Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß 8a (2) BSIG

Transkript

1 Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß 8a (2) BSIG BSI-Entwurf Version , Stand: Die vorliegenden Kriterien für branchenspezifische Sicherheitsstandards (B3S) wurden vom BSI erarbeitet und UP KRITIS 1, BBK und Aufsichtsbehörden vorgestellt. Die vorliegende Version der Orientierungshilfe spiegelt die Ergebnisse zahlreicher Rückmeldungen wider und kann als vorläufig stabile Version angesehen werden. Basierend auf dieser Fassung der Orientierungshilfe können Betreiber und Verbände ihre B3S erarbeiten. Das BSI wirkt hierbei auf Anfrage gerne beratend mit. Sollten sich im Laufe der Erarbeitung Aspekte ergeben, die eine Änderung an den hier vorgelegten Kriterien nötig machen, können diese vor Fertigstellung der letztlich gültigen Version 1.0 noch eingearbeitet werden. Im Dokument durchgängig verwendete Abkürzungen: B3S = branchenspezifischer Sicherheitsstandard kdl = kritische Dienstleistung 1 Der UP KRITIS ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen (siehe Entwurf Orientierungshilfe B3S; Version vom Seite 1 von 10

2 1 GELTUNGSBEREICH UND SCHUTZZIELE 1.1 Geltungsbereich Im B3S ist der Geltungsbereich deutlich zu benennen und so zu beschreiben, dass alle weiteren, im B3S gemachten Ausführung nachvollziehbar sind. Hierzu gehört eine abstrakte Beschreibung der grundlegenden Prozesse und der maßgeblichen Infrastrukturen. 1.2 Geltungsbereich umfasst auch extern erbrachte Leistungen Geltungsbereich des B3S können z. B. die kritische Dienstleistung, Teile davon (z. B. einzelne Prozessschritte), eine KRITIS-Branche, ein Teil einer Branche oder für die kritische Dienstleistung (kdl) relevante (Typen von) Einrichtungen, Anlagen oder Teile[n] davon (gemäß BSI-KRITIS-Verordnung) sein. Der B3S berücksichtigt in geeigneter Weise, wie das notwendige informationstechnische Sicherheitsniveau auch dort sichergestellt werden kann, wo für die Aufrechterhaltung der kdl relevante Teile im Auftrag des Betreibers durch Dritte betrieben werden. 1.3 Gesetzlicher Rahmen Im B3S ist der gesetzliche, ggf. branchenspezifische Rahmen beschrieben, dessen Anforderungen der B3S berücksichtigt. (Z. B.: Der B3S berücksichtigt die Anforderungen, die in ab des xy-gesetzes formuliert sind. ) 1.4 KRITIS-Schutzziele (Schutzziele der kdl) Soweit sinnvoll kann auch explizit darauf verwiesen werden, wenn die Einhaltung bestimmter gesetzlicher Vorgaben nicht Gegenstand des B3S ist. (Z. B.: Aspekte des Datenschutzes sind für die Aufrechterhaltung der kdl nicht von Bedeutung und werden daher im Kontext des B3S nicht betrachtet. ) Der B3S beschreibt, welche Qualität der kdl, insbesondere in Normallagen, ggf. aber auch in allgemeinen Großkrisen und IT-Krisenlagen, mit dem B3S sichergestellt werden soll. Da diese Festlegung Grundlage für den B3S ist, kann die Formulierung gerne gemeinsam mit dem BSI und unter Hinzuziehung der zuständigen Aufsichtsbehörde(n) erfolgen. 1.5 IT-Schutzziele Der B3S behandelt Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit (Grundwerte der IT-Sicherheit = IT-Schutzziele) der IT-Systeme, IT-Komponenten und IT-Prozesse. 1.6 Ableitung der IT-Schutzziele/-bedarfe aus den KRITIS-Schutzzielen Die IT-Schutzziele/-bedarfe werden konsequent aus den KRITIS-Schutzzielen abgeleitet und in allen Themenbereichen konsequent berücksichtigt. Dabei kann die Gewichtung der IT-Schutzziele/-bedarfe für verschiedene kritische Dienstleistungen unterschiedlich ausfallen. Beispielsweise können Anforderungen an die Verfügbarkeit der IT bei einer kdl deutlich höher gewichtet sein als die Vertraulichkeitsanforderungen, bei einer anderen kann die Integrität am höchsten gewichtet sein. 1.7 Branchenspezifische Schutzziele Soweit für den Anwendungsbereich des B3S sinnvoll, sollen branchenspezifische und anlagenspezifische Schutzziele benannt und deren Bedeutung für die abzuleitenden IT-Schutzziele/-bedarfe im Anwendungsbereich erläutert werden. 2 BRANCHENSPEZIFISCHE GEFÄHRDUNGSLAGE 2.1 All-Gefahrenansatz Der B3S fordert ausdrücklich die Behandlung aller relevanten Bedrohungen und Schwachstellen (All-Gefahrenansatz) der maßgeblichen IT-Systeme, Komponenten oder Prozesse, insbesondere aus den im Anhang genannten Kategorien (A 1 und A 2). 2.2 Branchenspezifische Relevanz von Bedrohungen und Schwachstellen Erläuternder Hinweis: Erst wenn eine Bedrohung auf eine Schwachstelle wirken kann, entsteht eine Gefährdung/ ein Risiko. Maßnahmen können sowohl gegen Schwachstellen als auch gegen Bedrohungen ergriffen werden, um die sich ergebenden Risiken zu reduzieren. Im B3S wird die Relevanz der Bedrohungs- und Schwachstellenkategorien bzw. der sich daraus ergebenden Gefährdungen innerhalb des Geltungsbereichs im Hinblick auf die Gewährleistung der kdl bewertet. Entwurf Orientierungshilfe B3S; Version vom Seite 2 von 10

3 2.3 Benennung der Bedrohungen und Schwachstellen Hierauf aufbauend werden im B3S die im Rahmen der Risikoanalyse mindestens zu betrachtenden Bedrohungs- und Schwachstellenkategorien explizit benannt. Wenn im Einzelfall notwendig (oder sinnvoll), sollen für den Geltungsbereich des B3S relevante, konkrete Bedrohungen und Schwachstellen bzw. sich daraus ergebende Gefährdungen ausdrücklich benannt werden. 3 RISIKOBEHANDLUNG 3.1 Geeignete Behandlung aller für die kdl relevanten Risiken Für die kdl relevante Risiken werden durch die im B3S beschriebene Rahmensetzung für das Risikomanagement ausreichend verringert. Der B3S beschreibt insbesondere geeignete Methoden für die Identifizierung der für die kdl relevanten Risiken und für deren geeignete Klassifizierung sowie für die Identifizierung geeigneter Maßnahmen, um diese Risiken entsprechend ihrer Klassifizierung zu reduzieren. 3.2 Beschränkung der Behandlungsalternativen für Risiken Der B3S beschreibt, welche Grenzen dem Risikomanagement für eine kdl bei der Auswahl der Behandlungsalternativen im Sinne des BSIG gesetzt sind. Der B3S erläutert dabei explizit die Einschränkungen der Optionen gegenüber allgemeinen Risikomanagementansätzen. Der B3S stellt klar, dass bzgl. relevanter Risiken für die kdl eine eigenständige dauerhafte Risikoakzeptanz durch den Betreiber in der Regel keine zulässige Option im Sinne des BSIG ist. Ähnliches gilt für die Versicherung gegen solche Risiken. Ggf. weist der B3S darauf hin, in welchem Rahmen eine Risikoakzeptanz z.b. aufgrund regulatorischer Vorgaben oder expliziter Beschränkung der Anforderungen an die Qualität oder Quantität der kdl denkbar sind. 3.3 Berücksichtigung von Abhängigkeiten bei der Risikoanalyse 3.4 Änderung der allgemeinen Gefährdungslage 3.5 Änderung der branchenspezifischen Gefährdungslage Der B3S stellt klar, dass bei Outsourcing o. Ä. die volle Verantwortung für eine geeignete Risikobehandlung beim Betreiber verbleibt. (Siehe hierzu auch Punkt Geltungsbereich umfasst auch extern erbrachte Leistungen.) Der B3S berücksichtigt Abhängigkeiten der eigenen IT-Systeme von IT-Systemen Dritter, z. B. Auswirkungen von Störungen verbundener IT-Systeme anderer Betreiber/ Dritter auf die eigenen IT-Systeme. Die im B3S beschriebene Vorgehensweise fordert die Berücksichtigung einer Änderung der allgemeinen Gefährdungslage. Dabei müssen insbesondere berücksichtigt werden: allgemeine Bedrohungen (neu hinzugekommene Typen von Angreifern und Angriffen, intensivere Aktivität oder verbesserte Expertise/Ressourcen von Angreifern, Neuausrichtung von Angreifern,...), bekannt gewordene neue Schwachstellen, Änderungen der Gefährdungslage durch Veränderungen an der Systemarchitektur, anderweitige Änderungen der Exposition von für die Erbringung der kdl relevanten Informations- und Kommunikationssystemen. Die im B3S beschriebene Vorgehensweise fordert die Berücksichtigung und geeignete Behandlung einer Änderung der branchenspezifischen Gefährdungslage (Bedrohungen und Schwachstellen). Entwurf Orientierungshilfe B3S; Version vom Seite 3 von 10

4 4 ANGEMESSENE VORKEHRUNGEN (MASSNAHMEN) 4.1 Angemessenheit der Maßnahmen Gemäß 8a (1) BSIG sind Betreiber verpflichtet, angemessene Vorkehrungen (Maßnahmen) zur Verringerung der für die kdl relevanten Risiken zu treffen. Dabei gilt: Organisatorische und technische Vorkehrungen [Maßnahmen] sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht ( 8a (1) Satz 3). Hierzu wird im B3S dargelegt, wie der Begriff Angemessenheit bei der Entscheidung, ob Maßnahmen umgesetzt (Vorkehrungen getroffen) werden, auszulegen ist. 4.2 Eignung von Maßnahmen Der B3S fordert, dass die zu ergreifenden Maßnahmen geeignet sind, d. h dass sie wirken und keine unerwünschten Nebeneffekte haben. Der B3S unterstützt bei der Auswahl geeigneter Maßnahmen. Eine gute Grundlage können Verweise auf Vorkehrungen und Maßnahmen nach dem branchenüblichen Best Practice sein. Der B3S zeigt bei Bedarf deren Grenzen auf, beispielsweise, wenn der zur Gewährleistung der Anforderungen an die kdl notwendige informationstechnische Schutz allein durch branchenübliche Maßnahmen nicht sichergestellt werden kann, und schlägt soweit möglich ergänzende Vorkehrungen und Maßnahmen vor. 5 ABZUDECKENDE THEMEN 5.0 Abdeckung relevanter Themen Im B3S werden mindestens alle nachfolgend ( ) genannten Themenfelder behandelt. Weitere Themenfelder können behandelt werden. 5.1 Informationssicherheitsmanagementsystem (ISMS) 5.2 Continuity Management für kdl ( BCM für kdl) Der jeweilige Anspruch an die Behandlung der einzelnen Themenfelder hängt von den Anforderungen an die kdl und der Art ihrer technischen und informationstechnischen Infrastruktur ab. Der B3S beschreibt, wie mithilfe eines ISMS ein geeigneter Rahmen für die nachhaltige und angemessene Behandlung aller relevanten Themenfelder zur Umsetzung der Anforderungen nach 8a (1) gesetzt wird. Dies kann beispielsweise durch die Einführung und den Betrieb eines ISMS auf Grundlage des BSI-IT-Grundschutz oder ISO/IEC erfolgen. Informationssicherheit ist dabei als kontinuierlicher Prozess zu etablieren. (Anmerkung: Rahmenbedingungen und Anforderungen an das ISMS werden durch den B3S entsprechend dieser Orientierungshilfe gesetzt.) Der B3S beschreibt, wie mithilfe eines Continuity Managements (analog einem BCM mit Schwerpunkt Aufrechterhaltung der kdl) die Aufrechterhaltung der kdl und deren Mindestqualität (entsprechend der jeweiligen KRITIS-Schutzziele gemäß Punkt 1.4) gewährleistet werden kann. Dafür können zum Beispiel folgende Maßnahmen zum Einsatz kommen: Plan zur Aufrechterhaltung der kdl ( Continuity Plan für die kdl) Sicherstellung einer geeignete Verzahnung des Continuity Managements für die kdl mit dem Bereich IT-Sicherheit Notfallmanagement (in Bezug auf die Gewährleistung der kdl) Impact-Analysen (z.b. BIA ) Analysen in Bezug auf Komponenten, deren Ausfall den Ausfall der gesamten kdl auslösen kann ( Single Point of Failure ) 5.3 Asset Management Der B3S sollte einen geeigneten Rahmen für die Identifikation, Klassifizierung und Inventarisierung der für die kdl maßgeblichen informationstechnischen Prozesse, Systeme und Komponenten setzen. Entwurf Orientierungshilfe B3S; Version vom Seite 4 von 10

5 5.4 Robuste / resiliente Architektur Fehlfunktionen der IT, sowohl vorsätzlich als auch unbeabsichtigt ausgelöst, können kritische Dienstleistungen stören oder beeinträchtigen. Neben dem klassischen Schutz der IT durch Maßnahmen kann der Einfluss der IT auch durch eine geschickte Wahl der Architektur reduziert werden, also durch eine robuste bzw. resiliente Architektur der für die kritische Dienstleistung relevanten Prozesse. Im B3S sollte dargelegt werden, durch welche Prinzipien der Architektur die kdl bestmöglich gegen vorsätzlich oder unbeabsichtigt herbeigeführte Fehlfunktionen resistent gehalten wird. Hier kann z. B. auch auf eine Konzeption zur Verfügbarkeit der kdl in Krisenlagen oder bei Beeinträchtigungen anderer Kritischer Infrastrukturen verwiesen werden (Beispiel: Massive Störungen des Internets). Hierbei sind insbesondere die verwendeten Architekturprinzipien für die IT-Anteile der Infrastruktur zu erläutern. Soweit nicht-informationstechnische Infrastrukturen die Robustheit und Resilienz der kdl im o. g. Sinne beeinflussen (steigern oder verringern), sind diese entsprechend aufzuführen. Beispiele: Wenn Komponenten gegen unberechtigte Zugriffe logisch nicht ausreichend abgesichert werden können, sind diese anders zu schützen, z. B. durch: angemessene physische Maßnahmen Netz-Segmentierung 5.5 Baulich / physische Sicherheit Über die klassischen Themen der baulichen / physischen Sicherheit der IT-Systeme der kdl hinaus sollte der B3S ggf. eine weitergehende Behandlung von spezifischen Aspekten und Besonderheiten im Kontext der kdl berücksichtigen, die die jeweilige kdl besonders betreffen. Beispielsweise der Schutz vor unberechtigtem Zutritt bei über lange Zeit unbesetzten Standorten. 5.6 Personelle und organisatorische Sicherheit Der B3S setzt einen geeigneten Rahmen für die Behandlung der personellen und organisatorischen Sicherheit zum Beispiel auf Basis folgender Maßnahmen:. Geeignete Auswahl von Personal, ggf. Sicherheitsüberprüfung Rollenzuweisung, ggf. Festlegungen zu Vieraugenprinzip u. ä. Identitäts- und Berechtigungsmanagement Festlegung notwendiger Kompetenzen (Betrieb und IT-Sicherheit) Notwendige/ ausreichende Personalressourcen (Betrieb und IT-Sicherheit) Schulungen der Anwender Schaffung von Verständnis (Awareness) für IT-Sicherheit auf allen Ebenen (Vorstand, IT-Betrieb, Prozessverantwortlicher,..., Anwender) 5.7 Branchenspezifische Technik Im Gegensatz zur Standard-IT, für deren Absicherung häufig zahlreiche Standard-IT-Sicherheitsmaßnahmen existieren, ist dies für branchenspezifische Technik nicht im gleichen Maße der Fall. Diese spielt in vielen Sektoren aber die entscheidende Rolle bei der Umsetzung der kritischen Dienstleistung. Der B3S geht daher insbesondere auch ein auf branchenspezifische Informationstechnik und sonstige branchenspezifische Technik, die durch IT gesteuert wird. Hierbei wird dargelegt, welchen besonderen Bedrohungen diese Technik ausgesetzt ist, welche besonderen (z. B. architektur- oder einsatzbedingten) Verwundbarkeiten die Technik aufweist und wie auf diese Gefährdungen reagiert wird. Anmerkung: Es ist dabei ausdrücklich nicht gemeint, dass hier konkrete Schwachstelleninformationen einzelner Geräte oder Implementationen offengelegt werden sollen. Entwurf Orientierungshilfe B3S; Version vom Seite 5 von 10

6 5.8 Vorfallserkennung und -bearbeitung Der B3S setzt einen geeigneten Rahmen für die Vorfallserkennung und Bearbeitung in seinem Geltungsbereich zum Beispiel zu Detektion von Angriffen Detektion von sonstigen IT-Vorfällen/Störungen (und Unterscheidung von Angriffen) Einsatz von IDS und IPS (wo notwendig bzw. sinnvoll) Reaktion auf Angriffe Reaktion auf sonstige IT-Vorfälle/Störungen Forensik (Hilfe zur Abwägung zwischen Schadensbegrenzung und Wiederherstellung der kdl einerseits und Beweissicherung, Einschaltung von Behörden und Experten andererseits) 5.9 Überprüfung im laufenden Betrieb und Übungen 5.10 Externe Informationsversorgung und Unterstützung Der B3S setzt einen geeigneten Rahmen für Überprüfungen im laufenden Betrieb (z. B. Penetrationstest, spezifische Audits, Revisionen, Prüfungen etc. in Teilbereichen) und für Übungen, auch außerhalb des von 8a (3) BSIG vorgegebenen Prüfzyklus und Prüfumfangs. Beispiele: Anlassbezogene Prüfungen z. B. aufgrund von Änderungen der Bedrohungslage / Gefährdungslage nicht zuverlässig erklärbaren Beeinträchtigungen der kdl oder der zugehörigen IT-Systeme erfolgreichen oder möglicherweise erfolgreichen Angriffen Änderungen an den IT- oder Kommunikationssystemen Prüfungen in anderen, anderweitig vorgegebenen Prüfzyklen Systematische Log-Auswertung Interne Übungen und Systemtests Übungen mit externen Partnern, insbesondere aus dem Kontext der kdl Im B3S sollte klar werden, wie und woher sich der Betreiber die erforderlichen Informationen zur Aufrechterhaltung und stetigen Verbesserung seines Sicherheitsniveaus im Allgemeinen wie auch über aktuelle Entwicklungen der für ihn relevanten IT-Sicherheitslage beschaffen kann. Feste/zwingende Vorgaben sind nicht notwendig, aber der Betreiber sollte auf Grundlage der Hinweise im B3S zuverlässig einen für seinen konkreten Informationsbedarf geeigneten Ansatz finden können Lieferanten, Dienstleister und Dritte Der B3S sollte einen geeigneten Rahmen beschreiben (z. B. in Form von Regeln und Richtlinien), damit der Betreiber in der Lage ist, geeignete Vorkehrungen (z.b. in Form von vertraglichen Regelungen gegenüber Dritten oder durch Monitoring von extern erbrachten Dienstleistungen) zu treffen, wenn er IT-Komponenten oder IT-Systeme von Lieferanten bezieht (z. B. Eingangsprüfungen, Sicherheitstests) um externe Dienstleister sicher in den Betrieb der kdl oder die Wartung von Systemen oder Komponenten einzubinden oder um eigene Leistungen geeignet an Externe auszulagern Technische Informationssicherheit Zum Thema "Technische Informationssicherheit" greift der B3S zumindest die im Anhang Technische Informationssicherheit (A 3) aufgeführten Maßnahmenbereiche auf und beschreibt die im Kontext des B3S spezifische Relevanz. Die Maßnahmenbereiche der technischen Informationssicherheit im Anhang A 3 sind nicht abschließend aufgelistet. Soweit für die Erfüllung der Anforderungen nach 8a (1) BSIG Maßnahmen (Vorkehrungen) aus weiteren Bereichen der technischen Informationssicherheit notwendig sind, sind diese ebenfalls geeignet zu behandeln. Sind im Anhang genannte Maßnahmenbereiche im Kontext des B3S nicht relevant, so ist auch das darzulegen und dient nicht zuletzt den Anwendern des B3S zur Orientierung. Der B3S fordert, dass Konzepte zur Umsetzung der technischen Informationssicherheit erstellt werden, wo dies für die Gewährleistung der kdl notwendig ist. Entwurf Orientierungshilfe B3S; Version vom Seite 6 von 10

7 6 DETAILTIEFE 6.1 Detailtiefe der Beschreibungen im B3S Die Detailtiefe entspricht insbesondere bei der Behandlung der abzudeckenden Themen (Abschnitt 5) mindestens der Detailtiefe in der Norm ISO/IEC In den für den Geltungsbereich des B3S besonders wichtigen Aspekten erreicht der B3S eine höhere Detailtiefe. Als Orientierung für diese höhere Detailtiefe können branchenspezifische Dokumente dienen wie etwa ISO/IEC TR (Energiebranche), ISO/IEC TR (Finanzdienstleistungen), aber auch Empfehlungen wie NIST SP , DWA-M 207, technische Regelsetzungen u. a. 6.2 Von Anforderungen zu Maßnahmen nach Stand der Technik Anstelle einer Duplizierung von Inhalten kann auf geeignete Dokumente verwiesen werden. Ergänzend notwendige Vorgaben sind im B3S selbst zu erläutern. Gemäß 8a (1) soll bei den zu ergreifenden Vorkehrungen (Maßnahmen) der Stand der Technik eingehalten werden. Hierfür beschreibt der B3S die Vorkehrungen (Maßnahmen) nach Stand der Technik. Sofern im B3S lediglich Anforderungen und nicht konkrete Vorkehrungen (Maßnahmen) formuliert sind, sind Verweise auf externe Dokumente (z. B. Umsetzungshinweise) aufzunehmen, die typische Maßnahmen nach dem Stand der Technik beschreiben. Außerdem hat die im B3S angelegte Methodik sicherzustellen, dass die Anforderungen nach 8a (1) zum Stand der Technik erfüllt werden. 7 NACHWEISBARKEIT DER UMSETZUNG Der Abschnitt 7 ist vorläufig, wird in den nächsten Monaten im Hinblick auf die Umsetzung von 8a (3) weiter ausgearbeitet. 7.1 Überprüfbarkeit Im B3S soll ein Verweis auf Beschreibungen aufgenommen werden, wie die Erfüllung der Anforderungen nach 8a (1) geprüft werden kann (s. auch die vorläufig aufgenommenen Folgepunkte 7.2 bis 7.5, die in den nächsten Monaten weiter ausgearbeitet werden). 7.2 Prüfschema Der B3S sollte z. B. ein geeignetes Schema referenzieren, das zur Prüfung seiner Umsetzung angewendet wird. In diesem Schema werden die fachlichen und organisatorischen Anforderungen an die prüfende Stelle beschrieben, ebenso Umfang und Tiefe der Prüfung und der Prüfprozess. Ein Beispiel wäre der Standard ISO/IEC 27006/ Andere Anforderungen an Prüfschemata können sich durch die entsprechenden Standards oder regulatorische Vorgaben der Fachaufsicht ergeben. 7.3 Qualifizierung der Prüfstelle Ergänzend zum B3S wird die fachliche Anforderung (Qualifizierung) an die prüfende Stelle beschrieben oder auf die Beschreibung (z. B. in einem bestehenden Prüfregime) referenziert. Es sollte festgelegt werden, welche branchenspezifische Expertise vorhanden sein muss. 7.4 Organisatorische Anforderung an Prüfstelle Im B3S wird die organisatorische Anforderung (z. B. eine Akkreditierung) an die prüfende Stelle beschrieben oder auf deren Beschreibung referenziert. 7.5 Prüfprozess Im B3S werden der festgelegte Prüfprozess und dessen Inhalte beschrieben oder auf deren Beschreibung referenziert. Entwurf Orientierungshilfe B3S; Version vom Seite 7 von 10

8 A A 1 A 1.1 A 1.2 A 1.3 A 1.4 A 1.5 A 1.6 A 1.7 A 1.8 A 1.9 ANHANG BEDROHUNGSKATEGORIEN Hacking und Manipulation Terroristische Akte Naturgefahren Identitätsmissbrauch (Phishing, Skimming, Zertifikatsfälschung) Missbrauch (Innentäter) Abhängigkeiten von Dienstleistern und Herstellern (Ausfall externer Dienstleister, unberechtigter Zugriff, versteckte Funktionen in Hard- und Software) Unbefugter Zugriff Manipulation, Diebstahl, Verlust, Zerstörung von IT oder IT-relevanten Anlagen und Anlagenteilen Schadprogramme A 1.10 Social Engineering A 1.11 Gezielte Störung / Verhinderung von Diensten (DDoS, gezielte Systemabstürze,...) A 1.12 Advanced Persistent Threat (APT) A 1.13 Beschädigung oder Zerstörung verfahrenstechnischer Komponenten, Ausrüstungen und Systemen A 2 A 2.1 A 2.2 A 2.3 A 2.4 A 2.5 A 2.6 A 2.7 SCHWACHSTELLENKATEGORIEN Organisatorische Mängel Technische Schwachstellen in Software, Firmware und Hardware Technisches Versagen von IT-Systemen, Anwendungen oder Netzen (sowie Verlust von gespeicherten Daten) Menschliche Fehlhandlungen, menschliches Versagen Infrastrukturelle Mängel (baulich, Versorgung mit Strom etc.) Verwendung ungeeigneter Netze/ Kommunikationsverbindungen, sonstige Schwächen in der Kommunikationsarchitektur Verkopplung von Diensten (Beeinträchtigung eines Dienstes durch Störung anderer Dienste) A 3 A 3.1 A 3.2 A 3.3 A 3.4 A 3.5 A 3.6 A 3.7 A 3.8 A 3.9 TECHNISCHE INFORMATIONSSICHERHEIT (untergliedert nach spezifischer Informationssicherheit und ordnungsgemäßem IT-Betrieb mit Bezug zur Informationssicherheit) Informationssicherheit Netztrennung und Segmentierung Absicherung Fernzugriffe Härtung und sichere Basiskonfiguration der Systeme und Anwendungen Schutz vor Schadsoftware Intrusion Detection/Prevention Identitäts- und Rechtemanagement Sichere Authentisierung Kryptographische Absicherung (data in rest, data in motion) Mobile Sicherheit, Sicherheit Mobiler Zugang und Telearbeit (ggf. BYOD) A 3.10 Datensicherung und Datenwiederherstellung A 3.11 Ordnungsgemäßer IT-Betrieb mit Bezug zur Informationssicherheit Ordnungsgemäße IT-Administration Entwurf Orientierungshilfe B3S; Version vom Seite 8 von 10

9 A 3.12 Netz- und Systemmanagement A 3.13 Datensicherung und -wiederherstellung A 3.14 Patch- und Änderungsmanagement A 3.15 Beschaffung, Ausschreibung und Einkauf A 3.16 Archivierung A 3.17 Protokollierung A 3.18 Umgang mit Datenträgern, Austausch von Datenträgern A 3.19 Sicheres Löschen A 3.20 Verkauf, Aussonderung von IT A 3.21 Softwaretests und Freigaben A 3.22 Datenschutz Entwurf Orientierungshilfe B3S; Version vom Seite 9 von 10

10 B APT B3S BBK BCM BIA BSI BSIG BYOD DDoS DWA-M IDS IPS ISMS ISO/IEC kdl NIST IT-SiG QS TAK TKG TLP TR UP KRITIS Abkürzungsverzeichnis Advanced Persistent Threat Branchenspezifische Sicherheitsstandards Bundesamt für Bevölkerungsschutz und Katastrophenhilfe Business Continuity Management Business Impact Analysis Bundesamt für Sicherheit in der Informationstechnik Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) Bring your own device Distributed Denial of Service Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall - Merkblatt Intrusion Detection System Intrusion Prevention System Information Security Management System International Organization for Standardization / International Electrotechnical Commission Kritische Dienstleistung National Institute of Standards and Technology Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) Qualitätssicherung Themenarbeitskreis Telekommunikationsgesetz (TKG) Traffic Light Protocol Technische Richtlinie Initiative zur Zusammenarbeit von Wirtschaft und Staat zum Schutz Kritischer Infrastrukturen in Deutschland Entwurf Orientierungshilfe B3S; Version vom Seite 10 von 10