Interessantes aus den Online-Medien

KRITIS-VO: Auch Öffentlicher Personennahverkehr betroffen

Nachweis-Frist für Korb 2 endet am 30. Juni 2019

Kritische Infrastrukturen sind Anlagen oder Systeme mit wesentlicher Bedeutung für die Aufrechterhaltung gesellschaftlicher Funktionen, Gesundheit, Sicherheit und wirtschaftlichen und sozialen Wohlergehens der Bevölkerung. Mit zunehmender Digitalisierung und damit einhergehender Vernetzung unter Nutzung des Internets wird die Steuerung dieser Anlagen und Systeme jedoch immer komplexer und damit anfälliger für Ausfälle. Um dem vorzubeugen, fordert die Kritisverordnung (BSI-KritisV) von Betreibern Kritischer Infrastrukturen die Einführung geeigneter Schutzmaßnahmen.

Das größte Potenzial für einen Ausfall Kritischer Infrastrukturen bietet der Cyber-Raum, den sich Kriminelle schon längst als Tummelplatz für ihre Aktivitäten erkoren haben. Dabei kommen zwei Dinge zusammen, die die Bedrohung durch Cyber-Kriminalität quasi potenzieren: Während die Methoden der Angreifer immer ausgefeilter werden, liegen betroffene Anlagen und Systeme der als kritisch eingestuften Infrastrukturen – was die IT-Sicherheit anbelangt – noch weitgehend blank. Allerdings drohen Ausfälle nicht nur durch kriminelles Vorgehen, sondern auch durch technische Defekte, die wiederum unterschiedliche Ursachen haben können.

Wer ist betroffen? Schwellenwerte entscheiden

Um der Bedrohung dieser Kritischen Infrastrukturen zu begegnen, hat der Gesetzgeber das IT-Sicherheitsgesetz (IT-SiG) auf den Weg gebracht. Wesentlicher Bestandteil des Gesetzes ist einerseits die Zuordnung der Betreiber von Anlagen und Systemen zu einem von neun Sektoren anhand von Schwellenwerten. Andererseits stellt es Anforderungen an den Schutz der Kritischen Infrastrukturen und wie geeignete Maßnahmen nachzuweisen sind. Das am 25. Juli 2015 in Kraft getretene Gesetz ist eine Ergänzung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz/BSIG).

Zur Umsetzung des IT-Sicherheitsgesetzes ist am 3. Mai 2016 der erste Teil der Verordnung (BSI-KritisV) in Kraft getreten. Dieser als „Korb 1“ bezeichnete Teil enthält die Schwellenwerte für Organisationen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung. Mit der seit 30. Juni 2017 vorliegenden Änderungsverordnung BSI-KritisV wurde die Vorgabe des § 10 BSIG umgesetzt. Sie legt die Schwellenwerte für den „Korb 2“ fest, in dem die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr enthalten sind. Damit liegen für sieben der neun KRITIS-Sektoren verbindliche Schwellenwerte vor, ab deren Erreichen Einrichtungen und Anlagen in Deutschland als Kritische Infrastruktur gelten und besonders schützenswert sind.

Sektor Transport und Verkehr

Die BSI-KritisV zählt auch Logistikbetriebe und Verkehrsunternehmen, die zur Versorgung der Bevölkerung als essentiell gelten, zu den Kritischen Infrastrukturen (Sektor 7, Korb 2). Diese Zuordnung schließt über die Branchen Schienen- und Straßenverkehr auch Betreiber des Öffentlichen Personennahverkehrs (ÖPNV) ein. Nach der Kritis-Verordnung sind dabei folgende Organisationen betroffen: Betreiber von Schienennetzen und Stellwerken des öffentlichen Straßenpersonenverkehrs (ÖSPV), Betreiber von Verkehrssteuerungs- und Leitsystemen auf kommunaler Ebene und Betreiber von Leitzentralen des ÖSPV. Die zurzeit gültigen Schwellenwerte lauten: ab 125 Millionen beförderte Personen im Jahr oder ab 500.000 Einwohner in der überwachten Region. Davon betroffen sind derzeit über 20 Betreiber in den deutschen Ballungszentren. Bei einer Senkung der Schwellenwerte dürfte eine Reihe weiterer Unternehmen dazukommen.

Wie wichtig die Dienstleistungen des ÖPNV für die Gesellschaft sind, lässt sich aus nur zwei Zahlen ablesen: Im Jahr 2017 wurden in Deutschland über zehn Milliarden Personen von 63.000 Bussen und Bahnen befördert – sei es zur Arbeit, zur Schule, zum Einkaufen oder zu anderen Zielen. Ein Ausfall hätte chaotische Zustände zur Folge.

BSI-Sektor-Studie

Die Sektor-Studie des BSI aus dem Jahr 2015 nennt mögliche Auswirkungen, bezogen auf den Personenverkehr allgemein, jedoch prinzipiell übertragbar auf den ÖPNV im Besonderen. Dort wird einem funktionsfähigen Personenverkehr hohe Relevanz für die wirtschaftliche Leistungsfähigkeit bescheinigt und als Voraussetzung für die Versorgung von Staat und Gesellschaft mit Gütern und Dienstleistungen bezeichnet. Durch anhaltende Störungen und Einschränkungen von Transportleistungen würden der Studie zufolge große Schäden für die Gesamtwirtschaft oder zumindest für die Wirtschaft einer Region entstehen. Das Szenario beschreibt z. B. die Situation von Arbeitnehmern, die ihre Betriebsstätte nicht oder nur stark verzögert erreichen. Die fehlende Verfügbarkeit von Personal würde zu Ausfällen in der Produktion und im Handel führen, was wiederum direkte finanzielle Folgen nach sich zöge. Neben den direkten finanziellen Schäden beeinträchtigten Störungen im Transportwesen auch Verwaltung und Gesellschaft. Schwerwiegender als die Mobilitätseinschränkungen im persönlichen Bereich seien die zu erwartenden Folgen, wenn z. B. eine fehlende Verfügbarkeit von Personal im Rettungs- und Gesundheitswesen auftritt.

Das Fazit der Studie mündet in der Feststellung: So sehr der Sektor Transport und Verkehr von anderen Sektoren abhängt, so sehr sind auch andere Sektoren einschließlich anderer Kritischer Infrastrukturen auf die Funktionsfähigkeit des Transport- und Verkehrssystems zwingend angewiesen. In der Zusammenfassung nennt die Studie folgende Auswirkungen, die bei einem Ausfall der Personenbeförderung zu erwarten seien:

  • körperliche Versehrtheit und Todesfälle
  • Beeinträchtigung bis Ausfall im Betrieb anderer Kritischer Infrastrukturen
  • relevante Ausfälle bei Wirtschaft, Produktion und Handel
  • Einschränkung der persönlichen Freizeitgestaltung

Geforderte Maßnahmen

Unabhängig von der Zugehörigkeit zu einem Sektor oder einer Branche müssen auf jeden Fall geeignete Maßnahmen ergriffen werden, um – wie gesetzlich gefordert – einen angemessenen Schutz Kritischer Infrastrukturen sicherzustellen und diesen auch nachzuweisen. Dafür bestehen zurzeit zwei Möglichkeiten: die Einführung eines Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 als allgemeine Grundlage, ergänzt um die Erfüllung branchenspezifischer Anforderungen oder – soweit diese bereits vorliegen – die Einführung eines vom BSI anerkannten, unmittelbar branchenspezifischen Sicherheitsstandards (B3S). In beiden Fällen steht die Zertifizierung als Nachweis für die Umsetzung der zum Schutz der Anlagen und Systeme ergriffenen Maßnahmen.

Nach § 8a BSIG müssen diese Maßnahmen Folgendes abdecken: Betroffene Betreiber müssen zum Schutz ihrer IT-Systeme, -Komponenten und -Prozesse Sicherheitsstandards einführen, die dem Stand der Technik entsprechen. Damit sollen angemessene Schutzmaßnahmen implementiert werden können, die Anlagen und Systeme unempfindlich gegenüber Störungen der Verfügbarkeit, Vertraulichkeit, Authentizität und Integrität machen. Das Gesetz fordert außerdem, dass Betreiber dem BSI sowohl eine Kontaktstelle nennen als auch erhebliche IT-Sicherheitsvorfälle melden, sofern diese Auswirkungen auf die Verfügbarkeit einer kritischen Dienstleistungen haben.

Während die Nachweisfrist für die Einführung der Maßnahmen für Betreiber der Sektoren aus Korb 1 bereits 2018 abgelaufen ist, läuft für Betreiber, deren Organisation dem Korb 2 angehören, die Nachweis-Frist noch bis zum 30. Juni 2019.

DQS als „prüfende Stelle“

Die DQS ist Die DQS ist eine anerkannte Prüfstelle und akkreditierte Zertifizierungsstelle, u. a. für ISO 27001. Sie stellt alle geforderten Kompetenzen für eine BSI-konforme Prüfung gem. § 8a (3) BSIG zur Verfügung: für das spezielle Prüfverfahren, für die Audits, für die IT-Sicherheit und für die jeweilige Branche. Mehr über das zweistufige Verfahren erfahren Sie hier.