Schlagwort-Archiv ISO27001

Was ist KRITIS?

Wofür steht eigentlich KRITIS und was steckt dahinter? Alle Hintergründe und die Basics zu KRITIS erläutern wir Ihnen im folgenden spannenden Beitrag. Bin ich KRITIS – mit praktischer Analyse-Tabelle!

KRITIS steht für Kritische Infrastruktur. Dazu zählen laut Definition vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie Bundesamt für Sicherheit in der Informationstechnik (BSI) Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Soweit so gut. Schauen wir uns das im Folgenden etwas genauer an.

In Deutschland werden Organisationen und Einrichtungen aus den Bereichen Energieversorgung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur zu den Kritischen Infrastrukturen gezählt.1 Diese in 2009 von der Bundesregierung verabschiedeten Bereiche werden wiederum in Sektoren unterteilt. Hier lohnt es sich einen genaueren Blick hineinzuwerfen, denn nicht jeder, der sich beispielsweise zum Bereich Gesundheit zählt, ist automatisch KRITIS. Dazu später mehr.

Worum geht es konkret bei KRITIS?

Es geht bei KRITIS um die Gewährleistung, dass im Ausnahmezustand die Dienstleistungen/Produkte der KRITIS Betreiber weiterhin zur Verfügung stehen. Die Betreiber Kritischer Infrastrukturen sollen durch geeignete technische und organisatorische Maßnahmen die Bedrohungen auf die IT reduzieren oder sogar eliminieren können. In Ausnahme -bzw. Krisensituationen muss die Organisation oder Einrichtung weiterhin handlungsfähig bleiben. Die IT kann wesentlich durch Hackerangriffe, feindliche Staaten sowie Naturkatastrophen und andere Elementare Gefährdungen bedroht werden, wie beispielsweise Stromausfall, Hochwasser und Feuer.

Die Wiederstandfähigkeit der IT und die Absicherung der kritischen Infrastruktur durch geeignete und empfohlene Maßnahmen wird wiederum in regelmäßigen Audits geprüft. KRITIS Betreiber müssen alle drei Jahre einen Auditierungsnachweis erbringen.

Ferner ist die Rede davon, dass die IT dem Stand der Technik entsprechen muss, welcher das ist, kann zum Beispiel durch die Ableitung eines gängigen Standards (ISO/IEC 27001) ermittelt werden. Zu beachten ist nur, dass der „Stand der Technik“ in der Definition nie allgemeingültig ist und von Branche zu Branche unterschiedlich sein kann. Darüber hinaus unterliegen einige Branchen weiterer Standards bzw. Sicherheitsvorkehrungen, hierzu zählt unter anderem der B3S (Abk. für Branchenspezifische Sicherheitsstandards).2 Im B3S werden auf die jeweilige Branche angepasste Anforderungen an die Kritische Infrastruktur definiert.

Auch an dieser Stelle der Hinweis, dass der B3S ebenfalls nicht unbedingt von allen Organisationen und Einrichtungen der jeweiligen Branche/Sektoren umgesetzt werden muss.

Weiterhin gilt, dass KRITIS Betreiber eine Kontaktstelle benennen müssen, die eine Erreichbarkeit zu jeder Zeit ermöglicht. Zu melden ist diese Kontaktstelle auf der Meldeseite des BSI. Doch Obacht, über diese gemeldete Kontaktstelle hat die Kommunikation ausschließlich und 24/7 zu erfolgen, Außnahmen durch Feiertage, Betriebsferien oder ähnliches sind nicht gestattet. Meldet der KRITIS Betreiber jedoch keine Kontaktstelle, so muss er mit Bußgeldern rechnen. Zusammenschlüsse mehrerer Einheiten unter einer Kontaktstelle sind möglich.

KRITIS Betreiber unterliegen zudem einer Meldepflicht von Sicherheitsvorfällen sowie erheblicher IT-Störungen, die zu einem Ausfall führen können. Allerdings muss erst bei einem Ausfall die Meldung namentlich erfolgen, Störungen können zunächst auch anonym gemeldet werden.

Wer zu den KRITIS Betreibern gehört, sollte sich Unterstützung zur Umsetzung der geforderten Maßnahmen suchen. Unterstützung bietet zum Beispiel auch der UP KRITIS. Dieser ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen.3 Übrigens können auch kleinere Unternehmen, die zwar eine Kritische Infrastruktur haben, aber nicht unter KRITIS fallen, beim UP KRITIS aufgenommen werden. Die Teilnahme ist kostenfrei.

Ist man offiziell KRITIS Betreiber und erfüllt nicht alle geforderten technischen und/oder organisatorische Maßnahmen, so können ebenfalls Bußgelder verhängt werden. Diese erhöhen sich, wenn man diese selbst nach Aufforderungen durch das BSI nicht behebt. Wenn ein KRITIS Betreiber eine Maßnahme aufgrund von Kostengründen nicht umsetzen möchte, ist dies nicht zulässig.

Außerdem ist es ratsam, sich mit seiner Bedrohungslage auch dann auseinander zu setzen und entsprechende technische und organisatorische Maßnahmen anzunehmen, wenn man nicht unter KRITIS fällt. Wie Sie eine Risikoanalyse sinnvoll umsetzen, können Sie in diesen Beiträgen nachlesen:

Risikobewertung – Wissen wie es geht!

Risikomanagement – Und warum wir es lieben

Wie weiß ich nun, ob ich oder mein Kunde KRITIS ist oder nicht?

Informieren Sie sich zum Beispiel auf der Website des BSI und finden Sie heraus, ob Sie zu den aufgelisteten Sektoren zählen, die in §2 Absatz 10 des BSI-Gesetzes BSIG zu finden sind.4 Darüber hinaus müssen Sie den Versorgungsgrad ermitteln, eine bestimmte Mitarbeiteranzahl überschreiten sowie über 2 Mio. Jahresumsatz liegen. Nutzen Sie darüber hinaus unsere praktische KRITIS Analyse-Tafel, bei der Sie in fünf Schritten zum Ergebnis kommen.

NormTracker – Jetzt auch für ISO/IEC 27001!

Profitieren auch Sie von einer sicheren KRITIS Analyse und Umsetzung, wappnen Sie sich mit unserem cleveren ISMS-Tool NormTracker. Sie wollen mehr zum Thema KRITIS erfahren oder einen kostenlosen Testaccount? Kontaktieren Sie uns!

Bin ich KRITIS? Hier in 5 Schritten KRITIS analysieren!

Quellen:

1 KRITIS https://www.kritis.bund.de/SubSites/Kritis/DE/Einfuehrung/einfuehrung_node.html

2 B3S https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/B3S_Orientierungshilfe.pdf?__blob=publicationFile

3 UP KRITIS https://www.kritis.bund.de/SubSites/Kritis/DE/Aktivitaeten/Nationales/UPK/upk_node.html

4 BSIG https://www.gesetze-im-internet.de/bsig_2009/__2.html

Informationssicherheit in Krankenhäusern – Warum Sie spätestens jetzt Ihr ISMS Vorhaben starten sollten!

Langsam tickt die Uhr für die Krankenhäuser, die nach dem Fördermittelantrag-Marathon noch ein Informationssicherheits-Managementsystem (ISMS) bis zum 01. Januar 2022 einzuführen haben. Warum es gerade jetzt eine Lösung zu verwenden gibt, die Aufwand und Zeit einspart, wollen wir im Folgenden schildern.

Schauen wir uns zunächst noch einmal im Detail an, was genau die Gesetzgebung verlangt.

Im §75c SGB V steht sinnhaft unter Abschnitt 1, dass ab dem 01. Januar 2022 Krankenhäuser verpflichtet sind, nach dem Stand der Technik angemessene organisatorische sowie technische Maßnahmen zur Absicherung der Schutz- oder Kadinalsziele umzusetzen. Dabei soll der erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses stehen.

Das bedeutet auf der einen Seite, dass ein Informationssicherheitssystem eingeführt und betrieben werden muss, aber auf der anderen Seite sollen die eingeführten technischen sowie organisatorischen Maßnahmen zur Absicherung im Verhältnis stehen.

Weiter in Abschnitt 2 wird erwähnt, dass Krankenhäuser die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.

In diesem Abatz wird deutlich, dass die Anforderungen nach B3S erfüllt werden müssen, allerdings sagt dies noch nichts über den empfohlenen ISMS Standard aus, ob dieser zwingend nach ISO27001 oder BSI IT-Grundschutz sein muss. Bereits in 2019 wurde vom BSI das kleine charmante Regelwerk VdS 10000 der VdS Schadenverhütung GmbH als ein geregelter Prozess zur Einführung eines ISMS erklärt und ermöglicht vor allem jetzt allen Krankenhäusern noch bis Ende des Jahres einen angemessenen und guten Basisschutz einzuführen, wohingegen die ISO27001 für den Start zu umfangreich wäre. An der Stelle auch der Hinweis, dass die VdS 10000 aufwärtskompatibel zur ISO27001 ist, was noch einmal unterstreicht, dass die VdS 10000 ein wunderbarer Ausgangspunkt ist.

Unter Abschnitt 3 wird nun auch noch einmal verdeutlicht, dass diese Regelung für alle Krankenhäuser zutrifft und nicht nur für Betreiber kritischer Infrastrukturen. Nun wird jeder in die Pflicht genommen angemessene technische Vorkehrungen zu treffen.

Egal ob Sie mit der VdS 10000, ISO27001 oder dem BSI IT-Grundschutz durchstarten wollen, NormTracker unterstützt Sie bei der ISMS Umsetzung und hilft Ihnen mit einer gut vorbereiteten Datenbank inklusive Aufgabenpaketen, Gefährdungsvoreinstellungen und Dokumentenvorlagen bei einem schnellen Aufbau Ihres ISMS.

Das Beste kommt zum Schluss…

Wenn Sie sich noch im Sommer für das bewärte ISMS Tool NormTracker entscheiden, erhalten Sie ein auf Ihre Organisation abgestimmten IT-Security Quick Start Workshop im Wert von 2.000 Euro gratis dazu. Sie werden auf die anstehenden Aufgaben vorbereitet, erhalten eine grobe Übersicht der Schwachstellen sowie Handlungsempfehlungen, die Sie dann gezielt mit NormTracker umsetzen können. Ebenfalls werden Sie auf die Basics der Informationssicherheit geschult und das ISMS-Projekt auf Ihre Organisation individuell vorbereitet.

Entscheiden Sie sich jetzt noch für einen KOSTENLOSEN Testaccount und sichern sich somit unser Juli Angebot. Wenden Sie sich an hello@certvision.de!

Quelle: http://www.gesetze-im-internet.de/sgb_5/__75c.html

ISO 27001 leicht, schnell und motivierend mit NormTracker

Sie sind zur Einhaltung der Anforderungen nach ISO/IEC 27001 verpflichtet, haben aber weder die Kapazitäten noch die Motivation für die Umsetzung? Dann haben wir genau den richtigen Ansatz für Sie!

NormTracker ist ein bewährtes Tool, das mittlerweile zahlreichen Anwendern zu einem schnellen und unkomplizierten Erfolg verhelfen konnte. Die intuitive Bedienung sowie hochdynamische und flexible Oberfläche macht es möglich, individuell auf Ihr Projekt eingehen zu können.

Wenn Sie dazu verpflichtet sind, den hohen Anforderungen der ISO/IEC 27001 nachzukommen oder davon ausgehen, dass Ihnen auf lange Sicht dieser Standard mehr Vorteile bringen wird, kann NormTracker Sie ganz bequem bei der Zielerreichung unterstützen.

Wenn Sie die Wahl hätten, dieses Ziel leicht oder schwer zu erreichen, zeitreduziert oder aufwendig, verständlich oder unverständlich, für welchen Weg würden Sie sich entscheiden?

Natürlich für den leichten, zeitreduzierten und unkomplizierten Weg!

Die VdS 10000 ISMS für KMU ist ein kleines kompkates, eigenständiges ISMS, das nicht zuletzt für genau diese Fälle entwickelt wurde. Sie erreichen mit reduziertem Aufwand und in einer leicht vermittelten Sprache einen guten Basisschutz, haben einen prima Leitfaden zur Hand, der dazu auch noch wunderbar aufwärtskompatibel zur ISO/IEC 27001 ist.

Starten Sie Ihr individuelles Vorhaben mit dem NormTracker und stellen Sie zunächst einen guten Basisschutz mit VdS 10000 ISMS für KMU her.

Sogar der BSI hat die VdS 10000 als geeignetes, eigenständiges Informationssicherheits-Managementsystem abgesegnet und für gut befunden.

Was bedeutet das nun konkret, wenn Sie mit dem NormTracker Ihr ISO 27001 Ziel erreichen wollen?

Sie erhalten das Normen-Modul VdS 10000 ISMS, erarbeiten sich den erforderlichen guten Basisschutz und bekommen anschließend die zusätzlichen Anforderungen, die auf Ihre Organisation angepasst werden, hinzugefügt. Über diese Herangehensweise werden Sie definitiv Zeit und Energie einsparen und darüber hinaus feststellen, dass ein ISMS motivierend und eine echte Bereicherung für Ihre Organisation sein kann.

Unsere erfahrenen Partnerberater haben schon einige ISO 27001-Projekte über die VdS 10000 bei ihren Mandanten implementiert, bestätigen den reduzieren Zeitaufwand und sind überzeugt, dass dies der beste Weg zur erfolgreichen Umsetzung ist. Wenn auch Sie zukünftig zu diesen zufriedenen Kunden zählen möchten oder noch weitere Fragen haben, sprechen Sie uns gerne an!

Wir sind der Meinung, warum kompliziert, wenn es auch einfach geht!

Bei Fragen, für Testaccounts und allen weiteren Anliegen, freuen wir uns auf Ihre Nachricht.

Sie benötigen noch eine Budgetfreigabe? Kein Problem, mit diesen 10 Argumenten bekommen Sie garantiert vollen Zuspruch Ihres Vorgesetzten.

Warum Office 365 Nutzer vom NormTracker profitieren

Sie haben bereits den ersten Schritt in die Cloud gewagt und die Vorzüge, wie zum Beispiel sicheres, ortsunabhängiges Arbeiten, zu schätzen gelernt? Prima, dann sind Sie jetzt bereit für den nächsten Schritt in Richtung Compliance. Wie NormTracker Sie dabei als perfekte Ergänzung unterstützt, erfahren Sie im Folgendem.

Die Office365 Dienste werden in der Microsoft Cloud auf Azure betrieben. Verglichen mit vielen lokalen Rechenzentren gehört die Microsoft Cloud auf Azure zu den sichersten der Welt, sodass selbst Finanzdienstleister diese nutzen können. Mit mehreren tausend Mitarbeitern arbeitet Microsoft tagtäglich daran, die Sicherheit Ihrer Dienste zu gewährleisten. Dazu gehört nicht nur die Abwehr von Angriffen und die saubere Verschlüsselung Ihrer Daten. Microsoft ist bestrebt, alle Systeme nach bestem Gewissen und dem neuesten Stand der Technik zu betreiben, überwachen und regelmäßig durch Dritte überprüfen und zertifizieren zu lassen. Umfangreiche Security Audits und Informationssicherheitszertifizierungen werden für jeden verwendeten Dienst und jedes Microsoft Rechenzentrum regelmäßig erstellt. Die Ergebnisse werden transparent im Service Trust Portal dargelegt. So haben Office365 Nutzer die Möglichkeit, die kompletten und neuesten Zertifikate und Berichte zu den genutzten Azure Diensten einzusehen.

Im Microsoft Compliance Manager werden zudem die bereits auf Seiten Microsoft getroffenen Maßnahmen und gesetzlichen Anforderungen dargestellt sowie einer Risikobewertung entsprechend aktueller gesetzlicher und behördlicher Anforderungen unterzogen. Darüber hinaus finden Sie hier Handlungsempfehlungen für die Verwaltung und Konfigurierung, um den Schutz auch auf Konsumentenseite zu gewährleisten. Das ist absolut genial, denn Sie sparen sich so wertvolle Zeit ein und können direkt durchstarten.

Auch Normtracker baut auf die umfangreichen Informationssicherheitsfeatures der Microsoft Cloud auf und nutzt diese umfassend.

Viele Unternehmen nutzen bereits Microsoft Office365 und Azure. Dadurch ergibt sich eine sichere Anmeldung mit dem bekannten Microsoft Konto oder echtes Single Sign On mit Azure AD Zugangsdaten. Der Identity Provider Microsoft mit seinen vielen Funktionserweiterungen, wie integrierter 2-Faktor Authentifizierung und Conditional Access, gehört damit zu den global fortschrittlichsten und sichersten.

Im NormTracker können Sie zudem leicht Dokumente aus Ihren Office365 Anwendungen verlinken und stellen so sicher, dass diese immer dem aktuellen Stand entsprechen und Berechtigungen sowie Klassifizierungen beibehalten werden. Beim sicherheitsrelevanten Thema Cloud-Computing und IT-Outsourcing verknüpfen Sie bequem den MS Compliance Manager im NormTracker und haben somit auch diesen Punkt gewissenhaft und belegbar behandelt.

Hard Facts:

  • NormTracker ist die ideale Ergänzung zu Office365.
  • Office365 und NormTracker nutzen dieselbe Technologie.
  • Office365 und NormTracker bauen auf dieselben umfangreichen Informationssicherheitsfeatures der Microsoft Cloud.
  • Sichere Anmeldung mit Ihrem Microsoft Konto in beiden Systemen.
  • Mit NormTracker greifen Sie bequem auf SharePoint und OneDrive zu.
  • Mit NormTracker runden Sie die Compliance Ihrer genutzten Office365 Dienste ab und kommen Ihrer Vorsorgepflicht nach.

Erfahren Sie hier die top 5 Gründe, warum Sie jetzt Informationssicherheit leben sollten!

Melden Sie sich zu unserem Newsletter an, und erhalten Sie in regelmäßigen Abständen wichtige Informationen zum Thema Informationssicherheit.

Fordern Sie sich auch per E-Mail einen Testzugang zum NormTracker an.