Häufig gestellte Fragen für Betreiber Kritischer Infrastrukturen zur Meldepflicht nach IT-Sicherheitsgesetz

Transkript

1 Häufig gestellte Fragen für Betreiber Kritischer Infrastrukturen zur Meldepflicht nach IT-Sicherheitsgesetz 1 Wer muss dem BSI melden? Die Meldepflicht gem. 8b Absatz 4 BSI-Gesetz betrifft Betreiber Kritischer Infrastrukturen, die anhand der in der BSI-Kritisverordnung festgesetzten Schwellwerte als Kritische Infrastrukturen im Sinne des BSI-Gesetzes identifiziert wurden. Für die Meldeverpflichteten nach AtG, TKG und EnWG gelten die dortigen separaten Regelungen. 2 Wann muss dem BSI gemeldet werden? Betreiber Kritischer Infrastrukturen, die gemäß der BSI-Kritisverordnung unter das BSI-Gesetz fallen, müssen erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, IT-Komponenten und IT-Prozesse (IT-Störung), die zu einem Ausfall oder einer Beeinträchtigung der von ihnen betriebenen Kritischen Infrastrukturen führen könnten oder bereits geführt haben, ggf. pseudonymisiert über eine gemeinsame übergeordnete Ansprechstelle (GÜAS), dem BSI melden. Eine Meldung ist immer erforderlich, wenn es bereits zu einem Ausfall oder zu einer Beeinträchtigung der betriebenen Kritischen Infrastruktur gekommen ist. Ist ein Ausfall oder eine Beeinträchtigung zwar möglich, aber (noch) nicht eingetreten, so ist eine Meldung nur erforderlich, wenn es sich um eine außergewöhnliche IT-Störung handelt. Die folgende Grafik stellt dar, wann gemeldet werden soll. IT-Störung Kein Kein Ausfall oder oder Beeinträchtigung möglich Ausfall oder oder Beeinträchtigung möglich Ausfall Ausfall oder oder Beeinträchtigung eingetreten Gewöhnliche IT-Störung Außergewöhnliche IT-Störung Keine Keine Meldung erforderlich Keine Keine Meldung erforderlich Meldung erforderlich (namentlich (namentlich oder oder pseudonym) pseudonym) Meldung erforderlich (namentlich) (namentlich) Abbildung 1: Grafische Darstellung der gesetzlichen Regelung zur Meldepflicht 1 Stand:

2 Unabhängig von der gesetzlichen Meldepflicht, steht es Ihnen frei, jederzeit besondere Erkenntnisse im Kontext von IT-Störungen, die Ihrer Meinung nach einen Beitrag zum IT-Lagebild leisten oder neu und untypisch oder besonders auffällig sind, an das BSI zu melden. Auch dann, wenn im konkreten Fall kein Ausfall und keine Beeinträchtigung in Ihrem Verantwortungsbereich möglich ist bzw. diese unter den vorgegebenen Meldeschwellen liegen. Sie können hierzu dasselbe Meldeformular nutzen und kreuzen unter 1.1. Freiwillige Meldung an. 3 Was sind Beispiele für gewöhnliche IT-Störungen? IT-Störungen können als gewöhnlich bezeichnet werden, wenn sie mit den nach Stand der Technik umgesetzten Maßnahmen 1 abgewehrt wurden und ohne nennenswerte Probleme oder ohne erhöhten Ressourcenaufwand bewältigt wurden. Beispiele für gewöhnliche IT-Störungen sind: Bekannte, bereits veröffentlichte Sicherheitslücken, z. B. über das WID-Portal des BSI verteilt Spam Ungezieltes Phishing (Merkmale sind bspw. generische Themen, allgemein formulierte Anrede) Übliche Schadprogramme, die standardmäßig im Virenscanner abgefangen wurden 2 Technische Defekte im üblichen Rahmen (wie bspw. Festplattenfehler, Hardwareausfall) 4 Was sind Beispiele für außergewöhnliche IT-Störungen? IT-Störungen können als außergewöhnlich bezeichnet werden, wenn sie nicht bereits automatisiert mithilfe der als Stand der Technik beschriebenen Maßnahmen abgewehrt wurden, sondern nur mit erheblichem bzw. deutlich erhöhtem Ressourcenaufwand (z. B. erhöhtem Koordinierungsaufwand, Hinzuziehen zusätzlicher Experten, Nutzung einer besonderen Aufbauorganisation, Einberufung eines Krisenstabs) bewältigt werden können. Beispiele für außergewöhnliche IT-Störungen sind: Neue, bisher nicht veröffentlichte Sicherheitslücken Unbekannte Schadprogramme Neue Angriffswege oder gezielte Ausnutzung von Sicherheitslücken, zu denen es noch keinen Patch gibt Erfolgreiches Überwinden einer Sicherungsmaßnahme (z. B. explizite Separierungstechnologie, Kapselungs- / Sandboxing-Technologie, etc.) Außergewöhnliche (D)DoS-Angriffe, die zunächst nicht mit den vorhandenen Mitigationsmaßnahmen abgewehrt werden können Erfolgte, versuchte oder erfolgreich abgewehrte gezielte IT-Angriffe (Advanced Persistent Threats (APT)) 1 Die Maßnahmen können sowohl technisch als auch organisatorisch sein und werden in den branchenspezifischen Sicherheitsstandards konkretisiert. 2 Zu üblichen Schadprogrammen zählen auch deren Mutation (sogenannte polymorphe Malware); Hash-Werte können zum Vergleich bei Anbietern, wie bspw. VirusTotal, hochgeladen werden 2 Stand:

3 Außergewöhnliche und unerwartete technische Defekte mit IT-Bezug (zum Beispiel nach Softwareupdates oder ein Ausfall der Serverkühlung) Spear-Phishing (Merkmale sind bspw. spezifische Themen auf den Empfänger zugeschnitten, persönliche Anrede) Beispiele für außergewöhnliche IT-Störungen aus dem Umfeld der Prozesssteuerungssysteme sind: Sicherheitslücken auf speicherprogrammierbaren Steuerungen (SPS), inkl. in Webservern und sonstiger Dienste Ausnutzung von Fehlern in SCADA-/ SPS-Protokollen oder allgemein unsicheren Protokollen Fehlfunktion nach Firmwareaktualisierung 5 Wie schnell muss dem BSI gemeldet werden? Die Meldung muss unverzüglich nach Erkennung der IT-Störung erfolgen, d. h. ohne schuldhaftes Zögern. Alle Erkenntnisse, die zum Zeitpunkt der Meldung vorliegen, müssen an das BSI gemeldet werden. Können im Rahmen dieser unverzüglichen Meldung noch nicht alle erforderlichen Angaben zur IT-Störung gemacht werden, ist die Meldung als Erstmeldung zu kennzeichnen. Sobald fehlende Informationen bekannt sind, ist eine Folgemeldung und letztendlich eine Abschlussmeldung vorzulegen. Im Zweifelsfall ist die Meldung nachrangig gegenüber der Eindämmung der akuten Folgen der IT-Störung. Für die Erstmeldung gilt grundsätzlich Schnelligkeit vor Vollständigkeit. Eine Abschlussmeldung kann nach vollständiger Umsetzung aller Maßnahmen zur Vorfallsbearbeitung erfolgen. Mit der Abschlussmeldung hat der Betreiber seine Meldepflicht zu dieser IT-Störung gegenüber dem BSI vollständig erfüllt, sofern sich das BSI nicht binnen fünf Arbeitstagen anderweitig gegenüber dem Betreiber äußert (z. B. durch weitere Nachfragen zum Vorfall). 6 Was ist unter einem Ausfall der Funktionsfähigkeit der betriebenen Kritischen Infrastruktur zu verstehen? Unter einem Ausfall der Funktionsfähigkeit der Kritischen Infrastruktur (also der Anlage) versteht das BSI, dass die betroffene Anlage nicht mehr in der Lage ist, den von ihr erbrachten Anteil an der Erbringung der kritischen Dienstleistung zu leisten. Es wird auch von einem Ausfall im Sinne des BSI-Gesetzes ausgegangen, wenn sich die Qualität der von der Anlage erbrachten kritischen Dienstleistung durch eine IT-Störung derart verschlechtert, dass sie den Anforderungen der kritischen Dienstleistung an die Qualität nicht mehr genügt. Beispiele: Wasser wird nicht mehr in Trinkwasserqualität geliefert. ICE fahren nur noch mit 30 km/h. Banküberweisungen dauern 3 Tage. 3 Stand:

4 7 Was ist unter einer Beeinträchtigung der Funktionsfähigkeit der betriebenen Kritischen Infrastruktur zu verstehen? Unter Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur (also der Anlage) versteht das BSI, dass die betroffene Anlage nicht mehr in der Lage ist, den von ihr erbrachten Anteil an der Erbringung der kritischen Dienstleistung voll umfänglich, also in der erwarteten Quantität (Menge pro Zeit) zu erbringen. Das Kriterium der Beeinträchtigung tritt dann ein, wenn die Quantität (Leistung bzw. versorgte Personen) der erbrachten kritischen Dienstleistung der Anlage um mindestens 50 % der in der BSI-Kritisverordnung (BSI-KritisV) angegebenen Schwelle gemindert ist. Sofern die in der BSI-KritisV angegebene Schwelle eine Gesamtmenge pro Jahr angibt, ist diese entweder auf einen Tag (Bsp.: Tonnen/Tag) oder in eine Leistung (Bsp.: MW) umzurechnen. Beispiele (Leistung): Kraftwerke (die Schwelle in der BSI-KritisV beträgt 420 MW Leistung): eine Beeinträchtigung liegt vor, wenn aufgrund der IT-Störung die Leistung eines Kraftwerks um mindestens 210 MW reduziert ist bzw. reduziert sein könnte. Beispiele (Einwohnerwerte): Kläranlage (die Schwelle in der BSI-KritisV beträgt Einwohnerwerte): eine Beeinträchtigung liegt vor, wenn die Anlage durch den Vorfall in einem Grad beeinträchtigt ist, der Einwohnerwerten entspricht. Beispiel (Menge/Tag): Lebensmittelproduktion und -verarbeitung (die Schwelle in der BSI-KritisV beträgt t/jahr): eine Beeinträchtigung liegt vor, wenn aufgrund der IT-Störung die Menge an produzierten bzw. verarbeiteten Lebensmitteln pro Tag um mindestens t/(365 x 2) 600 t reduziert ist bzw. reduziert sein könnte. Wenn die Beeinträchtigung mehrere Tage andauert, so sind die Tageswerte zu addieren. Also z. B.: Die Beeinträchtigung dauert 3 Tage. Die Menge an produzierten bzw. verarbeiteten Lebensmitteln pro Tag ist an jedem der drei Tage um 210 t reduziert. Aus der Addition 210 t (Tag 1) t (Tag 2) t (Tag 3) = 630 t ergibt sich eine meldepflichtige IT-Störung. 8 Wie melde ich dem BSI? Grundsätzlich sollten Sie als registrierter Benutzer das Webformular des Melde- und Informationsportals (MIP) nutzen, um Ihre Meldung zu übermitteln. Die dafür erforderlichen Zugangsdaten inkl. Token werden Ihnen im Rahmen der Registrierung zugesandt. Eine Benutzeranleitung steht Ihnen auf den Webseiten des MIP im rechten oberen Bereich zum Download zur Verfügung. In dem Fall, in dem Sie der Meldepflicht aber nicht der Registrierungspflicht unterliegen und somit keine Zugangsdaten sowie keinen Token für das MIP erhalten haben, nutzen Sie bitte das im folgenden beschriebene Verfahren mittels eines Meldeformulars. Sollte das MIP einer technischen Störung unterliegen, können Sie ebenfalls das -Verfahren mit Meldeformular nutzen. 4 Stand:

5 Fallback 1: Bitte füllen Sie das Meldeformular ( aus. Speichern Sie das ausgefüllte Formular ab und senden Sie es verschlüsselt an <meldungen [ a t ] bsi.bund.de>. Es ist zwingend erforderlich, dass Sie die Betreffzeile der mit [BSIG8b] beginnen, um so eine unverzügliche automatische Weiterverarbeitung zu ermöglichen! Für die verschlüsselte Kommunikation mit dem BSI bieten wir Ihnen die folgenden Alternativen an. 1. S/MIME: Das benötigte Zertifikat finden Sie unter: 2. PGP: Den Public Key (Meldungen public-key.asc) finden Sie ebenfalls unter: Fingerabdruck: 4E9F D3E5 13AC DDB7 6A32 48EF ED25 C639 BA8C F7E8 Schlüsselkennung: BA8CF7E8 Um S/MIME oder PGP nutzen zu können, benötigen Sie entsprechende Programme / Plug-Ins, wie bspw. Gpg4win für das Betriebssystem Windows. Nach erfolgreicher Installation können Sie den PGP-Schlüssel oder das S/MIME-Zertifikat importieren und verwenden. Für eine ggf. S/MIME-verschlüsselte Rückkommunikation durch das BSI benötigen wir Ihr Wurzelzertifikat (Root CA) zur Verifizierung. Nach Absenden der Meldung erhalten Sie innerhalb von 30 Minuten eine Quittierung durch das BSI. Fallback 2: Sollten Sie aufgrund einer IT-Störung keine Möglichkeit zur verschlüsselten -Kommunikation mit dem BSI haben, benutzen Sie bitte als alternativen Meldeweg den nach der Registrierung mitgeteilten Telefonkontakt oder senden Sie in Ausnahmefällen das ausgefüllte Meldeformular per Fax an: 0228 / Was mache ich, wenn ich keine Quittierung durch das BSI erhalte? Sollten Sie nach spätestens 30 Minuten keine Quittierung Ihrer Meldung durch das BSI erhalten, wenden Sie sich bitte zusätzlich telefonisch an das BSI. Sie erreichen das BSI über die Ihnen nach der Registrierung mitgeteilten Kontaktdaten. 10 Wo finde ich Hilfe beim Ausfüllen des Meldeformulars? Sollten Sie Fragen beim Ausfüllen des Meldeformulars haben, wenden Sie sich bitte an die Ihnen nach der Registrierung mitgeteilten Kontaktdaten. Wenn aufgrund einer anhaltenden IT-Störung noch nicht alle Fragen zum Zeitpunkt Ihrer Meldung beantwortet werden können, sind diese später in der Folgemeldung oder Abschlussmeldung zu ergänzen. Bitte machen Sie in dem Meldeformular mit Kennzeichnung der Abschlussmeldung klar, wenn Sie keine zusätzlichen Informationen mehr erwarten. Spätestens mit der Abschlussmeldung sollen die für die Statistik und das Gesamtlagebild erforderlichen Angaben (Abschnitt 3) zu den vermuteten oder tatsächlichen Ursachen gemacht werden. 5 Stand:

6 11 Wofür werden die Informationen aus dem Meldeformular benötigt? Das Meldeformular ist in sieben Abschnitte unterteilt. Dabei sind die Informationen, die in den ersten beiden Abschnitten von dem Meldenden zur Verfügung gestellt werden, wichtig für die Kontaktaufnahme (Abschnitt 0), Betroffenheitskorrelation (Abschnitt 0, Abschnitt 1) und (statistische) Nachbereitung (Abschnitt 1). In den weiteren vier Abschnitten sollen genauere Details zu dem IT-Sicherheitsvorfall ermittelt werden. Diese Informationen werden verwendet für die Kritikalitätsbewertung aus IT-Sicherheitssicht (Abschnitt 1-4), Erstellung eines bundesweiten IT-Lagebilds (Abschnitt 1-4), Warn- oder Informationsmeldung an potentiell weitere Betroffene (Abschnitt 1-4), (statistische) Nachbereitung (Abschnitt 1-4, insbesondere Abschnitt 3) sowie Analyse der potentiellen Auswirkungen auf die Verfügbarkeit Kritischer Infrastrukturen (Abschnitt 1, Abschnitt 5). Darüber hinaus haben Sie die Möglichkeit zu ergänzenden Angaben (Abschnitt 6). 12 Welche Schnittstellen gibt es zu den bestehenden Genehmigungs-/ Aufsichtsbehörden und sonstigen zuständigen Behörden des Bundes? Gemäß 8b Absatz 2 Nummer 2 BSIG ist das BSI verpflichtet, potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu analysieren. Im Bedarfsfall geht das BSI hierzu auf die zuständigen Aufsichtsbehörden und/oder das BBK zu. Ggf. leitet das BSI Ihre Meldung dabei anonymisiert (ohne den Abschnitt 0) an die zuständigen Aufsichtsbehörden weiter. Sofern Sie eine Nennung Ihres Unternehmens gegenüber der Aufsichtsbehörde vermeiden wollen, achten Sie bitte darauf, dass im Text der anderen Abschnitte KEINE HINWEISE auf IHR UNTERNEHMEN stehen, die eine Identifizierung ermöglichen. Falls Sie im Meldeformular angegeben haben, bei wem Sie Anzeige erstattet haben, und kennzeichnen, dass Sie eine entsprechende Weiterleitung explizit wünschen, wird das BSI diese Meldung, als Ergänzung zu Ihrer Zusammenarbeit mit den lokalen Strafverfolgern, dem BKA im Rahmen seiner gesetzlichen Zuständigkeit für Kritische Infrastrukturen weiterleiten. Damit steht Ihnen die gesamte Bandbreite der polizeilichen Möglichkeiten zur Verfügung. Sofern sich aus der Meldung Tatsachen ergeben, die einen terroristischen Hintergrund erkennen lassen, muss das BKA im Rahmen seiner gesetzlichen Zuständigkeit durch das BSI unterrichtet werden. Sofern sich aus der Meldung Tatsachen ergeben, die eine sicherheitsgefährdende oder geheimdienstliche Tätigkeit für eine fremde Macht erkennen lassen, muss das BfV im Rahmen seiner gesetzlichen Zuständigkeit durch das BSI unterrichtet werden. 6 Stand:

7 In Einzelfällen muss das BSI seine Fachaufsicht im BMI über einen IT-Sicherheitsvorfall und die zugehörigen technischen Aspekte unterrichten. Das BSI wird Maßnahmen ergreifen, die übergebenen Informationen angemessen zu schützen, um die Interessen des Betroffenen zu wahren. Zur konkreten Fallbearbeitung geht das BSI nur in Absprache mit Ihnen auf weitere Behörden zu. 13 Was macht das BSI mit meinen Meldungen? Das BSI analysiert die IT-Störung, korreliert sie mit weiteren vorliegenden Erkenntnissen und erarbeitet ggf. Vorschläge für Maßnahmen. Sollten zusätzliche Detailinformationen benötigt werden, wendet sich das BSI mit Rückfragen an den im Meldeformular für den Vorfall angegebenen Ansprechpartner oder ersatzweise an die benannte Kontaktstelle des Betreibers. Bei Relevanz für andere Mitbetroffene, erstellt das BSI eine Warn- oder Informationsmeldung. Des Weiteren fließen die Erkenntnisse kontinuierlich in die Erstellung eines Gesamtlagebildes mit ein. Im Rahmen der Auswertung analysiert das BSI gemeinsam mit BBK und Aufsichtsbehörden zudem die potentiellen Auswirkungen der IT-Störung auf die Verfügbarkeit Kritischer Infrastrukturen. 14 Wie schützt das BSI meine Informationen? Das BSI behandelt Ihre Störungsmeldungen vertraulich. 8d BSIG schränkt die Weitergabe von Informationen an Dritte deutlich ein. Auskunft darf nur erteilt werden, wenn schutzwürdige Interessen des betroffenen Betreibers Kritischer Infrastrukturen dem nicht entgegenstehen und durch die Auskunft keine Beeinträchtigung wesentlicher Sicherheitsinteressen zu erwarten ist. Zugang zu personenbezogenen Daten wird nicht gewährt. Sofern das BSI aufgrund Ihrer Störungsmeldung eine anonymisierte Information erstellt hat, wird es den Betreibernamen nicht nennen. Dies gilt auch, sofern im Verlauf der Bearbeitung über andere Wege Informationen zur Betroffenheit Ihres Unternehmens öffentlich bekannt werden. 15 Sollte ich bei einem IT-Angriff Anzeige erstatten? Die Sichtbarkeit von IT-Angriffen, wie sie durch die Meldestelle des BSI verfolgt wird, sollte sich auch in der Strafverfolgung und der Kriminalstatistik wiederfinden. Unterstützend dazu finden Sie auf den Internetseiten des BKA Handlungsempfehlungen für die Wirtschaft in Fällen von Cybercrime 3. Bitte prüfen Sie bei Angriffen und Schäden in Ihrem Betrieb daher aktiv, ob die Erstattung einer Anzeige möglich ist. 16 Was erhalte ich vom BSI? Aus der stetigen Informationsgewinnung des BSI oder durch die Meldungen von Betroffenen erstellt das BSI sanitarisierte Warn- oder Informationsmeldungen, die zielgruppenorientiert versendet werden. Zusätzlich stellt das BSI allen meldepflichtigen Betreibern und ggf. darüber hinaus Dritten ein Gesamtlagebild zur Verfügung. 3 empfehlungen node.html? nnn=true 7 Stand:

8 Eine Reihe von weiteren Produkten und Dienstleistungen sind in Vorbereitung. Dies setzt jedoch eine Registrierung am Melde- und Informationsportal (MIP) voraus, um Sie adressieren zu können. 8 Stand: