UP KRITIS. FAQ für Interessierte

Transkript

1 UP KRITIS FAQ für Interessierte Kontakt: Geschäftsstelle des UP KRITIS Bundesamt für Sicherheit in der Informationstechnik Referat C 22 - Geschäftsstelle UP KRITIS Postfach Bonn upkritis@bsi.bund.de Tel.: Fax: Web:

2 Inhaltsverzeichnis Was sind Kritische Infrastrukturen?...4 Was sind kritische Informationsinfrastrukturen?...7 Wer sind die Betreiber der Kritischen Infrastrukturen?...8 Was ist der UP KRITIS?...9 Warum kooperiert der Staat mit den Betreibern Kritischer Infrastrukturen? Warum legt der UP KRITIS seinen Schwerpunkt auf IT? Welche Ziele verfolgt der UP KRITIS? Wie meldet man sich für den UP KRITIS an? Wie kann man (aktiv) im UP KRITIS mitwirken? Wie kann man sich noch stärker aktiv einbringen? Welche Vorteile bietet die Teilnahme am UP KRITIS? Wo gibt es weitere Informationen?

3 Sehr geehrte Damen und Herren, vielen Dank für Ihr Interesse am UP KRITIS! Diese FAQ sollen die wichtigsten Fragen rund um den UP KRITIS beantworten und Ihnen bei der Entscheidung helfen, ob Ihre Organisation Teilnehmer des UP KRITIS werden möchte. Der UP KRITIS ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Fach- und Branchenverbänden und den zuständigen staatlichen Stellen. Grundlage der Zusammenarbeit im UP KRITIS ist das Dokument UP KRITIS: Öffentlich-Private Partnerschaft zum Schutz Kritischer Infrastrukturen Grundlagen und Ziele, das in Kürze unter verfügbar sein wird. Weitere Informationen zum UP KRITIS sowie die Aufnahmeformulare finden Sie im Internet unter Sollten Sie über die in diesen FAQ beantworteten Fragen hinaus weitere Fragen haben, können Sie sich jederzeit gerne an die Geschäftsstelle des UP KRITIS wenden! Mit freundlichen Grüßen Ihre Geschäftsstelle des UP KRITIS 3

4 Was sind Kritische Infrastrukturen? Kritische Infrastrukturen (KRITIS) sind die Lebensadern unserer Gesellschaft. Sie stellen wichtige, teils lebenswichtige Güter und Dienstleistungen bereit, die das Rückgrat der Versorgung der Gesellschaft bilden. Die KRITIS-Strategie 1 der Bundesregierung definiert Kritische Infrastrukturen als Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Zu den Kritischen Infrastrukturen in Deutschland gehören Organisationen und Einrichtungen aus den in Abb. 1 aufgelisteten Sektoren. Abb. 1: Sektoren Kritischer Infrastrukturen in Deutschland Die Sektoren der Kritischen Infrastrukturen werden jeweils in verschiedene Branchen unterteilt (s. Tabelle 1). 1 abrufbar unter 4

5 KRITIS-Sektoren KRITIS-Branchen Energie Elektrizität Gas Mineralöl Informationstechnik und Telekommunikation Telekommunikation Informationstechnik Transport und Verkehr Luftfahrt Seeschifffahrt Binnenschifffahrt Schienenverkehr Straßenverkehr Logistik Gesundheit Medizinische Versorgung Arzneimittel und Impfstoffe Labore Wasser Öffentliche Wasserversorgung Öffentliche Abwasserbeseitigung Ernährung Ernährungswirtschaft Lebensmittelhandel Finanz- und Versicherungswesen Banken Börsen Versicherungen Finanzdienstleister Staat und Verwaltung Regierung und Verwaltungsdienste Parlament Justizeinrichtungen Notfall- und Rettungswesen einschließlich Katastrophenschutz Medien und Kultur Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse Kulturgut Symbolträchtige Bauwerke Tabelle 1: Sektoren- und Brancheneinteilung Kritischer Infrastrukturen in Deutschland 5

6 Eine schwerwiegende Störung oder gar eine Unterbrechung der über die Kritischen Infrastrukturen erbrachten Dienstleistungen kann negative Folgen für unsere Gesellschaft haben; in manchen Fällen kann ein Ausfall sogar zu massiven Beeinträchtigungen im gesellschaftlichen Zusammenleben führen. Ist ein Ausfall kaum oder gar nicht tolerierbar, so handelt es sich um für die Gesellschaft unverzichtbare und deswegen kritische Dienstleistungen, die von den Kritischen Infrastrukturen erbracht werden. 6

7 Was sind kritische Informationsinfrastrukturen? Unter kritischen Informationsinfrastrukturen versteht man sowohl den Sektor IKT (Informationstechnik und Telekommunikation) als auch die Gesamtheit der IT-Anteile aller anderen KRITIS-Sektoren (s. Abb. 2). Abb. 2: Kritische Informationsinfrastrukturen In den vergangenen Jahr(zehnt)en hat eine Durchdringung aller Wirtschaftsbereiche mit IKT stattgefunden. Auch beim Betrieb der Kritischen Infrastrukturen nimmt die Bedeutung der IT stetig zu. Die erfolgreiche Durchführung der (kritischen) Produktions- und Versorgungsprozesse der Kritischen Infrastrukturen hängt immer mehr vom ordnungsgemäßen Funktionieren von IT ab. Die kritischen Informationsinfrastrukturen haben somit inzwischen eine herausragende Bedeutung für die Funktionsfähigkeit der Kritischen Infrastrukturen. 7

8 Wer sind die Betreiber der Kritischen Infrastrukturen? Betreiber Kritischer Infrastrukturen sind (privatwirtschaftliche oder öffentlich-rechtliche) Organisationen aus den Branchen der Kritischen Infrastrukturen (s. Tabelle 1), die Einrichtungen betreiben, die für das Funktionieren der sog. kritischen Dienstleistungen (engl. vital services) erforderlich sind. Kritische Dienstleistungen sind für die Bevölkerung wichtige, teils lebenswichtige Güter und Dienstleistungen wie z. B. die Stromversorgung, die Versorgung mit Trinkwasser, die Versorgung mit Lebensmitteln, die medizinische Versorgung, die Sprach- und Datenübertragung etc. Zur Erbringung dieser kritischen Dienstleistung sind meist mehrere Prozessschritte nötig: häufig sind mehrere Organisation teilweise aus unterschiedlichen Branchen und Sektoren beteiligt, um die Dienstleistung oder das Produkt zu erzeugen und vom Erzeuger zum Kunden zu transportieren. Ein Beispiel: Bei der kritischen Dienstleistung Versorgung mit Lebensmitteln sind diese Prozessschritte Lebensmittelproduktion Vertrieb/Logistik Verkauf (Einzelhandel). Die einzelnen Prozessschritte sind dabei nicht zwingend sequentiell, sondern können z. B. auch parallel ablaufen. Alle Organisationen und Einrichtungen, die für die Erbringung der kritischen Dienstleistungen erforderlich sind, sind unabhängig von ihrer Größe Teil des KRITIS-Systems und gelten damit als Betreiber einer Kritischen Infrastruktur. Alle diese KRITIS-Betreiber sind eingeladen, sich an der Kooperation UP KRITIS zu beteiligen. Kleinere Organisationen lassen sich dabei idealerweise z. B. durch ihre Fach- oder Branchenverbände vertreten. 8

9 Was ist der UP KRITIS? Der UP KRITIS ist eine öffentlich-private Partnerschaft (engl. public-private partnership, PPP) zwischen öffentlich-rechtlichen und privatwirtschaftlichen Betreibern Kritischer Infrastrukturen, die kritische, für die Versorgung der Bevölkerung zwingend notwendige Dienstleistungen erbringen, den nationalen Fach- und Branchenverbänden sowie den zuständigen Behörden in Deutschland. Die Zusammenarbeit im UP KRITIS folgt der Vision: In gemeinsamer Verantwortung von Staat und Wirtschaft leistet der UP KRITIS einen zentralen Beitrag zum Schutz der Kritischen Infrastrukturen mit dem Ziel, die Versorgung der Bevölkerung mit wichtigen, teils lebenswichtigen Gütern und Dienstleistungen (kritischen Dienstleistungen) sicherzustellen sowie erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen zu vermeiden. Aufgrund der Bedeutung der Informationstechnik für kritische Prozesse bildet dabei die IT in den kritischen Prozessen den Schwerpunkt der Arbeiten. Im Rahmen des UP KRITIS werden Kontakte geknüpft, Konzepte entwickelt, Übungen abgehalten sowie ein gemeinsames Vorgehen zum (IT-)Krisenmanagement erarbeitet und etabliert. Zwischen den Beteiligten hat sich ein Netzwerk des Vertrauens gebildet, in dem Erfahrungen und (vertrauliche) Informationen ausgetauscht werden und ein Know-how- Transfer stattfindet. Dadurch lernen alle Beteiligten voneinander und kommen so zu besseren Lösungen. 9

10 Warum kooperiert der Staat mit den Betreibern Kritischer Infrastrukturen? Der Staat hat im Rahmen der Daseinsfürsorge die Pflicht, die Versorgung der Bevölkerung mit (lebens-)notwendigen Gütern und Dienstleistungen zu gewährleisten. Er trägt somit die Gewährleistungsverantwortung für die Verfügbarkeit der kritischen Dienstleistungen. Die Gesellschaft erwartet vom Staat, dass die Kritischen Infrastrukturen sicher und zuverlässig betrieben werden und die kritischen Dienstleistungen quasi uneingeschränkt zur Verfügung stehen. Die Bevölkerung in Deutschland ist in Bezug auf die kritischen Dienstleistungen heute eine hohe Versorgungssicherheit und einen hohen Sicherheitsstandard gewohnt. Daher sind die Folgen eines Dennoch-Ausfalls umso gravierender (Verletzlichkeitsparadoxon 2 ). Da die Kritischen Infrastrukturen und damit die Erbringung der kritischen Dienstleistungen heute größtenteils nicht in staatlicher Hand sind, sondern von privatwirtschaftlichen Unternehmen betrieben werden, liegt die betriebliche Verantwortung für die verlässliche Bereitstellung der kritischen Dienstleistungen bei den KRITIS-Betreibern. Die Betreiber sind sich dieser Verantwortung bewusst und betreiben ihre Infrastrukturen seit vielen Jahren und Jahrzehnten mit einer sehr hohen Zuverlässigkeit und Verfügbarkeit. Die (möglichst) uneingeschränkte Verfügbarkeit der kritischen Dienstleistungen liegt sowohl im (Eigen-)Interesse der KRITIS-Betreiber, als auch in dem des Staates und der Bevölkerung. Der Schutz der Kritischen Infrastrukturen vor Ausfällen und Beeinträchtigungen ist daher eine nationale Aufgabe, die Staat und KRITIS-Betreiber gemeinsam bewältigen müssen. Diese Kooperation findet im UP KRITIS statt. 2 Umstand, dass sich mit zunehmender Robustheit und geringerer Störanfälligkeit ein (durchaus trügerisches) Gefühl von Sicherheit entwickelt und die Auswirkungen eines Dennoch-Störfalls überproportional hoch sind (siehe 10

11 Warum legt der UP KRITIS seinen Schwerpunkt auf IT? Der Schutz der Kritischen Infrastrukturen zur Aufrechterhaltung der Versorgung der Bevölkerung ist ein fortlaufender Prozess, der sich angesichts stetig verändernder Rahmenbedingungen permanent weiterentwickeln muss. Da kritische Dienstleistungen mittels kritischer (Produktions-)Prozesse erbracht werden, konzentriert sich der Schutz vorrangig auf diese Prozesse. In nahezu allen kritischen Prozessen ist Informationstechnik inzwischen ein zentraler und unverzichtbarer Bestandteil geworden. Gleichzeitig befindet sich diese seit Jahren in einer dynamischen Entwicklung, die eine sich ständig ändernde Bedrohungslage mit sich bringt. Aus diesen Gründen kommt dem Schutz der Informationsinfrastrukturen im UP KRITIS eine besondere Bedeutung zu. Mit zunehmender Digitalisierung von Industrie und Gesellschaft und der damit einhergehenden Abhängigkeit der Produktions- und Versorgungsprozesse von einer funktionierenden IT- bzw. Informationsinfrastruktur steigt auch das Risiko IT-bedingter Störungen oder Ausfälle der Kritischen Infrastrukturen. Das BSI als für IT-Sicherheit zuständige Behörde kooperiert daher im Rahmen des UP KRITIS insbesondere mit den für die IT und Informationssicherheit zuständigen Vertretern der KRITIS-Betreiber, um ein angemessenes IT-Sicherheitsniveau der Kritischen Infrastrukturen sicherzustellen. Ziel dieser Kooperation ist es, das Risiko IT-bedingter Ausfälle und Beeinträchtigungen der Kritischen Infrastrukturen im Interesse der Versorgung der Bevölkerung möglichst zu minimieren. 11

12 Welche Ziele verfolgt der UP KRITIS? Der UP KRITIS verfolgt das zentrale Ziel, die Resilienz d.h. die Widerstandsfähigkeit der Kritischen Infrastrukturen, und hier insbesondere die Resilienz der kritischen Informationsinfrastrukturen, zu erhöhen bzw. auf einem hohen Niveau zu stabilisieren. Gemeinsames Ziel aller Beteiligten ist es, die Versorgung der Bevölkerung mit wichtigen, teils lebenswichtigen (kritischen) Gütern und Dienstleistungen möglichst uneingeschränkt zu gewährleisten sowie erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen zu vermeiden. Zur Erreichung dieses Gesamtziels wurden von den am UP KRITIS Beteiligten Unterziele in verschiedenen Bereichen definiert, die im Dokument UP KRITIS Grundlagen und Ziele 2014 beschrieben sind, das in Kürze unter verfügbar sein wird. Im Anhang des Dokuments werden einzelne Maßnahmen beschrieben, die in den nächsten Jahren umgesetzt werden sollen. Dabei wird sowohl auf strategisch-konzeptioneller als auch auf operativ-technischer Ebene gearbeitet. Die strategisch-konzeptionellen Maßnahmen werden in den Gremien des UP KRITIS bearbeitet, die operativ-technischen Maßnahmen werden durch die beteiligten Organisationen, also alle Teilnehmer des UP KRITIS, unter Nutzung der im UP KRITIS zwischen den Teilnehmern aufgebauten Kommunikationsstrukturen umgesetzt. 12

13 Wie meldet man sich für den UP KRITIS an? Alle Organisationen mit Sitz in Deutschland, die Kritische Infrastrukturen in Deutschland betreiben, nationale Fach- und Branchenverbände aus den KRITIS-Branchen, vom UP KRITIS anerkannte SPOC (Single Points of Contact) aus den KRITIS-Sektoren sowie die zuständigen Behörden können Teilnehmer des UP KRITIS werden. Die Teilnahme wird mittels eines Anmeldeformulars 3 bei der Geschäftsstelle des UP KRITIS beantragt. Bei Anmeldung muss gegenüber der Geschäftsstelle ein Ansprechpartner benannt werden. Dieser benennt für seine Organisation einen Vertreter aus dem Bereich IT / IT-Sicherheit, einen Vertreter aus dem Bereich BCM / Krisenmanagement sowie einen Notfallkontakt. Die Anmeldung umfasst auch eine Vereinbarung für den Umgang mit vertraulichen Informationen (TLP-Vereinbarung). Über die Aufnahme entscheidet die Geschäftsstelle des UP KRITIS. Die Aufnahme wird schriftlich bestätigt. Die Teilnahme ist kostenlos und freiwillig und kann jederzeit ohne Einhaltung einer Kündigungsfrist und ohne Angabe von Gründen beendet werden. Die Beendigung der Teilnahme erfolgt durch formlose schriftliche Mitteilung an die Geschäftsstelle des UP KRITIS. 3 Verfügbar unter html 13

14 Wie kann man (aktiv) im UP KRITIS mitwirken? Die Zusammenarbeit im UP KRITIS erfolgt in zwei verschiedenen Formen: der operativ-technischen Zusammenarbeit zwischen allen Teilnehmern sowie der strategisch-konzeptionellen Zusammenarbeit in den eingerichteten Gremien. Operativ-technische Zusammenarbeit Der Schwerpunkt der operativ-technischen Zusammenarbeit liegt in der Kommunikation. Die Kommunikation läuft im Wesentlichen zwischen der Geschäftsstelle des UP KRITIS, dem BSI-Lagezentrum sowie den Teilnehmern. Die Kommunikation erfolgt über herkömmliche Wege wie zum Beispiel oder Telefon. Um den Kommunikationsaufwand jedes einzelnen Beteiligten zu minimieren und die Kommunikationswege zu strukturieren, können in den einzelnen KRITIS-Branchen sogenannte SPOC (Single Points of Contact) eingerichtet werden. Ein SPOC ist eine bei einem Unternehmen, einem Verband oder einer Behörde eingerichtete Stelle, über die die gesamte Kommunikation einer Branche mit dem IT-Lagezentrum im BSI erfolgt. SPOC organisieren auf Branchenebene den Informationsfluss von und zu den Ansprechpartnern in den Unternehmen und sind die zentrale Ansprechstelle für die Kommunikation mit dem BSI. Außerdem stellen sie eine 24/7-Erreichbarkeit sicher. Sofern keine SPOC eingerichtet sind, läuft die Kommunikation direkt zwischen Unternehmen und BSI- Lagezentrum. Diese Kommunikationsstruktur (s. Abb. 3) ergänzt die bereits vorhandenen Einrichtungen und Regelungen in den Unternehmen, den Branchen und in der Bundesverwaltung. Abb. 3: Kommunikationsstruktur der operativ-technischen Zusammenarbeit im UP KRITIS 14

15 Um das gemeinsame IT-Lagebild zu stärken, sollen alle Teilnehmer das BSI über gravierende IT-Sicherheitsvorfälle informieren. Das IT-Sicherheitslagebild fasst die aktuelle IT- Sicherheitslage in Deutschland kurz und übersichtlich zusammen und bewertet diese unter anderem im Hinblick auf Handlungsbedarf und Handlungsoptionen. 15

16 Wie kann man sich noch stärker aktiv einbringen? Die Aufnahme in den UP KRITIS erfolgt zunächst als Teilnehmer. Bei Wunsch zur aktiveren Mitarbeit kann eine Organisation darauf aufbauend auch Partner im UP KRITIS werden. Hierzu können Teilnehmer des UP KRITIS für ihre Vertreter die Aufnahme in Branchenarbeitskreise (BAK) und Themenarbeitskreise (TAK) beantragen, um sich an brancheninternen oder themenspezifischen Aktivitäten im UP KRITIS aktiv zu beteiligen. Die Aufnahme in einen Arbeitskreis wird über die Geschäftsstelle des UP KRITIS beim Leiter des jeweiligen Arbeitskreises beantragt. Werden Vertreter eines Teilnehmers (d. h. einer teilnehmenden Organisation) als Mitglied in einen Arbeitskreis des UP KRITIS aufgenommen, so werden diese Organisationen Partner im UP KRITIS. Strategisch-konzeptionelle Zusammenarbeit Die strategisch-konzeptionelle Zusammenarbeit im UP KRITIS erfolgt in den eingerichteten Gremien und dabei insbesondere in den Branchen- und Themenarbeitskreisen. Branchenarbeitskreise Branchenarbeitskreise (BAK) dienen innerhalb der Branche sowie mit den zuständigen Behörden insbesondere der Vernetzung, dem vertrauensvollen Informationsaustausch und der Entwicklung gemeinsamer Positionen und Dokumente (z. B. Rahmenwerke für die Branche). Existieren in Branchen außerhalb des UP KRITIS bereits Arbeitskreise zu IT- /Cyber-Sicherheit, werden diese eingeladen, mit dem UP KRITIS zusammenzuarbeiten bzw. direkt im UP KRITIS mitzuwirken. Gibt es in einer Branche noch keinen BAK zu IT-/Cyber- Sicherheit, dann soll ein solcher durch UP-KRITIS-Teilnehmer aus der Branche gegründet werden. Eine aktuelle Auflistung der bereits bestehenden oder gerade in Gründung befindlichen Branchenarbeitskreise finden Sie im Internet unter PKBAK/upk_bak_node.html. 16

17 Themenarbeitskreise Themenarbeitskreise (TAK) dienen dem branchenübergreifenden, vertrauensvollen Informationsaustausch und der Entwicklung gemeinsamer Positionen und Dokumente. TAK werden zu sektor- und branchenübergreifenden Themen gegründet (z. B. Industrielle Steuerungssysteme, Übungen, SPOC-Erfahrungsaustausch, BCM, Krisenmanagement, Regulierung). Eine aktuelle Auflistung der derzeit bestehenden Themenarbeitskreise finden Sie unter PKTAK/upk_tak_node.html. Die Mitglieder der Arbeitskreise arbeiten aktiv und selbständig an den Zielen und Projekten des UP KRITIS mit. Jeder Arbeitskreis bildet einen eigenen Informationsverbund, in dem Informationen vertraulich ausgetauscht werden können. Die Zusammenarbeit in den Arbeitskreisen erfolgt auf Basis gegenseitigen Vertrauens. Für den Austausch von Informationen verpflichten sich die Mitglieder zur Vertraulichkeit gemäß Traffic Light Protocol (TLP). Mit Hilfe des TLP werden Informationen nach Vertraulichkeitsstufen eingestuft, die sich an den Farben einer Verkehrsampel orientieren. Vertrauliche Informationen erhalten dabei z. B. die Einstufung red und freie Informationen die Einstufung white. Genaueres hierzu regelt das TLP-Merkblatt (s. blob=publica tionfile). Die formale Grundlage für die Zusammenarbeit im UP KRITIS bilden die im Jahr 2013 von den Plenumsmitgliedern verabschiedeten Grundsätze der Zusammenarbeit, eine Art Geschäftsordnung, die Sie mit Ihrer Teilnahme am UP KRITIS erhalten. 17

18 Welche Vorteile bietet die Teilnahme am UP KRITIS? Der UP KRITIS bietet einen Expertenkreis, der einen adäquaten, auf hohem fachlichem Niveau verlaufenden Austausch zum Thema Schutz Kritischer Infrastrukturen ermöglicht. Im UP KRITIS werden Kompetenz und Know-how von Wirtschaft und Staat in Bezug auf den Schutz kritischer (Informations-)Infrastrukturen zusammengeführt. Betreiber Kritischer Infrastrukturen und Vertreter staatlicher Stellen tauschen sich über politische, technologische und branchenspezifische aktuelle Fragen und Entwicklungen sowie deren Auswirkungen auf Kritische Infrastrukturen aus. Im UP KRITIS wird die unternehmens- und branchenübergreifende Kommunikation gefördert und es können (auf Arbeitsebene) Kontakte zu anderen Betreibern Kritischer Infrastrukturen, zu Verbänden und zu den Vertretern der teilnehmenden Behörden geknüpft werden. Teilnehmer des UP KRITIS können diesen als Sprachrohr nutzen, um gemeinsam Dritte dazu zu bewegen, durch ihre Handlungen zum Schutz der Kritischen Infrastrukturen beizutragen. Dies können beispielsweise europäische Institutionen, Hersteller von Produkten oder Dienstleister sein. Darüber hinaus haben die Teilnehmer des UP KRITIS die Möglichkeit, sich an staatlichen Übungen und Übungen im Rahmen des UP KRITIS zu beteiligen und so ihre eigene IT- Krisenreaktionsfähigkeit zu überprüfen und weiter zu verbessern. Bei Übungen wird insbesondere erprobt, ob die vereinbarten Kommunikationsbeziehungen aufgebaut und aufrechterhalten werden können und ob die Krisenmanagementstrukturen und -prozesse effizient und effektiv sind. Im UP KRITIS findet ein Austausch über Vorkommnisse und eine gemeinsame Analyse und Bewertung der aktuellen Bedrohungs- und Risikosituation statt, um über eine einheitliche Einschätzung der IT-Sicherheitslage der Kritischen Infrastrukturen zu verfügen. Die gemeinsame Einschätzung der Bedrohungs- und Risikosituation ist eine wesentliche Voraussetzung dafür, um auf IT-Vorfälle und (potentielle) IT-Krisen gut vorbereitet zu sein. Mit dem gemeinsamen Verständnis der Bedrohungen und gut abgestimmten Krisenmanagementstrukturen können eingetretene Störungen oder gar Krisen gemeinsam und schnell 18

19 bewältigt werden. Auf diese Weise werden Synergieeffekte genutzt und Kosten und Aufwände zur Vermeidung und Bekämpfung von Krisen verringert. Das BSI bietet für die Teilnehmer des UP KRITIS vielfältige Produkte, die auf dem freien Markt nicht erhältlich sind. Produkte des BSI-Lagezentrums sind z.b. der monatliche Lagebericht und die Warnmeldungen bei besonderen IT-Vorkommnissen bzw. -Vorfällen. Alle Teilnehmer des UP KRITIS werden hierfür an die Warn- und Meldestrukturen des BSI angeschlossen. Das BSI warnt die Teilnehmer des UP KRITIS anlassbezogen vor aktuellen IT- Sicherheitsgefährdungen, die sich aus der vom BSI durchgeführten Lagebeurteilung ergeben. Dazu gehört auch die frühzeitige Verbreitung noch ungesicherter Informationen. Das BSI zeichnet sich durch eine breit angelegte und in den Fachabteilungen spezialisierte IT-Sicherheitskompetenz aus, die dem BSI-Lagezentrum zur Aufbereitung, Bewertung und zielgruppengerechten Bereitstellung von Informationen zur Verfügung steht. Aufgrund des Zusammenwirkens von Informationsquellen und technischer Kompetenz des BSI kann ein über typische Computer-Emergency-Response-Team (CERT)-Meldungen hinausgehendes IT-Sicherheitslagebild gewonnen werden. Das BSI-Lagezentrum ist an sieben Tagen in der Woche rund um die Uhr (24/7) erreichbar und reaktionsfähig. Es stellt Handlungsempfehlungen bereit, unterstützt die Kommunikation zwischen den Beteiligten und koordiniert die Krisenbewältigung. Die Erreichbarkeiten des Nationalen IT-Lagezentrums im BSI werden allen Teilnehmern des UP KRITIS als TLP Amber -eingestuftes Dokument (nur für den internen Gebrauch) zur Verfügung gestellt. Darüber hinaus erhalten alle Teilnehmer des UP KRITIS Zugriff auf das gesamte Leistungsspektrum der Allianz für Cyber-Sicherheit ( Im Informationspool der Allianz erhalten registrierte Teilnehmer Zugriff auf aktuelle Warnmeldungen, Lageberichte und aktuelle Dokumente (z. B. zur IT-Sicherheit von Industriellen Control Systemen). Eine separate Anmeldung zur Allianz für Cyber-Sicherheit ist als Teilnehmer des UP KRITIS nicht erforderlich! 19

20 Wo gibt es weitere Informationen? Weitere Informationen zum UP KRITIS finden Sie im Internet unter Darüber hinaus gibt es eine Reihe von Dokumenten, die die Grundlage der Arbeiten im UP KRITIS bilden. Diese sind im Folgenden aufgelistet: 1. Bundesministerium des Innern (Hrsg.): Nationale Strategie zum Schutz Kritischer Infrastrukturen. Berlin, 2009, abrufbar unter 2. Bundesministerium des Innern (Hrsg.): Cyber-Sicherheitsstrategie für Deutschland. Berlin, 2011, abrufbar unter onsgesellschaft/cyber.pdf? blob=publicationfile 3. Bundesministerium des Innern (Hrsg.): Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen. Berlin, 2007, abrufbar unter 4. Bundesministerium des Innern (Hrsg.): Früherkennung und Bewältigung von IT- Krisen. Berlin, 2008, abrufbar unter sen/kritis_2.html 5. Bundesministerium des Innern (Hrsg.): IT-Notfall- und Krisenübungen in Kritischen Infrastrukturen. Berlin, 2008, abrufbar unter sen/kritis_3.html 6. Bundesministerium des Innern (Hrsg.): Schutz Kritischer Infrastrukturen Risiko- und Krisenmanagement. Leitfaden für Unternehmen und Behörden. 2. Aufl. Berlin, 2011, abrufbar unter itis/leitfaden_schutz-kritis.pdf? blob=publicationfile Weitere Fragen zum UP KRITIS beantwortet Ihnen gerne die Geschäftsstelle! 20