ergebnis kommen.

NormTracker – Jetzt auch für ISO/IEC 27001!

Profitieren auch Sie von einer sicheren KRITIS Analyse und Umsetzung, wappnen Sie sich mit unserem cleveren ISMS-Tool NormTracker. Sie wollen mehr zum Thema KRITIS erfahren oder einen kostenlosen Testaccount? Kontaktieren Sie uns!

Bin ich KRITIS? Hier in 5 Schritten KRITIS analysieren!

Quellen:

1 KRITIS https://www.kritis.bund.de/SubSites/Kritis/DE/Einfuehrung/einfuehrung_node.html

2 B3S https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/B3S_Orientierungshilfe.pdf?__blob=publicationFile

3 UP KRITIS https://www.kritis.bund.de/SubSites/Kritis/DE/Aktivitaeten/Nationales/UPK/upk_node.html

4 BSIG https://www.gesetze-im-internet.de/bsig_2009/__2.html

Informationssicherheit in Krankenhäusern – Warum Sie spätestens jetzt Ihr ISMS Vorhaben starten sollten!

Langsam tickt die Uhr für die Krankenhäuser, die nach dem Fördermittelantrag-Marathon noch ein Informationssicherheits-Managementsystem (ISMS) bis zum 01. Januar 2022 einzuführen haben. Warum es gerade jetzt eine Lösung zu verwenden gibt, die Aufwand und Zeit einspart, wollen wir im Folgenden schildern.

Schauen wir uns zunächst noch einmal im Detail an, was genau die Gesetzgebung verlangt.

Im §75c SGB V steht sinnhaft unter Abschnitt 1, dass ab dem 01. Januar 2022 Krankenhäuser verpflichtet sind, nach dem Stand der Technik angemessene organisatorische sowie technische Maßnahmen zur Absicherung der Schutz- oder Kadinalsziele umzusetzen. Dabei soll der erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses stehen.

Das bedeutet auf der einen Seite, dass ein Informationssicherheitssystem eingeführt und betrieben werden muss, aber auf der anderen Seite sollen die eingeführten technischen sowie organisatorischen Maßnahmen zur Absicherung im Verhältnis stehen.

Weiter in Abschnitt 2 wird erwähnt, dass Krankenhäuser die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.

In diesem Abatz wird deutlich, dass die Anforderungen nach B3S erfüllt werden müssen, allerdings sagt dies noch nichts über den empfohlenen ISMS Standard aus, ob dieser zwingend nach ISO27001 oder BSI IT-Grundschutz sein muss. Bereits in 2019 wurde vom BSI das kleine charmante Regelwerk VdS 10000 der VdS Schadenverhütung GmbH als ein geregelter Prozess zur Einführung eines ISMS erklärt und ermöglicht vor allem jetzt allen Krankenhäusern noch bis Ende des Jahres einen angemessenen und guten Basisschutz einzuführen, wohingegen die ISO27001 für den Start zu umfangreich wäre. An der Stelle auch der Hinweis, dass die VdS 10000 aufwärtskompatibel zur ISO27001 ist, was noch einmal unterstreicht, dass die VdS 10000 ein wunderbarer Ausgangspunkt ist.

Unter Abschnitt 3 wird nun auch noch einmal verdeutlicht, dass diese Regelung für alle Krankenhäuser zutrifft und nicht nur für Betreiber kritischer Infrastrukturen. Nun wird jeder in die Pflicht genommen angemessene technische Vorkehrungen zu treffen.

Egal ob Sie mit der VdS 10000, ISO27001 oder dem BSI IT-Grundschutz durchstarten wollen, NormTracker unterstützt Sie bei der ISMS Umsetzung und hilft Ihnen mit einer gut vorbereiteten Datenbank inklusive Aufgabenpaketen, Gefährdungsvoreinstellungen und Dokumentenvorlagen bei einem schnellen Aufbau Ihres ISMS.

Das Beste kommt zum Schluss…

Wenn Sie sich noch im Sommer für das bewärte ISMS Tool NormTracker entscheiden, erhalten Sie ein auf Ihre Organisation abgestimmten IT-Security Quick Start Workshop im Wert von 2.000 Euro gratis dazu. Sie werden auf die anstehenden Aufgaben vorbereitet, erhalten eine grobe Übersicht der Schwachstellen sowie Handlungsempfehlungen, die Sie dann gezielt mit NormTracker umsetzen können. Ebenfalls werden Sie auf die Basics der Informationssicherheit geschult und das ISMS-Projekt auf Ihre Organisation individuell vorbereitet.

Entscheiden Sie sich jetzt noch für einen KOSTENLOSEN Testaccount und sichern sich somit unser Juli Angebot. Wenden Sie sich an hello@certvision.de!

Quelle: http://www.gesetze-im-internet.de/sgb_5/__75c.html

KHZG Krankenhauszukunftsgesetz

umfassende Unterstützung vom Förderantrag bis zur Umsetzung

Das Krankenhauszukunftsgesetz (KHZG) ist im September 2020 in Kraft getreten und soll maßgeblichen zur Digitalisierung in Krankenhäusern beitragen. Über den Krankenhauszukunftsfonds (KHZF) wird eine finanzielle Hilfe von über 4,3 Milliarden Euro von Bund und Ländern zur Verfügung gestellt. Investiert werden soll in moderne Notfallkapazitäten, IT-Sicherheit und Digitalisierungsvorhaben.

Wer nicht schnell genug ist, wird aus dem Fördertopf nichts mehr abbekommen, zudem ist bei den Förderanträgen Transparenz und professionelle Ausarbeitung erforderlich, um eine Bewilligung zu erhalten.

Neben dem Druck, die notwendigen Fördermittel zu erhalten, bedarf den Krankenhäusern an Experten KnowHow bei der ganzheitlichen Umsetzung, nicht zuletzt, um die hohen Sanktionen, die ab 2025 greifen werden, umgehen zu können.

In den vergangenen Wochen durften wir mehrere intensive und offene Gespräche mit IT-Leitern und Geschäftsführern aus dieser Branche führen, wir wollten die Herausforderungen besser verstehen und analysieren, mit dem Ziel, die passende Lösung bereitstellen zu können.

Bei uns erhälst Du die perfekte Lösung – alles aus einer Hand!

Gemeinsam mit der aConTech GmbH, Simon Projects GmbH und FUNDAMENTAL Consulting GmbH & Co. KG haben für Dich die optimalste Lösung gebaut, sodass Du alles aus einer Hand beziehen kannst, vom Förderantrag bis zur Umsetzung der geforderten Maßnahmen.

Worauf es Dir ankommt:

  • Beratung Fördermittelantrag zum Festpreis mit MUSS/KANN Kriterien-Liste und professioneller Ausarbeitung Deines Antrags
  • Erstellung umfangreicher IT-Sicherheitskonzepte mit Betrachtung der Maßnahmen auf technischer und organisatorischer Ebene sowie DSGVO Anforderungs-Mapping zu 365 Lösungen durch ausgewiesene Experten
  • ISMS Umsetzung nach B3S gemäß Verpflichtung §75c SGB V mit NormTracker; verschlüsselte Datenspeicherung auf der Microsoft Cloud-Plattform und sichere Anmeldung durch Azure Active Directory, DSGVO Konformität, SharePoint Online Integration, optimierte Kommunikation mit dem DSB
  • Soft- und Hardwareberatung inkl. Impelentierung und Schwachstellenanalysemanagement

Unser ISMS-Tool NormTracker bietet dabei die ideale Unterstützung, um den branchenspezifischen Standard B3S schnell, sicher und einfach umzusetzen.

50% Aufwandseinsparung bei der Umsetzung des ISMS

75% Kosteneinsparung beim Betrieb des ISMS

Bereits die ersten Krankenhäuser haben mit uns Digitalisierungs- und IT-Security-Vorhaben gestartet, Krankenhäuser, bei denen NormTracker im Einsatz ist, loben die enorme Zeiteinsparung und Leichtigkeit bei der B3S-Umsetzung mit der cloudbasierten Software.

Durch die intuitive Bedienung und moderne Kacheloptik, fühlen sich User schnell im Tool zurecht, sie werden bei den alltäglichen Dingen an die Hand genommen und durchgängig begleitet. Zudem können auch andere relevante Normen bestens in der Datenbank ergänzt werden, wodurch weitere QM-Tools obsolet werden.

Melde Dich bei uns für einen kostenlosen NormTracker-Testzugang sowie für ein unverbindliches Gespräch: hello@certvision.de

Wir wünschen Dir viel Erfolg!

Dein CertVision-Team