Branchenspezifischer Sicherheitsstandard zur IT- Sicherheit. UP KRITIS - BAK Datacenter & Hosting mit CDN

Transkript

1 Branchenspezifischer Sicherheitsstandard zur IT- Sicherheit

2 Informationen zum Dokument Dok.-Version: 1.05 Dok.-Status: Final Dok.-Stand: Dok.-Name: _B3S_BAK_DCH_V1.05 Dokumenten-Freigabe Dokument-Version Freigegeben von Freigegeben am 1.05 Gerd Giese _B3S_BAK_DCH_V1.05 Stand: Seite 2 von 45

3 Autoren Autoren Firma Dietmar Bestenlehner IBM Deutschland Gerald Boyne AWS Bertram Dorn AWS Günter Eggers e-shelter Markus Feichtner Microsoft Dr. Joachim Fölsch Interxion Hans-Jürgen Gerhards Telehouse Gerd Giese Akamai Michael Kranawetter Microsoft Lars Nadzeyka DXC Dr. Dietmar Otten e-shelter Sunita Ute Saxena T-Systems International Dr. Pascal Schmidt Equinix Volker Rauscher 1&1 Internet SE René Wienholtz STRATO Qualitätssicherung Name Firma Gerd Giese Akamai Verteiler Name Funktion Bundesamt für Sicherheit in der Informationstechnik Referat CK 35 Bundesministerium des Innern Referat IT II 2. Kritische IT Infrastrukturen UP KRITIS BAK Datacenter / Hosting UP KRITIS Geschäftsstelle UP KRITIS TAK Regulierung _B3S_BAK_DCH_V1.05 Stand: Seite 3 von 45

4 Inhalt Einleitung Geltungsbereich und Schutzziele Geltungsbereich Leistungen durch Dritte Gesetzlicher Rahmen KRITIS-Schutzziele (Schutzziele der kdl) Bereich Housing Bereich IT-Hosting Bereich CDN IT-Schutzziele und Bedarfe Bereich Housing Bereich IT-Hosting Bereich CDN Branchenspezifische Gefährdungslage All-Gefahrenansatz Branchenspezifische Relevanz und Benennung von Szenarien Benennung der Bedrohungen und Schwachstellen Risikobehandlung Geeignete Behandlung aller für die kdl relevanten Risiken Beschränkung der Behandlungsalternativen für Risiken Berücksichtigung von Abhängigkeiten bei der Risikoanalyse Änderung der Gefährdungslage Angemessene Vorkehrungen (Maßnahmen) Angemessenheit der Maßnahmen Eignung von Maßnahmen Abzudeckende Themen Informations-Sicherheitsmanagement-System (ISMS) Business Continuity Management für kdl (BCM für kdl) Asset Management Robuste / resiliente Architektur Bauliche / physische Sicherheit Personelle und organisatorische Sicherheit Branchenspezifische Technik Bereich Housing Bereich IT-Hosting Bereich CDN Branchenspezifische Architektur u. Verantwortung _B3S_BAK_DCH_V1.05 Stand: Seite 4 von 45

5 5.8.1 Bereich Housing Bereich IT-Hosting Bereich CDN Vorfallserkennung und -bearbeitung Überprüfung und Übungen Externe Informationsversorgung und Unterstützung Lieferanten, Dienstleister und Dritte Technische Informationssicherheit Detailtiefe Detailtiefe der Beschreibung im B3S Von Anforderungen zu Maßnahmen nach Stand der Technik Nachweisbarkeit der Umsetzung Überprüfbarkeit Prüfschema Qualifizierung der Prüfstelle Organisatorische Anforderung an Prüfstelle Prüfprozess Anhang A Bedrohungskategorien Anhang B Referenzierte Dokumente Anhang C Klassifizierung Verzeichnisse Abbildungsverzeichnis Verzeichnis der Tabellen Begriffe und Abkürzungen _B3S_BAK_DCH_V1.05 Stand: Seite 5 von 45

6 Einleitung Am 25. Juli 2015 ist das IT-Sicherheitsgesetz (ITSiG) in Kraft getreten. Dieses Gesetz ist ein Artikelgesetz 1 und modifiziert mehrere bestehende Gesetze, unter anderem das BSI- Gesetz (BSIG) 2. Nach 8a (1) BSIG müssen Betreiber kritischer Infrastrukturen organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse treffen. Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung fu r das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. 3 Nach 10 (1) BSIG wurde eine Rechtsverordnung erlassen, die festlegt, welche Anlagen als kritische Infrastruktur gelten. Die Betreiber von betroffenen Anlagen müssen das BSIG bis zum umsetzen. Der Umsetzungsplan Kritische Infrastrukturen (UP KRITIS) ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen. Innerhalb des UP KRITIS haben sich verschiedene Branchenarbeitskreise gebildet, in denen auf Branchenebene Themen zur Cyber- und IT- Sicherheit behandelt werden. Der Branchenarbeitskreis Datacenter & Hosting hat das vorliegende Dokument als branchenspezifischen Sicherheitsstandard entwickelt. Dieser definiert eine mögliche Umsetzung der Anforderung aus 8a (1) BSIG für die Bereiche Housing & IT-Hosting mit CDN innerhalb des Sektors Informations- und Kommunikationstechnik (IKT). Die Struktur dieses Dokumentes ist nach der Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) Version 1.0 gemäß 8a (2) BSIG vom gegliedert 4. 1 Bundesministerium der Justiz (2008): Handbuch der Rechtsförmlichkeit, D 4.1 Abs Aufrufbar unter: (Jan 2018) 2 Bundesamt für Sicherheit in der Informationstechnologie (2009): Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz BSIG). Aufrufbar unter: (Jan 2018) 3 Bundesamt für Sicherheit in der Informationstechnologie: Schutz Kritischer Infrastrukturen, Definition. Abrufbar unter: (Jan 2018) 4 (Jan 2018) _B3S_BAK_DCH_V1.05 Stand: Seite 6 von 45

7 Der vorliegende branchenspezifische Sicherheitsstandard ist als Rahmenwerk aufgebaut und orientiert sich am Inhalt der internationalen Normenreihe der ISO / IEC Familie, welche die Definition, Herstellung, Einführung, Betrieb und Steuerung, Überwachung, Wartung und kontinuierliche Verbesserung eines dokumentierten Managementsystems für Informationssicherheit (ISMS) beschreibt sowie teilweise an der ISO / IEC Hierdurch wird dem internationalen Trend zur ISO-Standardisierung Rechnung getragen. Des Weiteren lässt es jeder Organisation einen angemessenen Raum bei der tatsächlichen Umsetzung des branchenspezifischen Sicherheitsstandards innerhalb ihres spezifischen Geschäftes und ihrer technischen Aufstellung _B3S_BAK_DCH_V1.05 Stand: Seite 7 von 45

8 1 Geltungsbereich und Schutzziele 1.1 Geltungsbereich Der Geltungsbereich dieses B3S umfasst die kritischen Dienstleistungen (kdl) Datenspeicherung und -verarbeitung der Branche Informationstechnik innerhalb des Sektors Informationstechnik und Telekommunikation. Vertrauensdienste gehören auch zur kdl, werden aber von diesem B3S nicht erfasst. Die hier behandelten kdl gemäß der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung BSI-KritisV) sowie der KRITIS- Sektorstudie Informationstechnik und Telekommunikation (IKT) des BSI vom 5. Februar 2015 betreffen die folgenden Anlagenkategorien: Bereich: Housing o Anlage: Rechenzentrum (Rechenzentrum bzw. Rechenzentren innerhalb eines Campus) ab 5 MW vertraglich vereinbarte Leistung Bereich: IT-Hosting o o Anlage: Serverfarm mit einer Mindestanzahl von laufenden Instanzen im Jahresdurchschnitt Anlage: CDN (Content Delivery Netzwerk) mit einem ausgelieferten Datenvolumen von mindestens TByte / Jahr) Der B3S kann auch von Betreibern angewandt werden, die nicht unter das BSIG fallen. Zur Klarstellung wird darauf hingewiesen, dass sich die Kritikalität eines Bereiches nicht auf die eventuelle Kritikalität eines anderen Bereiches auswirkt (keine Vererbbarkeit). So erfordert zum Beispiel ein kritischer Service wie CDN nicht zwangsläufig eine kritische IT-Hosting oder Housing Umgebung im Sinne des BSIG und der BSI-KritisV. Die BSI-KritisV legt anhand von branchenspezifischen Bemessungskriterien Schwellenwerte fest. Wird ein solcher Schwellenwert erreicht oder aber überschritten, gilt die kdl als bedeutend im Sinne von 10 Abs. 1 BSIG. Dies gilt für den IKT-Sektor mit seinen beiden Dienstleistungen genauso wie für alle anderen 6 geregelten Sektoren. Folglich ist für die Identifizierung allein der Versorgungsgrad innerhalb der Dienstleitung selbst ausschlaggebend. Etwaige Abhängigkeiten anderer Kritischer Infrastrukturen (z.b. Steuerung einer Kritischen Anlage in Co-Location-RZ ausgelagert) sind unerheblich. Hier muss der jeweilige KRITIS-Betreiber selbst Auflagen zum Betrieb seiner Anlage an seinen Dienstleister weitergeben und durchsetzen. Der Geltungsbereich umfasst damit auch extern erbrachte Leistungen zur Aufrechterhaltung der kritischen Dienstleistung, die sowohl vom Betreiber selbst als auch von Dritten erbracht werden _B3S_BAK_DCH_V1.05 Stand: Seite 8 von 45

9 1.2 Leistungen durch Dritte Dieser B3S berücksichtigt die Anforderungen, die (gemäß Kapitel 5.12) an Dritte gestellt werden, wenn zur Aufrechterhaltung der kdl relevante Teile im Auftrag des Betreibers durch Dritte betrieben werden. Dies können bzw. externe Dienstleister, Partnerunternehmen oder Sicherheitsdienste sein. Siehe hierzu die Ausführungen in Kapitel 3 und Kapitel Gesetzlicher Rahmen Dieser B3S berücksichtigt die gesetzlichen Anforderungen, die im Änderungsgesetz des IT- Sicherheitsgesetzes vom und in der BSI-KritisV vom beschrieben sind. Danach sind angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Weitergehende spezialgesetzliche Verpflichtungen zur Erreichung eines bestimmten IT- Sicherheitsniveaus bestehen nicht. Von den Änderungen in den 109 Abs. 2, 4 und 5 TKG, 109a TKG, 100 Abs. 1 TKG, 13 Abs. 7 TMG und im BSI Gesetz sind für die nachfolgenden kritischen Anlagen insbesondere folgende von Relevanz: Bereich Housing: 8a BSIG Bereich IT-Hosting: 8a BSIG Bereich CDN 8-10 TMG, 13 Abs. 7 TMG, 8a BSIG 1.4 KRITIS-Schutzziele (Schutzziele der kdl) Es folgt eine exemplarische Beschreibung, wie die Qualität in Normallagen und Krisenlagen (gemäß Definition BSI 100-4) erreicht werden kann. Das Ziel soll hier sein, einen Betrieb mit in den nachfolgenden Kapiteln genanntem Verfahren und Regeln (Information Security Management Systemen ISMS, etc.) auf der Grundlage von ISO (oder Vergleichbarem) zu organisieren. Dabei ist der Betreiber verpflichtet zu überprüfen, ob es Abweichungen bzw. weitere für den Betrieb benötigte und relevante Systeme gibt Bereich Housing Der B3S bezieht sich auf die betriebsrelevanten IT-Systeme, die zum Betrieb der kritischen Anlage Rechenzentrum erforderlich sind. Die im Folgenden genannten IT-Systeme und digitalen Steuerungssysteme sind dann relevante Anlagen, wenn deren Ausfall den Betrieb der kdl derart beeinträchtigt, dass die kdl _B3S_BAK_DCH_V1.05 Stand: Seite 9 von 45

10 nicht mehr erbracht werden kann. Dies gilt auch für wesentliche Bestandteile der Anlagen zur Erbringung der kdl i.s.d. 93 BGB 5. Betriebsrelevante IT-Systeme (einschließlich der davon genutzten Datennetze) sind: Gebäudeleittechnik (GLT, Überbegriff für Anlagen, die dazu dienen, die technischen Einrichtungen in Gebäuden, die zum Betrieb der kdl dienen, zu überwachen und zu steuern), bestehend z.b. aus o Überwachung und Steuerung der Energieversorgung o Temperatur- und Feuchteüberwachung o Betriebsüberwachung der Infrastruktursysteme (Notstromversorgung, Klimasysteme, Löschanlagen, etc.) o Steuerungssysteme der Anlagen zur Erbringung der kdl (USV, NEA, Klimageräte, Kältemaschinen) Brandmeldesysteme für Gebäude, die zum Betrieb der kdl dienen Überwachungssysteme für den Housing-Standort, bestehend z.b. aus o o o o Videoüberwachung (nicht Monitoringsysteme) Bewegungsmelder Einbruchmeldeanlagen Kontakte zur Öffnungsüberwachung für Türen, Fenster, etc. Systeme, die zum Zutrittsmanagement für die Gebäude, in denen die kdl betrieben wird, dienen, bestehend z.b. aus o o o Kartenleser, bzw. vergleichbare Zutrittsgeräte biometrische Zutrittssysteme Zugehörige Zutrittsverwaltungssysteme Nicht betriebsrelevant sind: IT-Systeme, deren Ausfall keine Auswirkung auf den Betrieb haben Netzanbindung zu den Anbietern von Datennetzen (Provider), soweit diese nicht von den betriebsrelevanten Systemen genutzt werden (z.b. Internet für Office- Nutzung) IT-Systeme, die nicht direkt den Betrieb der kritischen Dienstleistung beeinflussen können (z.b. ERP-Systeme, Office- -Systeme) 5 Bundesministerium der Justiz: Bürgerliches Gesetzbuch (BGB), 93 Wesentliche Bestandteile einer Sache. Aufrufbar unter: 93.html _B3S_BAK_DCH_V1.05 Stand: Seite 10 von 45

11 IT-Systeme der Kunden, einschließlich der dazu gehörenden vom Kunden oder seinen Beauftragten administrierten Netze Netze und Netzwerkverbindungen zum Kunden sind nicht kritisch im Sinne des ITSiG, da sie nicht zum originären Geschäft des Housing-Anbieters gehören und nicht gemanagt bzw. überwacht werden. Zur Definition der Schutzziele für die betriebsrelevanten IT-Systeme werden zwei Varianten unterschieden: Variante A: Alle wesentlichen Systeme des Rechenzentrums sind durchgängig autonom konzipiert und können auch von Hand gesteuert werden. Sie sind nicht voneinander abhängig. Daher sind diese auch ohne GLT (Gebäudeleittechnik) funktionsfähig, weil alle betrieblichen Systeme autonom und dezentral geregelt werden können. Ein Ausfall führt in diesem Fall nicht dazu, dass die kdl zu mehr als 50% beeinträchtigt wird. Variante B: Wesentliche Teile des Rechenzentrums werden durch die GLT ohne manuelle Interaktion unmittelbar oder auch über abgesicherte Verbindungen ferngesteuert. Hier könnte das Rechenzentrum bei einem Ausfall der GLT nicht mehr bzw. nur noch eingeschränkt funktionieren, weil die betrieblichen Systeme zentral gesteuert werden. Ein Ausfall der GLT kann in diesem Fall dazu führen, dass die kdl zu mehr als 50% beeinträchtigt werden wird. Für die betriebsrelevanten IT-Systeme werden folgende allgemeine Schutzziele analog ISO definiert: Vertraulichkeit Sofern für den Zugang neben Passworteingabe noch weitere Sicherheitsmechanismen, wie Token oder Überwachungssysteme überwunden werden müssen, führt der Verlust der Vertraulichkeit, nicht unmittelbar zum Ausfall der kdl und ist deshalb für den Bereich Housing nicht relevant. Integrität und Authentizität Die Integrität und Authentizität der Daten in den Überwachungssystemen ist von hoher Bedeutung, weil die absichtliche oder versehentliche Veränderung (Beeinträchtigung der Integrität) oder Vortäuschung (fehlende Authentizität) insbesondere von Zutrittsdaten für einen Angriff ausgenutzt werden und zu einem weitgehenden Ausfall der kdl führen könnte. Verfügbarkeit Je nach Aufbau des Rechenzentrums, bzw. je nach Implementierung der überwachenden Systeme ist die Verfügbarkeit unterschiedlich zu bewerten _B3S_BAK_DCH_V1.05 Stand: Seite 11 von 45

12 Die folgende Tabelle bewertet die Kritikalität der jeweiligen IT-Systeme für die Erbringung der kdl: Tabelle 1: Kritikalität der IT-Systeme (Housing) Schutzziele der betriebsrelevanten IT- Systeme Gebäudeleittechnik (GLT) Brandmeldetechnik Überwachung, wie Video, Bewegungsmelder Zutrittsmanagement Verfügbarkeit Var. A: normal Var. B: hoch Var. A: normal Var. B: normal Var. A: normal Var. B: normal Var. A: normal Var. B: normal Vertraulichkeit Var. A: normal Var. B: hoch Var. A: normal Var. B: normal Var. A: normal Var. B: normal Var. A: normal Var. B: normal Integrität und Authentizität Var. A: normal Var. B: hoch Var. A: normal Var. B: normal Var. A: normal Var. B: normal Var. A: hoch Var. B: hoch Zur Erläuterung der Tabelle: Variante A: Einstufung normal : wenn z.b. die IT-Systeme der Brandmeldeanlagen nicht oder nicht vollständig funktionieren, ist dennoch die Erkennung eines Brandes z.b. durch entsprechend qualifiziertes Personal vor Ort (kein Kanarienvogelprinzip ) grundsätzlich gewährleistet und der Betrieb des Housings ist somit nicht unmittelbar gefährdet. Variante B: Einstufung normal : wenn z.b. die IT-Systeme der Brandmeldeanlagen nicht oder nicht vollständig funktionieren ist dennoch die Erkennung eines Brandes z.b. durch entsprechend qualifiziertes, eventuell auch aus Bereitschaft hinzugezogenes Personal grundsätzlich gewährleistet und der Betrieb des Housings ist somit nicht unmittelbar gefährdet. Einstufung hoch : wenn z.b. die Integrität eines Steuerungssystems der GLT in Variante B verletzt ist, besteht eine unmittelbare Gefahr für die Erbringung der kdl, da ein Angreifer direkt den Betrieb beeinflussen kann _B3S_BAK_DCH_V1.05 Stand: Seite 12 von 45

13 1.4.2 Bereich IT-Hosting IT-Hosting ist eine Kritische Infrastruktur entsprechend der BSI-KritisV - unabhängig davon, ob der jeweils genutzte Housing-Betreiber selbst als KRITIS-Betreiber nach der BSI-KritisV einzuordnen ist. Der B3S bezieht sich sowohl auf die IT-Systeme, die zum Betrieb der Serverfarm notwendig sind, als auch auf die IT-Systeme, aus denen die Anlagen selbst bestehen. Zur Abgrenzung sei darauf hingewiesen, dass die Digitalen Dienste nach NIS-Direktive 6, hier nicht betrachtet werden. Eine Vererbung der Kritikalität findet nicht statt. Betriebsrelevante IT-Systeme (einschließlich der davon genutzten Datennetze) sind: Systeme, die vom Dienstleister zur Erbringung der kdl benutzt werden und somit als relevant für den Betrieb der Kritischen Infrastruktur betrachtet werden müssen. Netzwerk- und Management-Systeme, bestehend z.b. aus o o Firewall Load Balancer Monitoring-Systeme, bestehend z.b. aus o Intrusion-Detection / -Prevention Gesamtheit der Systeme, die den Umfang der kdl relevanten Dienstleistung abbilden (DL- Systeme), bestehend z.b. aus o o Storage / Speicherung Compute / Rechenleistung Für die betriebsrelevanten IT-Systeme werden folgende allgemeine Schutzziele analog ISO definiert: Vertraulichkeit Der Erhalt der Vertraulichkeit ist für die Erbringung der kdl grundsätzlich von hoher Bedeutung, weil die absichtliche oder versehentliche Veröffentlichung oder unberechtigte Einsichtnahme für einen Angriff auf die kdl ausgenutzt werden und zu einer Störung der kdl führen kann. 6 Amtsblatt der Europäischen Union (2016): RICHTLINIE (EU) 2016 / 1148 DES EUROPÄISCHEN PARLAMENTS UND DES RATES, Abs. 48ff. Aufrufbar unter: _B3S_BAK_DCH_V1.05 Stand: Seite 13 von 45

14 Integrität und Authentizität Die Integrität und Authentizität der Daten in den betriebsrelevanten IT Systemen ist von hoher bis sehr hoher Bedeutung. Beispielsweise kann die absichtliche oder versehentliche Veränderung (Beeinträchtigung der Integrität) oder Vortäuschung (fehlende Authentizität) für einen Angriff auf die kdl ausgenutzt werden und zu einer Störung der kdl führen. Verfügbarkeit Je nach Diensttyp und vereinbarter SLA ist Kritikalität der Verfügbarkeit unterschiedlich zu bewerten. Die folgende Tabelle bewertet die Kritikalität der jeweiligen IT-Systeme für die Erbringung der kdl: Tabelle 2: Kritikalität der IT-Systeme (Hosting) Schutzziele der betriebs-relevanten IT- Systeme Netzwerk- und Management -Systeme Monitoring-Systeme DL-Systeme Verfügbarkeit * sehr hoch * hoch * hoch * Vertraulichkeit hoch hoch hoch Integrität und Authentizität sehr hoch sehr hoch hoch *) Je nach Art der Erbringung der Dienstleistung können diese Schutzziele abhängig von einer Risikoanalyse von dieser Empfehlung abweichen und sind zudem abhängig von der Dienstgütevereinbarung / Service Level Agreement (SLA). Üblicherwiese werden besondere SLA nur in Bezug auf die Verfügbarkeit abgeschlossen _B3S_BAK_DCH_V1.05 Stand: Seite 14 von 45

15 Bereich CDN Der B3S bezieht sich sowohl auf die IT-Systeme, die zum Betrieb, zur Überwachung und zur Steuerung 7 eines Content Delivery Network (CDN) notwendig sind, als auch auf die IT-Systeme, aus denen die Anlagen selbst bestehen. Betriebsrelevante IT-Systeme (einschließlich der davon genutzten Datennetze) sind: Systeme, die vom Dienstleister zur Erbringung der kdl benutzt werden und somit als relevant für den Betrieb der Kritischen Infrastruktur betrachtet werden müssen. Netzwerk- und Management-Systeme (für CDN Betrieb), bestehend z.b. aus o o Switches Load Balancer Monitoring-Systeme, bestehend z.b. aus o SIEM Infrastruktur Gesamtheit der Systeme die den Umfang der kdl relevanten Dienstleistung abbilden (DL-Systeme) (Steuerungssysteme), bestehend z.b. aus o o Speicherung (Storage) Rechenleistung (Compute Power) Nicht betriebsrelevant sind: IT-Systeme, deren Ausfall keine Auswirkung auf den Betrieb des CDN haben können. Netzanbindung zu den Anbietern von Datennetzen (Provider), soweit diese nicht von dem Betreiber des CDN verwaltet werden. IT-Systeme, die nicht direkt den Betrieb der kritischen Dienstleistung beeinflussen können (z.b. ERP-Systeme, Office- -Systeme) IT-Systeme der Kunden, auch wenn sie als Datenlieferant mit dem CDN verbunden sind. Diese Systeme obliegen grundsätzlich nicht der Verantwortung oder der Kontrolle des Betreibers des CDN. Verfügbarkeit der Konfigurationsplattformen, die zur Bearbeitung von kundenspezifischen Einstellungen notwendig sind, weil ein Ausfall dieser Systeme die Funktionsfähigkeit und Integrität des CDN nicht beeinträchtigt. 7 Steuerung im Sinne von IT-Steuerung und -Überwachung (siehe ISO 38500) _B3S_BAK_DCH_V1.05 Stand: Seite 15 von 45

16 Für die betriebsrelevanten IT-Systeme werden folgende allgemeine Schutzziele analog ISO definiert: Verfügbarkeit Die größtmögliche Verfügbarkeit des CDN Service stellt den Kernbereich einer CDN-Dienstleistung dar und ist dementsprechend von sehr hoher Bedeutung. Störungen sind mit hoher Priorität zu bearbeiten und zu beheben. Monitoring und Steuerung sind ebenfalls wichtig, ihre ständige Funktion jedoch nicht ursächlich maßgeblich für die Erbringung der kdl. Vertraulichkeit Der Erhalt der Vertraulichkeit ist für die Diensterbringung grundsätzlich von hoher Bedeutung. Differenzieren sollte man hier jedoch zwischen der Übertragung von verschlüsselten (hohe Vertraulichkeit) und unverschlüsselten (niedrige Vertraulichkeit) Inhalten sowie dynamischen Webseiteninhalten (häufig personenbezogen und vertraulich) und zusätzlichen statischen Objekten. Bei der Steuerung ist die Vertraulichkeit aufgrund der zu erwartenden Multi-Mandantenfähigkeit ebenfalls wichtig. Die Vertraulichkeit der Monitoring-Systeme ist hier von geringerer Bedeutung, da ein Mißbrauch dieser Information keine oder nur geringe Schäden verursachen könnte. Integrität und Authentizität Die Integrität und Authentizität der durch das CDN übertragenen Daten ist von sehr hoher Bedeutung, eine unbefugte nachträgliche Veränderung von Daten gilt es auszuschließen. Ebenso ist von hoher Bedeutung unerlaubten Zugang auf die Steuerungssysteme zu verhindern. Die folgende Tabelle bewertet die Kritikalität der jeweiligen IT-Systeme für die Erbringung der kdl: Tabelle 3: Kritikalität der IT-Systeme (CDN) Schutzziele der betriebsrelevanten IT-Systeme CDN-Betrieb Monitoring-Systeme Steuerungssysteme Verfügbarkeit sehr hoch hoch normal Vertraulichkeit hoch normal hoch Integrität und Authentizität sehr hoch normal sehr hoch _B3S_BAK_DCH_V1.05 Stand: Seite 16 von 45

17 1.5 IT-Schutzziele und Bedarfe Die IT-Schutzziele sind bereits in den KRITIS-Schutzzielen (siehe Kapitel 1.4) definiert, da im Sektor IT die Besonderheit besteht, dass die kritische Dienstleistung die IT selbst ist. Um den Schutzbedarf der in dem vorliegenden Standard betrachteten kritischen IT- Infrastrukturen und IT-Dienstleistungen wie in Kapitel 1.4 beschrieben besser zu verstehen, empfiehlt es sich, eine Trennung der Betrachtungsweise basierend auf den verschiedenen erforderlichen Strukturen und Zugangswegen vorzunehmen. So sind einerseits die Zugangswege des Betreibers der IT-Infrastrukturen zu betrachten und zu sichern. Auf der anderen Seite sind die Zugriffe der Nutzer der IT-Infrastrukturen zu diesen ebenso von Bedeutung. Letztere lassen sich unter Umständen auch in verschiedene Aspekte wie Zugangswege zur Konfiguration oder Zugangswege zu den Inhalten der Dienstleistung trennen Bereich Housing Es muss gewährleistet sein, dass die IT-Infrastruktur zum Erbringen der Dienstleistung Datacenter / Housing durch den Anbieter entsprechend physisch abgesichert, verfügbar sowie gegen unautorisierte Benutzung / Änderung geschützt ist. Ebenso muss der Anbieter sicherstellen, dass sein eigener Zugang und Umgang mit diesen Systemen sicher und auf entsprechenden Standards basierend durchgeführt wird, die dem jeweiligen Schutzbedarf entsprechen. Dem gegenüber steht der Zutritt, welcher dem Datacenter / Housing Kunden ermöglicht, zu seinen Systemen zu gelangen. Hier hat der Anbieter die Aufgabe, geeignete Maßnahmen zu implementieren, um diesen Zugang nur autorisiert und geschützt zur Verfügung zu stellen _B3S_BAK_DCH_V1.05 Stand: Seite 17 von 45

18 Die folgende Darstellung zeigt diese Zusammenhänge schematisch: Abbildung 1: Trennung der Verantwortungsbereiche Datacenter / Housing Abbildung 1 zeigt die Trennung der Verantwortung beim Housing. Der Betreiber der Dienstleistung Datacenter / Housing stellt den physischen Rahmen zur Verfügung, inklusive der Energieversorgung, der Klimatisierung und der Zutrittssysteme 8. Der Nutzer dieses physischen Rahmens betreibt die IT-Systeme, welche in diesem Rahmen installiert werden. Der Betreiber der Dienstleistung Datacenter / Housing hat weder Einfluss auf die IT- Verfahren, noch Zugriff auf die darin genutzten Daten seiner Kunden. Der hier vorliegende Standard beschreibt daher die Sicherung der IT-Systeme zum Betrieb der rein physischen Infrastruktur Datacenter / Housing und zum anderen das Sicherstellen des Zugangs der jeweiligen Kunden zu ihren Systemen. 8 In vielen Fällen stellt der Datacenter-Betreiber auch passive Netzwerke zur Verfügung. Da diese Netze aber nicht aktiv durch die IT-Systeme des Betreibers gesteuert werden, sind diese Datennetze für die Betrachtung nur soweit relevant, wie sie zum Betrieb der Datacenter-Infrastruktur erforderlich sind _B3S_BAK_DCH_V1.05 Stand: Seite 18 von 45

19 1.5.2 Bereich IT-Hosting Für das Themengebiet der für die Öffentlichkeit angebotenen IT-Infrastruktur mittels physischer oder virtueller System-Instanzen (kurz Hosting / virtuelle Server) können die zu betrachtenden Bereiche wie folgt beschrieben werden: Es gibt einen durch den Betreiber bereitgestellten Zugangspfad zu den Management- Systemen für die zur Verfügung gestellten Rechen-Instanzen. Hierbei sind nicht nur die Kontrollsysteme, sondern auch die IT-Technik für den Betrieb der Systeme und ggf. der Virtualisierungsschichten zu betrachten. Der Hosting-Betreiber stellt dem Kunden / Nutzer eine technische Kommandoschnittstelle zur Verfügung. Die korrekte Nutzung obliegt dem Kunden. Die Sicherheit des Zugangspfades zum Hosting-Produkt als auch die Konfiguration des Hosting-Produktes (z.b. Patches) liegt grundsätzlich bei den Nutzern, sofern es nicht anders vereinbart wird (z.b. bei Managed Hosting). Die Verfügbarkeit der vom Betreiber definierten Schnittstellen (Kommando-Schnittstelle und Admin-Schnittstelle) liegt wiederum in der Verantwortung des Betreibers. Diese müssen vom Betreiber sicher, verfügbar und geschützt zur Verfügung gestellt werden, um den Nutzern die Möglichkeit zu geben, die Ausprägung der verwendeten Rechenkapazitäten überwachen und steuern zu können den Betreibern die Möglichkeit zu geben, über die Admin-Schnittstelle die technische Anlage überwachen und steuern zu können _B3S_BAK_DCH_V1.05 Stand: Seite 19 von 45

20 Das folgende Bild stellt die Aufteilung der Verantwortungsbereiche beim Hosting dar: Abbildung 2: Trennung Verantwortungsbereiche im Hosting / Virtuelle Server Zwar besteht an den Zugängen zur Hosting-Plattform eine gemeinsame Verantwortung (Abbildung 2), jedoch ist die Nutzung der Hosting-Produkte nicht Gegenstand des B3S, sondern ausschließlich die technische Anlage zum Betrieb der Hosting-Plattform. Der IT-Hosting Betreiber sorgt dafür, dass der Kunde den Betrieb der Gesamtplattform nicht gefährden kann. Der vorliegende Standard berücksichtigt dies durch die entsprechend umzusetzenden Controls 9 aus dem ISO Rahmenwerk für die betroffenen Bereiche Bereich CDN Ein Content Delivery Network (CDN) überträgt üblicherweise Inhalte (Content) von WEB Servern zu einem nahe am Konsumenten platzierten System (Proxy), um sie dort zur Auslieferung (Delivery) zur Verfügung zu stellen. In diesem Zusammenhang ist ein CDN ein Zwischenspeicher, der von vielen Abnehmern angefragt und von wenigen Lieferanten zur Verbreitung ihrer Inhalte genutzt wird. Hieraus ergeben sich folgende Rollen (siehe auch Abbildung 3): Der CDN-Konsument (in nachfolgender Darstellung rechts), welcher mittels eines Clients (in den meisten Fällen ein Browser) Inhalte abfragt. Der CDN-Kunde (im nachfolgender Darstellung links), welcher WEB-Inhalte zur breiten Verteilung mit niedriger Latenz in das CDN einstellt. Das Einstellen erfolgt 9 Definition von Controls nach International Organization for Standardization: ISO / IEC 27000:2016, _B3S_BAK_DCH_V1.05 Stand: Seite 20 von 45

21 meist durch eine vom CDN-Konsumenten ausgeführte Abfrage (GET), welche an die Quelle (Origin) weitergeleitet wird. In wenigen Fällen kann der CDN-Kunde proaktiv Inhalte in das CDN laden (PUSH, Upload oder Cache Pre-Warming seitens des CDN Kunden). Der CDN-Betreiber (in der folgenden Darstellung rechts unten), der die Rechen- und Speicherkapazitäten sowie Netzwerkressourcen zur Verfügung stellt, um WEB- Inhalte zwischen zu speichern. Diese Speicherung geschieht innerhalb der vom CDN Kunden gesetzten Verfallszeiten. Bei eintreffenden Anfragen seitens des CDN Konsumenten werden wahlweise zwischengespeicherte Inhalte ausgespielt oder die Nachfrage an Quellen des CDN Kunden geleitet. Der CDN-Betreiber braucht zusätzlich zum Betrieb und zur Verwaltung seiner Infrastruktur und Rechen- sowie Speicherkapazitäten eine administrative Schnittstelle, welche zum Betrieb als auch zur Sicherung der Schutzziele des CDN ausschlaggebend ist. Abbildung 3: Trennung Verantwortungsbereiche im Bereich CDN Für die Funktion der kritischen Infrastruktur ist hier die Verfügbarkeit der Schnittstelle zum CDN Konsumenten sowie zur eigentlichen CDN Plattform von hoher Bedeutung und im Fokus dieses B3S. Auch die administrativen Zugänge seitens des CDN-Betreibers sind als wichtig zu bewerten, beeinflussen jedoch die eigentliche Funktion nicht grundsätzlich. Die Schnittstelle zur Verwaltung von Inhalten durch den CDN Kunden ist für die eigentliche Funktion des CDN von untergeordneter Wichtigkeit. Ebenso muss eine Verbindung zu den Webinhalten der CDN-Kunden zwar verfügbar sein, abgesehen von der Funktion der Schnittstelle seitens des CDN-Betreibers liegt dieser Zugangspfad jedoch außerhalb der Kontrolle des CDN und kann so nicht vom CDN-Betreiber beeinflusst werden _B3S_BAK_DCH_V1.05 Stand: Seite 21 von 45

22 2 Branchenspezifische Gefährdungslage 2.1 All-Gefahrenansatz Mindestens relevant sind für die kdl alle Bedrohungskategorien aus Anhang A, Punkt A1 und alle Schwachstellenkategorien aus Anhang A, Punkt A2. Zur Orientierung können zudem die Anhänge C und D aus ISO herangezogen werden. 2.2 Branchenspezifische Relevanz und Benennung von Szenarien Im Bereich Housing und IT-Hosting mit CDN sind u.a. folgende Szenarien von Bedeutung: Ausfall der für den Betrieb der kdl relevanten IT-Systeme (gemäß Kapitel 1.4), soweit dieser Ausfall nicht durch geeignete Redundanz-Maßnahmen aufgefangen wird Cyber-Angriff auf die für den Betrieb der kdl relevanten IT-Systeme (s.o.) Ausfall von Mitarbeitern, z.b. durch Pandemie, Streik u.a. Der All-Gefahrenansatz ist für jeden Betreiber einer kritischen Dienstleistung zu betrachten und zu dokumentieren. Die Betrachtung muss spätestens anlassbezogen wiederholt werden. 2.3 Benennung der Bedrohungen und Schwachstellen Aufgrund von sich ständig ändernden Angriffsszenarien wird auf eine explizite Beschreibung und Benennung von Bedrohungsszenarien oder Schwachstellen verzichtet und auf Absatz 3.4 verwiesen _B3S_BAK_DCH_V1.05 Stand: Seite 22 von 45

23 3 Risikobehandlung 3.1 Geeignete Behandlung aller für die kdl relevanten Risiken Eine Risikoanalyse für die in Kapitel 1.4 genannten KRITIS Schutzziele ist unter Beachtung der in Kapitel 2 genannten Gefährdungslage durchzuführen. Dabei können gängige Standards (z.b. ISO oder BSI Standard 200-3) herangezogen werden. Ein Risiko gilt als abgesichert, wenn die entsprechenden technischen und organisatorischen Vorkehrungen für die kdl den Stand der Technik berücksichtigen. Stand der Technik in diesem Sinne ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt. Bei der Bestimmung des Standes der Technik sind insbesondere einschlägige internationale europäische und nationale Nomen und Standards heranzuziehen, aber auch vergleichbare Verfahren, Einrichtungen und Betriebsweisen,die mit Erfolg in der Praxis erprobt wurden. (Stand der Technik) 10. Dies gilt in Bezug auf die betriebsrelevanten Kernprozesse und -systeme unter Berücksichtigung des KRITIS-Schutz Ziels und unter Berücksichtigung der Ergebnisse der Risikoanalyse. Ist eine Absicherung nicht vollständig möglich, so sind angemessene Maßnahmen zur Reduktion des Risikos erforderlich. Der Umfang der erforderlichen Maßnahmen ist im Kapitel 4 detailliert beschrieben. Maßgeblich für die Behandlung relevanter Risiken ist der Geltungsbereich dieses B3S. (Siehe Kapitel 1) 3.2 Beschränkung der Behandlungsalternativen für Risiken Eine Versicherung von Risiken ersetzt nicht die geeignete Behandlung. Eine Risikoakzeptanz ist nicht zulässig, sofern das Risiko noch angemessen reduziert werden kann. Alle für die Erbringung der kdl wesentlichen Risiken sind somit durch angemessene Maßnahmen ausreichend zu reduzieren. 10 Stand der Technik i.s.d. Dreistufen-Theorie des BVerfG (Kalkarentscheidung) vom (BVerfGE 49, 89 [135f.]) _B3S_BAK_DCH_V1.05 Stand: Seite 23 von 45

24 3.3 Berücksichtigung von Abhängigkeiten bei der Risikoanalyse Bei der Risikoanalyse sind alle im Sinne des Kapitels 1.4 relevanten Komponenten zu berücksichtigen, auch wenn sie nicht unter der direkten Kontrolle des Betreibers stehen. Für kdl relevante IT-Dienstleistungen, die von Dritten erbracht werden, müssen wirksame Verträge bzw. Dienstleistungsvereinbarungen nachweisbar sein. Prüfmöglichkeiten sind in Abhängigkeit von der Bedeutung der jeweiligen IT-Dienstleistung als möglicher Vertragsbestandteil vorzusehen. 3.4 Änderung der Gefährdungslage Die allgemeine und branchenspezifische Gefährdungslage muss mindestens durch jährliche und ggf. anlassbezogene Überprüfung, z.b. im Rahmen einer Umfeldanalyse / Risikoanalyse überprüft werden. Dazu sind u.a. die Hinweise der ENISA oder des BSI auf aktuelle Gefahrenlagen und weitere verfügbare Warnungen zu beachten. Dabei müssen insbesondere berücksichtigt werden: allgemeine Bedrohungen (neu hinzugekommene Typen von Angreifern und Angriffen, intensivere Aktivität oder verbesserte Expertise / Ressourcen von Angreifern, Neuausrichtung von Angreifern...), bekannt gewordene neue Schwachstellen, Änderungen der Gefährdungslage durch Veränderungen an der Systemarchitektur, anderweitige Änderungen der Exposition von für die Erbringung der kdl relevanten Informations- und Kommunikationssystemen _B3S_BAK_DCH_V1.05 Stand: Seite 24 von 45

25 4 Angemessene Vorkehrungen (Maßnahmen) 4.1 Angemessenheit der Maßnahmen Gemäß 8a (1) BSIG sind Betreiber verpflichtet, angemessene Vorkehrungen (Maßnahmen) zur Verringerung der für die kdl relevanten Risiken zu treffen. Dabei gilt: Organisatorische und technische Vorkehrungen [Maßnahmen] sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht ( 8a (1) Satz 3), siehe dazu Kapitel Eignung von Maßnahmen Es sind alle technischen, organisatorischen und physische Maßnahmen anwendbar, die etwaige Risiken in geeigneter Weise reduzieren. Diese Maßnahmen sind umzusetzen und hinsichtlich ihrer Wirksamkeit zu begründen, zu dokumentieren und zu überprüfen. Dabei ist darauf zu achten, dass die zu ergreifenden Maßnahmen keine Risikoerhöhung in anderen Bereichen oder vergleichbare unerwünschte Nebeneffekte verursachen. Laut 8a (3) BSIG müssen organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit informationstechnischer Systeme, Komponenten oder Prozesse und deren Wirksamkeit im Rahmen geeigneter Audits nachgewiesen werden. Für die Verwendung einer ISO Zertifizierung als Nachweis nach 8a (3) BSIG ist es notwendig, dass gleichzeitig nachgewiesen wird, dass Scope und Maßnahmen geeignet sind, die jeweilige kritische Dienstleistung ausreichend zu schützen. So ist eine Zertifizierung der für den Betrieb der kdl relevanten IT-Systeme (siehe Kapitel 1.4) nach ISO / IEC 27001:2013 (auch in der Ausprägung ISO nach IT-Grundschutz) als Nachweis hinreichend, wobei eine Versicherung oder Akzeptanz der Risiken über das in Kapitel 3.2 (Risikoakzeptanz und -versicherung) genannte Maß hinaus unzulässig sind _B3S_BAK_DCH_V1.05 Stand: Seite 25 von 45

26 5 Abzudeckende Themen 5.1 Informations-Sicherheitsmanagement-System (ISMS) Der Betrieb eines ISMS z.b. nach ISO / IEC 27001:2013 ist für die Absicherung der Kritischen Infrastrukturen und deren Schutzziele erforderlich. Die im ISMS definierten Prozesse und Maßnahmen müssen die in der Risikoanalyse (siehe Kap. 2 bis 4) ermittelten Gefährdungen abdecken.,die Umsetzung der Maßnahmen und deren Wirksamkeit ist sicherzustellen. Für die Verwendung einer ISO Zertifizierung als Nachweis nach 8a (3) BSIG ist es notwendig, dass gleichzeitig nachgewiesen wird, dass Scope und Maßnahmen geeignet sind, die jeweilige kritische Dienstleistung ausreichend zu schützen. Eine Zertifizierung der für den Betrieb der kdl relevanten IT-Systeme und Dienstleistungen (unter Berücksichtigung von Kapitel 4.2, bzw. Kapitel 1.4) nach ISO / IEC 27001:2013 (auch in der Ausprägung ISO nach IT-Grundschutz) ist als Nachweis hinreichend, solange der Scope der Zertifizierung die kdl-relevanten Prozesse und Systeme umfasst. 5.2 Business Continuity Management für kdl (BCM für kdl) Für die Aufrechterhaltung der hier beschriebenen kritischen Dienstleistungen (Housing, IT- Hosting mit CDN) ist ein Business Continuity Management System (BCMS) in Anlehnung an die internationale Norm ISO / IEC 22301:2012 Societal Security -- Business Continuity Management Systems Requirements oder alternativ BSI zu etablieren und regelmäßig zu überprüfen. Eine Zertifizierung des BCMS ist empfehlenswert, aber nicht verpflichtend. Es muss für die kritischen Dienstleistungen kein eigenes BCMS aufgebaut werden, wenn ein BCMS für das Unternehmen bereits besteht, dessen Scope die für die kdl relevanten Prozesse und Systeme umfasst. Eine Zertifizierung des BCM nach ISO / IEC 22301:2012 oder alternativ BSI ist in diesem Fall als Nachweis hinreichend. Es ist insbesondere zu beachten: Die Erstellung eines Business Continuity Plans (BCP) zur Aufrechterhaltung der kritischen Dienstleistung analog 6.2 und 8.1, der ISO / IEC Die Sicherstellung einer geeigneten Verzahnung des BCMs für die kdl mit dem Bereich IT-Sicherheit analog der ISO / IEC Die Implementierung eines Notfallmanagements in Bezug auf die Gewährleistung der kdl analog 8.4 der ISO / IEC Die Erstellung und regelmäßige Überprüfung von Business Impact-Analysen (BIA) analog 8.2 der ISO / IEC _B3S_BAK_DCH_V1.05 Stand: Seite 26 von 45

27 Die Erstellung einer Risikoanalyse unter Berücksichtigung kritischer Komponenten (Insbesondere Single Point of Failure ) 5.3 Asset Management Ein Asset Management für die Identifikation, Klassifizierung (siehe Anhang C Klassifizierungen) und Inventarisierung der für die kdl maßgeblichen informationstechnischen Prozesse, Systeme und Komponenten (siehe Kapitel 1.4) ist erforderlich. Ein Asset Management angelehnt an die Kriterien der ISO / IEC 27001:2013 (auch in der Ausprägung ISO nach IT-Grundschutz bzw. ISO 55000:2014) ist als Nachweis hinreichend. 5.4 Robuste / resiliente Architektur Die für den Betrieb der Anlage erforderlichen IT-Systeme (siehe Kapitel 1.4) sollen folgende Sicherheitsmerkmale aufweisen und im Zusammenhang mit Kap. 5.2 BCM umgesetzt werden: Ausstellung aller Komponenten in ausreichend gesicherten Räumlichkeiten Mindestens eine logische Trennung der für den Betrieb dieser Systeme erforderlichen Netzwerke von anderen IT-Systemen Die betrieblichen Systeme sollten hinreichend redundant ausgelegt sein, damit durch Einzelfehler keine dauerhafte Unterbrechung der Steuerung / Überwachung der Anlage eintreten kann. 5.5 Bauliche / physische Sicherheit Neben den Aspekten der IT-technischen Sicherheit spielt auch die bauliche und physische Sicherheit eine große Rolle zur Etablierung der Vertrauenswürdigkeit. Hierbei müssen unterschiedliche Aspekte umgesetzt werden: 1. Umfeldrisikoanalyse: Bewertung der Gefährdungspotentiale in der Umgebung. 2. Bauliche Gegebenheiten: Bauliche Sicherheit bezüglich Fenster, Türen, Brandabschnitte, Trassenverläufe. 3. Brandmelde- und Löschtechnik: Brandmeldeanlage mit Aufschaltung auf die Feuerwehr, Etablierung von Abschaltfunktionen und Schadensbegrenzungsmaßnahmen. 4. Sicherheitssysteme: Zutrittskontrollanlage, mehrstufige Einbruchmeldeanlage, Aufschaltung auf ständig besetzte Sicherheitszentrale. 5. Energieversorgung: Nach einschlägigen Normen erbrachte Installation mit Überspannungsschutz und entsprechender Notstromversorgung _B3S_BAK_DCH_V1.05 Stand: Seite 27 von 45

28 6. Raumlufttechnische Anlagen: Abwärme der IT Infrastruktur und der Infrastrukturkomponenten sind durch Kühlmechanismen gewährleistet. 7. Organisation: Sicherheitseinrichtungen werden regelmäßig geprüft, die regelmäßige Wartung ist durch entsprechende Pläne und Verträge sichergestellt. Die Einhaltung der Controls aus ISO 27001:2013 Anhang A, Punkt A.11 können die Umsetzung unterstützen. 5.6 Personelle und organisatorische Sicherheit Ein geeigneter Rahmen für die Behandlung der personellen und organisatorischen Sicherheit setzt sich zum Beispiel aus folgenden Maßnahmen zusammen: Geeignete Auswahl von zuverlässigem und fachkundigem Personal, ggf. Sicherheitsüberprüfung oder Überprüfungen auf andere geeignete Art und Weise Rollenzuweisung, ggf. Festlegungen zum Vieraugenprinzip u. ä. Identitäts- und Berechtigungsmanagement Festlegung notwendiger Kompetenzen (Betrieb und IT-Sicherheit) Notwendige / ausreichende Personalressourcen (Betrieb und IT-Sicherheit) Schulungen der Anwender Schaffung von Bewusstsein für IT-Sicherheit auf allen Ebenen (Vorstand, IT- Betrieb, Prozessverantwortlicher, Anwender) Eine korrekte Umsetzung sollte durch Einhaltung der Controls aus ISO 27001:2013 Anhang A, Punkte A.5, A.6, A7.1 und A7.2 sowie A.9 erreicht werden. 5.7 Branchenspezifische Technik Bereich Housing Für den Bereich Housing werden die Leistungen Gebäude, Energieversorgung, Klimatisierung, Zutrittsschutz und Netzwerk-Anbindung angeboten. Deshalb sind folgende Systeme von besonderer Bedeutung (siehe auch Kapitel 1.4.1): Gebäudeleittechnik, insbesondere die digitalen Steuerungen für die Kontrolle der Infrastruktur zur Energie- und Klimaversorgung, Brandmeldesysteme Überwachungssysteme (Video-Überwachung, Einbruchmeldesysteme etc.) _B3S_BAK_DCH_V1.05 Stand: Seite 28 von 45

29 Zutrittsmanagementsysteme Sicherungssysteme (Firewalls, physische Trennung der Netze, Jump-Hosts etc.), mit denen sichergestellt wird, dass nur berechtigte Benutzer auf die betrieblichen Systeme zugreifen können Die Systeme können entweder in den Überwachungszentren, in eigens gesicherten IT- Bereichen und / oder im Bereich der Infrastruktur-Systeme der Anlage installiert sein. Sie sind gegen die Systeme und Netzwerkverbindungen der Kunden einerseits und die sonstigen IT-Systeme des Anbieters andererseits abzugrenzen. Die folgende Abbildung zeigt, wie diese Struktur grundsätzlich zu verstehen ist. Abbildung 4: Struktur eines Rechenzentrums (Housing) Während zu den IT-Systemen der Kunden keinerlei Verbindung besteht, kann es zwischen den betrieblich relevanten und sonstigen Systemen des Anbieters Verbindungen geben Bereich IT-Hosting Systeme, die vom Dienstleister zur Diensterbringung der kdl benutzt werden und somit als relevant für den Betrieb der Kritischen Infrastruktur betrachtet werden müssen sind in Kapitel beschrieben Bereich CDN Für den Bereich CDN ist die Verfügbarkeit der Anlage als Ganzes (und nicht einzelner Bestandteile) erforderlich. Daher sind folgende Techniken von besonderer Bedeutung: _B3S_BAK_DCH_V1.05 Stand: Seite 29 von 45

30 Digitale Steuerung, wie z.b. Monitoring-, Verwaltungs- und Virtualisierungssysteme Gebäudemanagementsysteme, wie z.b. Überwachungssysteme oder Zutrittsschutz, sofern erforderlich Zugriffsmanagement (Videoüberwachung, Logging, Steuerung) Die Systeme können entweder in den Überwachungszentren, in eigens gesicherten IT- Bereichen und / oder im Bereich der Infrastruktur-Systeme der Anlage installiert sein. Sie sind gegen die Systeme und Netzwerkverbindungen der Kunden einerseits und die sonstigen IT-Systeme des Anbieters andererseits abzugrenzen. 5.8 Branchenspezifische Architektur u. Verantwortung Bereich Housing Der Housing Betreiber ist entsprechend den Vorgaben des IT-Sicherheitsgesetzes verantwortlich für seine kritische Dienstleistung. Der Aufbau der IT-Systeme von Housing- Anbietern ist im Abschnitt beschrieben. Eine grundsätzliche Eigenschaft ist die vollständige Trennung der IT-Systeme der Kunden von denen des Anbieters, da diese lediglich zur Steuerung und Überwachung des RZ-Gebäudes und seiner Infrastruktur dienen. Dies ist grundsätzlich in der folgenden Abbildung dargestellt: Abbildung 5: Verantwortungsbereiche Kunde / Betreiber (Housing) Die Bereitstellung von Gebäude, Energie, Klima und Sicherheitsdiensten liegt in der Verantwortung des Betreibers. Die dafür notwendigen IT-Systeme sind von den IT-Systemen der Kunden vollständig zu trennen und gemäß in diesem Branchenstandard dokumentierten Vorgaben zu schützen _B3S_BAK_DCH_V1.05 Stand: Seite 30 von 45

31 5.8.2 Bereich IT-Hosting Die Verantwortung des IT-Hosting Betreibers liegt in der vertragskonformen Bereitstellung von IT-Systemen und -Services, die gemäß den hier dokumentierten Vorgaben zu schützen sind. Die Verantwortung für entsprechende Meldungen im Störfall sind mit dem Auftraggeber zu vereinbaren, im Zweifel gelten die gesetzlichen Regelungen Bereich CDN Der Betreiber des betreffenden Content Delivery Netzwerkes (CDN) ist entsprechend den Vorgaben des IT-Sicherheitsgesetzes verantwortlich für seine kritische Dienstleistung. In der Zusammenarbeit mit dem Content-Provider ergeben sich hierüber hinaus unterschiedliche Verantwortlichkeiten: Der Betreiber des CDN ist verantwortlich für die Gewährleistung der Verfügbarkeit die Sicherheit des für den Betrieb notwendigen Datenverkehrs (Steuerung des CDN). Betreiber des CDN ist nicht verantwortlich für die in als nicht betriebsrelevant definierten Bereiche. Zusätzlich ist zu beachten, dass dem CDN-Kunden seitens des CDN-Betreibers administrative Schnittstellen zur Verfügung gestellt werden müssen, um das CDN seinen Geschäftszielen entsprechend instrumentieren zu können. Diese Schnittstellen sind für die Verfügbarkeit, Integrität und Vertraulichkeit des CDNs nicht relevant, da das CDN auch ohne diese seine Funktion beibehalten kann, dann allerdings ohne Änderung der Konfiguration. Die Verantwortung für entsprechende Meldungen im Störfall ist über die gesetzlichen Regelungen nach IT-SiG geregelt. Zusätzlich gelten kundenspezifische vertragliche Regelungen. 5.9 Vorfallserkennung und -bearbeitung Um technische Fehler und ggf. auch Angriffe von Innen oder Außen erkennen zu können sind Maßnahmen erforderlich, die folgende Bereiche abdecken: Detektion von Angriffen, z.b. durch Cyber Defense Einrichtungen Detektion von sonstigen IT-Vorfällen / Störungen (Unterscheidung von Angriffen) Einsatz von IDS und IPS (wo notwendig bzw. sinnvoll) Reaktion auf Angriffe Reaktion auf sonstige IT-Vorfälle / Störungen _B3S_BAK_DCH_V1.05 Stand: Seite 31 von 45