Kritische Infrastrukturen, zu denen u. a. die Energie- und Wasserversorgung zählen, sind von großer Bedeutung für das staatliche Gemeinwesen. Was ist bei der Vernetzung dieser Einrichtung zu beachten?
Michael Barth: Die steigende Vernetzung bietet viele Vorteile, auch für Versorgungsunternehmen. Sie haben mehr Transparenz, können ihre Prozesse mit durchgängiger Digitalisierung effizienter gestalten und haben bessere Steuerungsmöglichkeiten. Gleichzeit bedeutet die Vernetzung aber auch, dass die KRITIS-Betreiber ihre Systeme öffnen und damit zusätzliche Sicherheit von Anfang an integrieren müssen.
Aus welchen gesetzlichen Regelungen lassen sich Anforderungen an die IT-Sicherheit in diesem Einsatzbereich ableiten?
Michael Barth: Bereits mit dem ersten IT-Sicherheitsgesetz wurden die Anforderungen an die IT-Sicherheit für ausgewählte Kritische Infrastrukturen erhöht. Mit dem zweiten IT-Sicherheitsgesetz, das sich derzeit in der Ressortabstimmung zwischen den beteiligten Bundesministerien befindet, werden diese Anforderungen weiter steigen. Desweiteren unterliegen beispielsweise Energieversorger dem Energiewirtschaftsgesetz und Netzbetreiber der Aufsicht durch die Bundesnetzagentur, die mit ihrem IT-Sicherheitskatalog den Anforderungen an einen erhöhten IT-Sicherheitsbedarf Rechnung trägt.
Welche Mindestanforderungen müssen IT-Sicherheitslösungen, die zum Schutz Kritischer Infrastrukturen eingesetzt werden, erfüllen?
Michael Barth: Nach jetzigem Stand muss die IT-Sicherheit und damit die eingesetzten Technologien dem "Stand der Technik" entsprechen. Hierbei handelt es sich um einen abstrakten Rechtsbegriff, denn die einzelnen Branchen der KRITIS gemeinsam in ihren Abstimmungsgremien mit Leben füllen können, in dem sie die für ihre Branchen gültigen Mindestanforderungen festlegen und durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) abnehmen lassen. Zusätzlich dazu sind Betreiber kritischer Infrastrukturen auf einem guten Weg, wenn sie sich zum Beispiel an technischen Richtlinien des BSI orientieren oder andere Handreichungen wie zum Beispiel den durch den Bundesverband IT-Sicherheit (Teletrust) erstellten Leitfaden zum Stand der Technik nutzen.
"Die zunehmende Vernetzung bedeutet auch, dass KRITIS-Betreiber ihre Systeme öffnen und damit zusätzliche IT-Sicherheit von Anfang an integrieren müssen."
genua verfügt über ein umfangreiches IT-Sicherheitsangebot für den öffentlichen Bereich und die Privatwirtschaft. Welche Lösungen berücksichtigen die besonderen Anforderungen der Kritischen Infrastrukturen?
Michael Barth: Der Großteil unserer Lösungen und Produkte ist nach Common Criteria zertifiziert und erfüllt damit ohnehin bereits hohe Sicherheitsanforderungen für kritische Anwender. Daneben unterliegen einige unserer Produkte auch den Anforderungen des staatlichen Geheimschutzes und sind entsprechend zugelassen. Weiterhin haben wir uns bei der Ausgestaltung unserer Lösungen zum Beispiel im Bereich der Fernwartung nach den Empfehlungen des BSI ausgerichtet. Insofern können Anwender aus dem KRITIS-Bereich bei unseren Lösungen davon ausgehen, dass sie den Sicherheitsanforderungen in hochkritischen Anwendungsbereichen entsprechen.
Danke für das Gespräch.
Treffen Sie genua im Februar auf der E-world energy & water in Essen und erfahren Sie mehr über zertifizierte und zugelassene IT-Sicherheitslösungen für Kritische Infrastrukturen.
Bildquelle: © gui jun peng / shutterstock.com
