Branchenspezifischer Sicherheitsstandard zur IT- Sicherheit. UP KRITIS - BAK Datacenter & Hosting mit CDN

Ähnliche Dokumente
Bundesamt für Sicherheit in der Informationstechnik KRITIS-Büro Postfach Bonn

ERFAHRUNGSBERICHT: PRÜFUNG NACH 8A (3) BSIG AUS PRÜFER- UND KRANKENHAUSSICHT

KRITISCHE INFRASTRUKTUREN

Häufige Fragen und Antworten (FAQ) zu 8a BSIG im Rahmen der Orientierungshilfe B3S V0.9 BSI-Entwurf Version 0.5.2, Stand:

Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert

DAS IT-SICHERHEITSGESETZ

IT-Sicherheit im Energie-Sektor

Compliance mit der DSGVO Stand der Technik - Wie gehen wir mit Artikel 32 der DSGVO um?

NATIONALES IT-SICHERHEITSGESETZ? UNS ALS KOMMUNE BETRIFFT DAS DOCH NICHT!

Neue Pflicht zu technischorganisatorischen. Vorkehrungen durch 13 Abs. 7 TMG

ISMS-Einführung in Kliniken

Blick über den Tellerand Erfahrungen der EVU

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

Beschreibung des Prüfungsverfahrens

Die Datenschutzgrundverordnung verändert alles

zum Stand der Diskussion

Der UP KRITIS und die Umsetzung des IT-Sicherheitsgesetzes

Schutz Kritischer Infrastrukturen. PITS - Public-IT-Security Kongress für IT-Sicherheit bei Behörden Berlin, 13. September 2016

Aktueller Stand der Umsetzung des IT- Sicherheitsgesetz aus Sicht des BSI

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

Leitlinie für die Informationssicherheit

4.3 Planung (Auszug ISO 14001:2004+Korr 2009) Die Organisation muss (ein) Verfahren einführen, verwirklichen und aufrechterhalten,

Maßnahmenermittlung nach dem Stand der Technik

Wie beeinflusst das IT-Sicherheitsgesetz perspektivisch die Zertifizierung von Medizinprodukten?

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

Thomas W. Harich. IT-Sicherheit im Unternehmen

Schutz Kritischer Infrastrukturen im Energiesektor: Umsetzung und Zertifizierung des IT-Sicherheitskatalogs für Strom- und Gasnetzbetreiber

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

Cybersicherheit im Sektor Wasser. Silke Bildhäuser, B.Sc. Bundesamt für Sicherheit in der Informationstechnik

NGO Tag - Sicherheit und Datenschutz in der Cloud Microsoft Deutschland GmbH Unter den Linden 17, Berlin

Kritische Infrastruktur in der Wasserwirtschaft Was bedeuten branchenspezifische IT-Sicherheitsstandards für die Wasserversorgungsunternehmen?

Zertifizierung gemäß ISO/IEC IT-Sicherheitskatalog nach 11 Abs. 1a EnWG

Hand in Hand: IT- und Facility-Management

Sicherheit für Ihre Geodaten

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

IT-Sicherheitsgesetz: Wen betrifft es,

UP KRITIS. Gründungssitzung des BAK Ernährungsindustrie BVE Berlin, Benjamin Lambrecht

CS_PORTFOLIO. Informationssicherheits- Managementsystem [ISMS]

_isms_27001_fnd_de_sample_set01_v2, Gruppe A

_isms_27001_fnd_de_sample_set01_v2, Gruppe A

Information Security Management System Informationssicherheitsrichtlinie

Die Umsetzung des ITSicherheitsgesetzes aus Sicht des BSI

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

NIS-RL und die Umsetzung im NISG

Leitlinie Datenschutz und Informationssicherheit

Service-Provider unter Compliance-Druck

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Informatiksicherheitsverordnung

ICT-Sicherheitsleitlinie vom 11. August 2015

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Das neue it-sicherheitsgesetz - segen oder fluch? Jens Marschall Deutsche Telekom AG, Group Security Governance

Zertifizierung Auditdauer und Preise

Workshop 8 Informationssicherheit kritischer Infrastrukturen: Wie schützen wir unsere moderne Gesellschaft?

Rüdiger Gruetz Klinikum Braunschweig Geschäftsbereich IT und Medizintechnik. GMDS-Satellitenveranstaltung


Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 2.

IT-Notfallmanagement - Aufbau, Praxisbeispiele u. Erfahrungen

Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß 8a (2) BSIG

Absicherung eines Netzbetriebs. innogy SE Group Security Alexander Harsch V öffentlich

Systemgestütztes Management der IT-Sicherheit mit der GRC-Suite iris

aufgrund des 217f Absatz 4b SGB V

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Nur für den internen Dienstgebrauch. Freie Universität Berlin. FU Directory and Identity Service FUDIS der ZEDAT. Fragenkatalog des Sicherheits-Audit

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Damit die Einführung eines ISMS und die ISO Zertifizierung gelingen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

1) Was trifft trifft auf Prozesse im Kontext der ISO/IEC Standardfamilie zu?

BSI TR (RESISCAN) Ersetzendes Scannen einfach und sicher

Informationssicherheit für den Mittelstand

DE 098/2008. IT- Sicherheitsleitlinie

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

IT-Grundschutz-Methodik im Kontext von Outsourcing

Erklärung zur Datensicherheit

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Automation meets IT. Industrial Security Heinrich Homann Security Specialist Plant Security Services

Servicebeschreibung Serverhousing physischer Kundensysteme in den zentralen Serverräumen des ZIM

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Qualifizierte APT-Response Dienstleister. im Sinne 3 BSIG

Vorstellung, Status & Vision

IT-Sicherheitsaudits bei KRITIS-Betreibern: Zusätzliche Prüfverfahrens-Kompetenz für 8a (3) BSIG

DIN EN (VDE ): EN 62304: A1:2015

ANHANG ZUR EASA-STELLUNGNAHME 06/2013. VERORDNUNG (EU) Nr.../ DER KOMMISSION

SCHUCHERT-Selbstcheck zu neuen Anforderungen der DIN EN ISO 9001:2015

A1 Cloud Storage. Servicebeschreibung und Servicebedingungen. Version: 1.0 Datum:

Transkript:

Branchenspezifischer Sicherheitsstandard zur IT- Sicherheit

Informationen zum Dokument Dok.-Version: 1.05 Dok.-Status: Final Dok.-Stand: 30.04.2018 Dok.-Name: 2018-04-30_B3S_BAK_DCH_V1.05 Dokumenten-Freigabe Dokument-Version Freigegeben von Freigegeben am 1.05 Gerd Giese 30.04.2018 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 2 von 45

Autoren Autoren Firma E-Mail Dietmar Bestenlehner IBM Deutschland bestenld@de.ibm.com Gerald Boyne AWS boyneg@amazon.de Bertram Dorn AWS bedorn@amazon.de Günter Eggers e-shelter guenter.eggers@e-shelter.de Markus Feichtner Microsoft markus.feichtner@microsoft.com Dr. Joachim Fölsch Interxion joachimf@interxion.com Hans-Jürgen Gerhards Telehouse hans-juergen.gerhards@de.telehouse.net Gerd Giese Akamai ggiese@akamai.com Michael Kranawetter Microsoft michael.kranawetter@microsoft.com Lars Nadzeyka DXC lars.nadzeyka@dxc.com Dr. Dietmar Otten e-shelter dietmar.otten@e-shelter.de Sunita Ute Saxena T-Systems International sunita-ute.saxena@t-systems.com Dr. Pascal Schmidt Equinix pascal.schmidt@eu.equinix.com Volker Rauscher 1&1 Internet SE volker.rauscher@1und1.de René Wienholtz STRATO wienholtz@strato.de Qualitätssicherung Name Firma E-Mail Gerd Giese Akamai ggiese@akamai.com Verteiler Name Funktion Bundesamt für Sicherheit in der Informationstechnik Referat CK 35 Bundesministerium des Innern Referat IT II 2. Kritische IT Infrastrukturen UP KRITIS BAK Datacenter / Hosting UP KRITIS Geschäftsstelle UP KRITIS TAK Regulierung 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 3 von 45

Inhalt Einleitung... 6 1 Geltungsbereich und Schutzziele... 8 1.1 Geltungsbereich... 8 1.2 Leistungen durch Dritte... 9 1.3 Gesetzlicher Rahmen... 9 1.4 KRITIS-Schutzziele (Schutzziele der kdl)... 9 1.4.1 Bereich Housing... 9 1.4.2 Bereich IT-Hosting... 13 1.4.2.1 Bereich CDN... 15 1.5 IT-Schutzziele und Bedarfe... 17 1.5.1 Bereich Housing... 17 1.5.2 Bereich IT-Hosting... 19 1.5.2.1 Bereich CDN... 20 2 Branchenspezifische Gefährdungslage... 22 2.1 All-Gefahrenansatz... 22 2.2 Branchenspezifische Relevanz und Benennung von Szenarien... 22 2.3 Benennung der Bedrohungen und Schwachstellen... 22 3 Risikobehandlung... 23 3.1 Geeignete Behandlung aller für die kdl relevanten Risiken... 23 3.2 Beschränkung der Behandlungsalternativen für Risiken... 23 3.3 Berücksichtigung von Abhängigkeiten bei der Risikoanalyse... 24 3.4 Änderung der Gefährdungslage... 24 4 Angemessene Vorkehrungen (Maßnahmen)... 25 4.1 Angemessenheit der Maßnahmen... 25 4.2 Eignung von Maßnahmen... 25 5 Abzudeckende Themen... 26 5.1 Informations-Sicherheitsmanagement-System (ISMS)... 26 5.2 Business Continuity Management für kdl (BCM für kdl)... 26 5.3 Asset Management... 27 5.4 Robuste / resiliente Architektur... 27 5.5 Bauliche / physische Sicherheit... 27 5.6 Personelle und organisatorische Sicherheit... 28 5.7 Branchenspezifische Technik... 28 5.7.1 Bereich Housing... 28 5.7.2 Bereich IT-Hosting... 29 5.7.2.1 Bereich CDN... 29 5.8 Branchenspezifische Architektur u. Verantwortung... 30 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 4 von 45

5.8.1 Bereich Housing... 30 5.8.2 Bereich IT-Hosting... 31 5.8.2.1 Bereich CDN... 31 5.9 Vorfallserkennung und -bearbeitung... 31 5.10 Überprüfung und Übungen... 32 5.11 Externe Informationsversorgung und Unterstützung... 32 5.12 Lieferanten, Dienstleister und Dritte... 33 5.13 Technische Informationssicherheit... 33 6 Detailtiefe... 34 6.1 Detailtiefe der Beschreibung im B3S... 34 6.2 Von Anforderungen zu Maßnahmen nach Stand der Technik... 34 7 Nachweisbarkeit der Umsetzung... 35 7.1 Überprüfbarkeit... 35 7.2 Prüfschema... 35 7.3 Qualifizierung der Prüfstelle... 35 7.4 Organisatorische Anforderung an Prüfstelle... 36 7.5 Prüfprozess... 36 8 Anhang A Bedrohungskategorien... 37 9 Anhang B Referenzierte Dokumente... 40 10 Anhang C Klassifizierung... 42 11 Verzeichnisse... 43 11.1 Abbildungsverzeichnis... 43 11.2 Verzeichnis der Tabellen... 43 12 Begriffe und Abkürzungen... 44 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 5 von 45

Einleitung Am 25. Juli 2015 ist das IT-Sicherheitsgesetz (ITSiG) in Kraft getreten. Dieses Gesetz ist ein Artikelgesetz 1 und modifiziert mehrere bestehende Gesetze, unter anderem das BSI- Gesetz (BSIG) 2. Nach 8a (1) BSIG müssen Betreiber kritischer Infrastrukturen organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse treffen. Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung fu r das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. 3 Nach 10 (1) BSIG wurde eine Rechtsverordnung erlassen, die festlegt, welche Anlagen als kritische Infrastruktur gelten. Die Betreiber von betroffenen Anlagen müssen das BSIG bis zum 03.05.2018 umsetzen. Der Umsetzungsplan Kritische Infrastrukturen (UP KRITIS) ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen. Innerhalb des UP KRITIS haben sich verschiedene Branchenarbeitskreise gebildet, in denen auf Branchenebene Themen zur Cyber- und IT- Sicherheit behandelt werden. Der Branchenarbeitskreis Datacenter & Hosting hat das vorliegende Dokument als branchenspezifischen Sicherheitsstandard entwickelt. Dieser definiert eine mögliche Umsetzung der Anforderung aus 8a (1) BSIG für die Bereiche Housing & IT-Hosting mit CDN innerhalb des Sektors Informations- und Kommunikationstechnik (IKT). Die Struktur dieses Dokumentes ist nach der Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) Version 1.0 gemäß 8a (2) BSIG vom 01.12.2017 gegliedert 4. 1 Bundesministerium der Justiz (2008): Handbuch der Rechtsförmlichkeit, D 4.1 Abs. 718. Aufrufbar unter: http://hdr.bmj.de/page_d.4.html (Jan 2018) 2 Bundesamt für Sicherheit in der Informationstechnologie (2009): Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz BSIG). Aufrufbar unter: https://www.bsi.bund.de/de/dasbsi/gesetz/gesetz_node.html (Jan 2018) 3 Bundesamt für Sicherheit in der Informationstechnologie: Schutz Kritischer Infrastrukturen, Definition. Abrufbar unter: https://www.bsi.bund.de/de/themen/industrie_kritis/strategie/kritis/kritischeinfrastrukturen_node.html (Jan 2018) 4 https://www.bsi.bund.de/shareddocs/downloads/de/bsi/it_sig/b3s_orientierungshilfe_1_0.pdf (Jan 2018) 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 6 von 45

Der vorliegende branchenspezifische Sicherheitsstandard ist als Rahmenwerk aufgebaut und orientiert sich am Inhalt der internationalen Normenreihe der ISO / IEC 27000-Familie, welche die Definition, Herstellung, Einführung, Betrieb und Steuerung, Überwachung, Wartung und kontinuierliche Verbesserung eines dokumentierten Managementsystems für Informationssicherheit (ISMS) beschreibt sowie teilweise an der ISO / IEC 22301. Hierdurch wird dem internationalen Trend zur ISO-Standardisierung Rechnung getragen. Des Weiteren lässt es jeder Organisation einen angemessenen Raum bei der tatsächlichen Umsetzung des branchenspezifischen Sicherheitsstandards innerhalb ihres spezifischen Geschäftes und ihrer technischen Aufstellung. 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 7 von 45

1 Geltungsbereich und Schutzziele 1.1 Geltungsbereich Der Geltungsbereich dieses B3S umfasst die kritischen Dienstleistungen (kdl) Datenspeicherung und -verarbeitung der Branche Informationstechnik innerhalb des Sektors Informationstechnik und Telekommunikation. Vertrauensdienste gehören auch zur kdl, werden aber von diesem B3S nicht erfasst. Die hier behandelten kdl gemäß der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung BSI-KritisV) sowie der KRITIS- Sektorstudie Informationstechnik und Telekommunikation (IKT) des BSI vom 5. Februar 2015 betreffen die folgenden Anlagenkategorien: Bereich: Housing o Anlage: Rechenzentrum (Rechenzentrum bzw. Rechenzentren innerhalb eines Campus) ab 5 MW vertraglich vereinbarte Leistung Bereich: IT-Hosting o o Anlage: Serverfarm mit einer Mindestanzahl von 25.000 laufenden Instanzen im Jahresdurchschnitt Anlage: CDN (Content Delivery Netzwerk) mit einem ausgelieferten Datenvolumen von mindestens 75.000 TByte / Jahr) Der B3S kann auch von Betreibern angewandt werden, die nicht unter das BSIG fallen. Zur Klarstellung wird darauf hingewiesen, dass sich die Kritikalität eines Bereiches nicht auf die eventuelle Kritikalität eines anderen Bereiches auswirkt (keine Vererbbarkeit). So erfordert zum Beispiel ein kritischer Service wie CDN nicht zwangsläufig eine kritische IT-Hosting oder Housing Umgebung im Sinne des BSIG und der BSI-KritisV. Die BSI-KritisV legt anhand von branchenspezifischen Bemessungskriterien Schwellenwerte fest. Wird ein solcher Schwellenwert erreicht oder aber überschritten, gilt die kdl als bedeutend im Sinne von 10 Abs. 1 BSIG. Dies gilt für den IKT-Sektor mit seinen beiden Dienstleistungen genauso wie für alle anderen 6 geregelten Sektoren. Folglich ist für die Identifizierung allein der Versorgungsgrad innerhalb der Dienstleitung selbst ausschlaggebend. Etwaige Abhängigkeiten anderer Kritischer Infrastrukturen (z.b. Steuerung einer Kritischen Anlage in Co-Location-RZ ausgelagert) sind unerheblich. Hier muss der jeweilige KRITIS-Betreiber selbst Auflagen zum Betrieb seiner Anlage an seinen Dienstleister weitergeben und durchsetzen. Der Geltungsbereich umfasst damit auch extern erbrachte Leistungen zur Aufrechterhaltung der kritischen Dienstleistung, die sowohl vom Betreiber selbst als auch von Dritten erbracht werden. 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 8 von 45

1.2 Leistungen durch Dritte Dieser B3S berücksichtigt die Anforderungen, die (gemäß Kapitel 5.12) an Dritte gestellt werden, wenn zur Aufrechterhaltung der kdl relevante Teile im Auftrag des Betreibers durch Dritte betrieben werden. Dies können bzw. externe Dienstleister, Partnerunternehmen oder Sicherheitsdienste sein. Siehe hierzu die Ausführungen in Kapitel 3 und Kapitel 5.12. 1.3 Gesetzlicher Rahmen Dieser B3S berücksichtigt die gesetzlichen Anforderungen, die im Änderungsgesetz des IT- Sicherheitsgesetzes vom 24.07.2015 und in der BSI-KritisV vom 03.05.2016 beschrieben sind. Danach sind angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Weitergehende spezialgesetzliche Verpflichtungen zur Erreichung eines bestimmten IT- Sicherheitsniveaus bestehen nicht. Von den Änderungen in den 109 Abs. 2, 4 und 5 TKG, 109a TKG, 100 Abs. 1 TKG, 13 Abs. 7 TMG und im BSI Gesetz sind für die nachfolgenden kritischen Anlagen insbesondere folgende von Relevanz: Bereich Housing: 8a BSIG Bereich IT-Hosting: 8a BSIG Bereich CDN 8-10 TMG, 13 Abs. 7 TMG, 8a BSIG 1.4 KRITIS-Schutzziele (Schutzziele der kdl) Es folgt eine exemplarische Beschreibung, wie die Qualität in Normallagen und Krisenlagen (gemäß Definition BSI 100-4) erreicht werden kann. Das Ziel soll hier sein, einen Betrieb mit in den nachfolgenden Kapiteln genanntem Verfahren und Regeln (Information Security Management Systemen ISMS, etc.) auf der Grundlage von ISO 27001 (oder Vergleichbarem) zu organisieren. Dabei ist der Betreiber verpflichtet zu überprüfen, ob es Abweichungen bzw. weitere für den Betrieb benötigte und relevante Systeme gibt. 1.4.1 Bereich Housing Der B3S bezieht sich auf die betriebsrelevanten IT-Systeme, die zum Betrieb der kritischen Anlage Rechenzentrum erforderlich sind. Die im Folgenden genannten IT-Systeme und digitalen Steuerungssysteme sind dann relevante Anlagen, wenn deren Ausfall den Betrieb der kdl derart beeinträchtigt, dass die kdl 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 9 von 45

nicht mehr erbracht werden kann. Dies gilt auch für wesentliche Bestandteile der Anlagen zur Erbringung der kdl i.s.d. 93 BGB 5. Betriebsrelevante IT-Systeme (einschließlich der davon genutzten Datennetze) sind: Gebäudeleittechnik (GLT, Überbegriff für Anlagen, die dazu dienen, die technischen Einrichtungen in Gebäuden, die zum Betrieb der kdl dienen, zu überwachen und zu steuern), bestehend z.b. aus o Überwachung und Steuerung der Energieversorgung o Temperatur- und Feuchteüberwachung o Betriebsüberwachung der Infrastruktursysteme (Notstromversorgung, Klimasysteme, Löschanlagen, etc.) o Steuerungssysteme der Anlagen zur Erbringung der kdl (USV, NEA, Klimageräte, Kältemaschinen) Brandmeldesysteme für Gebäude, die zum Betrieb der kdl dienen Überwachungssysteme für den Housing-Standort, bestehend z.b. aus o o o o Videoüberwachung (nicht Monitoringsysteme) Bewegungsmelder Einbruchmeldeanlagen Kontakte zur Öffnungsüberwachung für Türen, Fenster, etc. Systeme, die zum Zutrittsmanagement für die Gebäude, in denen die kdl betrieben wird, dienen, bestehend z.b. aus o o o Kartenleser, bzw. vergleichbare Zutrittsgeräte biometrische Zutrittssysteme Zugehörige Zutrittsverwaltungssysteme Nicht betriebsrelevant sind: IT-Systeme, deren Ausfall keine Auswirkung auf den Betrieb haben Netzanbindung zu den Anbietern von Datennetzen (Provider), soweit diese nicht von den betriebsrelevanten Systemen genutzt werden (z.b. Internet für Office- Nutzung) IT-Systeme, die nicht direkt den Betrieb der kritischen Dienstleistung beeinflussen können (z.b. ERP-Systeme, Office-E-Mail-Systeme) 5 Bundesministerium der Justiz: Bürgerliches Gesetzbuch (BGB), 93 Wesentliche Bestandteile einer Sache. Aufrufbar unter: http://www.gesetze-im-internet.de/bgb/ 93.html 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 10 von 45

IT-Systeme der Kunden, einschließlich der dazu gehörenden vom Kunden oder seinen Beauftragten administrierten Netze Netze und Netzwerkverbindungen zum Kunden sind nicht kritisch im Sinne des ITSiG, da sie nicht zum originären Geschäft des Housing-Anbieters gehören und nicht gemanagt bzw. überwacht werden. Zur Definition der Schutzziele für die betriebsrelevanten IT-Systeme werden zwei Varianten unterschieden: Variante A: Alle wesentlichen Systeme des Rechenzentrums sind durchgängig autonom konzipiert und können auch von Hand gesteuert werden. Sie sind nicht voneinander abhängig. Daher sind diese auch ohne GLT (Gebäudeleittechnik) funktionsfähig, weil alle betrieblichen Systeme autonom und dezentral geregelt werden können. Ein Ausfall führt in diesem Fall nicht dazu, dass die kdl zu mehr als 50% beeinträchtigt wird. Variante B: Wesentliche Teile des Rechenzentrums werden durch die GLT ohne manuelle Interaktion unmittelbar oder auch über abgesicherte Verbindungen ferngesteuert. Hier könnte das Rechenzentrum bei einem Ausfall der GLT nicht mehr bzw. nur noch eingeschränkt funktionieren, weil die betrieblichen Systeme zentral gesteuert werden. Ein Ausfall der GLT kann in diesem Fall dazu führen, dass die kdl zu mehr als 50% beeinträchtigt werden wird. Für die betriebsrelevanten IT-Systeme werden folgende allgemeine Schutzziele analog ISO 27001 definiert: Vertraulichkeit Sofern für den Zugang neben Passworteingabe noch weitere Sicherheitsmechanismen, wie Token oder Überwachungssysteme überwunden werden müssen, führt der Verlust der Vertraulichkeit, nicht unmittelbar zum Ausfall der kdl und ist deshalb für den Bereich Housing nicht relevant. Integrität und Authentizität Die Integrität und Authentizität der Daten in den Überwachungssystemen ist von hoher Bedeutung, weil die absichtliche oder versehentliche Veränderung (Beeinträchtigung der Integrität) oder Vortäuschung (fehlende Authentizität) insbesondere von Zutrittsdaten für einen Angriff ausgenutzt werden und zu einem weitgehenden Ausfall der kdl führen könnte. Verfügbarkeit Je nach Aufbau des Rechenzentrums, bzw. je nach Implementierung der überwachenden Systeme ist die Verfügbarkeit unterschiedlich zu bewerten. 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 11 von 45

Die folgende Tabelle bewertet die Kritikalität der jeweiligen IT-Systeme für die Erbringung der kdl: Tabelle 1: Kritikalität der IT-Systeme (Housing) Schutzziele der betriebsrelevanten IT- Systeme Gebäudeleittechnik (GLT) Brandmeldetechnik Überwachung, wie Video, Bewegungsmelder Zutrittsmanagement Verfügbarkeit Var. A: normal Var. B: hoch Var. A: normal Var. B: normal Var. A: normal Var. B: normal Var. A: normal Var. B: normal Vertraulichkeit Var. A: normal Var. B: hoch Var. A: normal Var. B: normal Var. A: normal Var. B: normal Var. A: normal Var. B: normal Integrität und Authentizität Var. A: normal Var. B: hoch Var. A: normal Var. B: normal Var. A: normal Var. B: normal Var. A: hoch Var. B: hoch Zur Erläuterung der Tabelle: Variante A: Einstufung normal : wenn z.b. die IT-Systeme der Brandmeldeanlagen nicht oder nicht vollständig funktionieren, ist dennoch die Erkennung eines Brandes z.b. durch entsprechend qualifiziertes Personal vor Ort (kein Kanarienvogelprinzip ) grundsätzlich gewährleistet und der Betrieb des Housings ist somit nicht unmittelbar gefährdet. Variante B: Einstufung normal : wenn z.b. die IT-Systeme der Brandmeldeanlagen nicht oder nicht vollständig funktionieren ist dennoch die Erkennung eines Brandes z.b. durch entsprechend qualifiziertes, eventuell auch aus Bereitschaft hinzugezogenes Personal grundsätzlich gewährleistet und der Betrieb des Housings ist somit nicht unmittelbar gefährdet. Einstufung hoch : wenn z.b. die Integrität eines Steuerungssystems der GLT in Variante B verletzt ist, besteht eine unmittelbare Gefahr für die Erbringung der kdl, da ein Angreifer direkt den Betrieb beeinflussen kann. 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 12 von 45

1.4.2 Bereich IT-Hosting IT-Hosting ist eine Kritische Infrastruktur entsprechend der BSI-KritisV - unabhängig davon, ob der jeweils genutzte Housing-Betreiber selbst als KRITIS-Betreiber nach der BSI-KritisV einzuordnen ist. Der B3S bezieht sich sowohl auf die IT-Systeme, die zum Betrieb der Serverfarm notwendig sind, als auch auf die IT-Systeme, aus denen die Anlagen selbst bestehen. Zur Abgrenzung sei darauf hingewiesen, dass die Digitalen Dienste nach NIS-Direktive 6, hier nicht betrachtet werden. Eine Vererbung der Kritikalität findet nicht statt. Betriebsrelevante IT-Systeme (einschließlich der davon genutzten Datennetze) sind: Systeme, die vom Dienstleister zur Erbringung der kdl benutzt werden und somit als relevant für den Betrieb der Kritischen Infrastruktur betrachtet werden müssen. Netzwerk- und Management-Systeme, bestehend z.b. aus o o Firewall Load Balancer Monitoring-Systeme, bestehend z.b. aus o Intrusion-Detection / -Prevention Gesamtheit der Systeme, die den Umfang der kdl relevanten Dienstleistung abbilden (DL- Systeme), bestehend z.b. aus o o Storage / Speicherung Compute / Rechenleistung Für die betriebsrelevanten IT-Systeme werden folgende allgemeine Schutzziele analog ISO 27001 definiert: Vertraulichkeit Der Erhalt der Vertraulichkeit ist für die Erbringung der kdl grundsätzlich von hoher Bedeutung, weil die absichtliche oder versehentliche Veröffentlichung oder unberechtigte Einsichtnahme für einen Angriff auf die kdl ausgenutzt werden und zu einer Störung der kdl führen kann. 6 Amtsblatt der Europäischen Union (2016): RICHTLINIE (EU) 2016 / 1148 DES EUROPÄISCHEN PARLAMENTS UND DES RATES, Abs. 48ff. Aufrufbar unter: http://eur-lex.europa.eu/legal-content/de/txt/?uri=celex%3a32016l1148 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 13 von 45

Integrität und Authentizität Die Integrität und Authentizität der Daten in den betriebsrelevanten IT Systemen ist von hoher bis sehr hoher Bedeutung. Beispielsweise kann die absichtliche oder versehentliche Veränderung (Beeinträchtigung der Integrität) oder Vortäuschung (fehlende Authentizität) für einen Angriff auf die kdl ausgenutzt werden und zu einer Störung der kdl führen. Verfügbarkeit Je nach Diensttyp und vereinbarter SLA ist Kritikalität der Verfügbarkeit unterschiedlich zu bewerten. Die folgende Tabelle bewertet die Kritikalität der jeweiligen IT-Systeme für die Erbringung der kdl: Tabelle 2: Kritikalität der IT-Systeme (Hosting) Schutzziele der betriebs-relevanten IT- Systeme Netzwerk- und Management -Systeme Monitoring-Systeme DL-Systeme Verfügbarkeit * sehr hoch * hoch * hoch * Vertraulichkeit hoch hoch hoch Integrität und Authentizität sehr hoch sehr hoch hoch *) Je nach Art der Erbringung der Dienstleistung können diese Schutzziele abhängig von einer Risikoanalyse von dieser Empfehlung abweichen und sind zudem abhängig von der Dienstgütevereinbarung / Service Level Agreement (SLA). Üblicherwiese werden besondere SLA nur in Bezug auf die Verfügbarkeit abgeschlossen. 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 14 von 45

1.4.2.1 Bereich CDN Der B3S bezieht sich sowohl auf die IT-Systeme, die zum Betrieb, zur Überwachung und zur Steuerung 7 eines Content Delivery Network (CDN) notwendig sind, als auch auf die IT-Systeme, aus denen die Anlagen selbst bestehen. Betriebsrelevante IT-Systeme (einschließlich der davon genutzten Datennetze) sind: Systeme, die vom Dienstleister zur Erbringung der kdl benutzt werden und somit als relevant für den Betrieb der Kritischen Infrastruktur betrachtet werden müssen. Netzwerk- und Management-Systeme (für CDN Betrieb), bestehend z.b. aus o o Switches Load Balancer Monitoring-Systeme, bestehend z.b. aus o SIEM Infrastruktur Gesamtheit der Systeme die den Umfang der kdl relevanten Dienstleistung abbilden (DL-Systeme) (Steuerungssysteme), bestehend z.b. aus o o Speicherung (Storage) Rechenleistung (Compute Power) Nicht betriebsrelevant sind: IT-Systeme, deren Ausfall keine Auswirkung auf den Betrieb des CDN haben können. Netzanbindung zu den Anbietern von Datennetzen (Provider), soweit diese nicht von dem Betreiber des CDN verwaltet werden. IT-Systeme, die nicht direkt den Betrieb der kritischen Dienstleistung beeinflussen können (z.b. ERP-Systeme, Office-E-Mail-Systeme) IT-Systeme der Kunden, auch wenn sie als Datenlieferant mit dem CDN verbunden sind. Diese Systeme obliegen grundsätzlich nicht der Verantwortung oder der Kontrolle des Betreibers des CDN. Verfügbarkeit der Konfigurationsplattformen, die zur Bearbeitung von kundenspezifischen Einstellungen notwendig sind, weil ein Ausfall dieser Systeme die Funktionsfähigkeit und Integrität des CDN nicht beeinträchtigt. 7 Steuerung im Sinne von IT-Steuerung und -Überwachung (siehe ISO 38500) 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 15 von 45

Für die betriebsrelevanten IT-Systeme werden folgende allgemeine Schutzziele analog ISO 27001 definiert: Verfügbarkeit Die größtmögliche Verfügbarkeit des CDN Service stellt den Kernbereich einer CDN-Dienstleistung dar und ist dementsprechend von sehr hoher Bedeutung. Störungen sind mit hoher Priorität zu bearbeiten und zu beheben. Monitoring und Steuerung sind ebenfalls wichtig, ihre ständige Funktion jedoch nicht ursächlich maßgeblich für die Erbringung der kdl. Vertraulichkeit Der Erhalt der Vertraulichkeit ist für die Diensterbringung grundsätzlich von hoher Bedeutung. Differenzieren sollte man hier jedoch zwischen der Übertragung von verschlüsselten (hohe Vertraulichkeit) und unverschlüsselten (niedrige Vertraulichkeit) Inhalten sowie dynamischen Webseiteninhalten (häufig personenbezogen und vertraulich) und zusätzlichen statischen Objekten. Bei der Steuerung ist die Vertraulichkeit aufgrund der zu erwartenden Multi-Mandantenfähigkeit ebenfalls wichtig. Die Vertraulichkeit der Monitoring-Systeme ist hier von geringerer Bedeutung, da ein Mißbrauch dieser Information keine oder nur geringe Schäden verursachen könnte. Integrität und Authentizität Die Integrität und Authentizität der durch das CDN übertragenen Daten ist von sehr hoher Bedeutung, eine unbefugte nachträgliche Veränderung von Daten gilt es auszuschließen. Ebenso ist von hoher Bedeutung unerlaubten Zugang auf die Steuerungssysteme zu verhindern. Die folgende Tabelle bewertet die Kritikalität der jeweiligen IT-Systeme für die Erbringung der kdl: Tabelle 3: Kritikalität der IT-Systeme (CDN) Schutzziele der betriebsrelevanten IT-Systeme CDN-Betrieb Monitoring-Systeme Steuerungssysteme Verfügbarkeit sehr hoch hoch normal Vertraulichkeit hoch normal hoch Integrität und Authentizität sehr hoch normal sehr hoch 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 16 von 45

1.5 IT-Schutzziele und Bedarfe Die IT-Schutzziele sind bereits in den KRITIS-Schutzzielen (siehe Kapitel 1.4) definiert, da im Sektor IT die Besonderheit besteht, dass die kritische Dienstleistung die IT selbst ist. Um den Schutzbedarf der in dem vorliegenden Standard betrachteten kritischen IT- Infrastrukturen und IT-Dienstleistungen wie in Kapitel 1.4 beschrieben besser zu verstehen, empfiehlt es sich, eine Trennung der Betrachtungsweise basierend auf den verschiedenen erforderlichen Strukturen und Zugangswegen vorzunehmen. So sind einerseits die Zugangswege des Betreibers der IT-Infrastrukturen zu betrachten und zu sichern. Auf der anderen Seite sind die Zugriffe der Nutzer der IT-Infrastrukturen zu diesen ebenso von Bedeutung. Letztere lassen sich unter Umständen auch in verschiedene Aspekte wie Zugangswege zur Konfiguration oder Zugangswege zu den Inhalten der Dienstleistung trennen. 1.5.1 Bereich Housing Es muss gewährleistet sein, dass die IT-Infrastruktur zum Erbringen der Dienstleistung Datacenter / Housing durch den Anbieter entsprechend physisch abgesichert, verfügbar sowie gegen unautorisierte Benutzung / Änderung geschützt ist. Ebenso muss der Anbieter sicherstellen, dass sein eigener Zugang und Umgang mit diesen Systemen sicher und auf entsprechenden Standards basierend durchgeführt wird, die dem jeweiligen Schutzbedarf entsprechen. Dem gegenüber steht der Zutritt, welcher dem Datacenter / Housing Kunden ermöglicht, zu seinen Systemen zu gelangen. Hier hat der Anbieter die Aufgabe, geeignete Maßnahmen zu implementieren, um diesen Zugang nur autorisiert und geschützt zur Verfügung zu stellen. 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 17 von 45

Die folgende Darstellung zeigt diese Zusammenhänge schematisch: Abbildung 1: Trennung der Verantwortungsbereiche Datacenter / Housing Abbildung 1 zeigt die Trennung der Verantwortung beim Housing. Der Betreiber der Dienstleistung Datacenter / Housing stellt den physischen Rahmen zur Verfügung, inklusive der Energieversorgung, der Klimatisierung und der Zutrittssysteme 8. Der Nutzer dieses physischen Rahmens betreibt die IT-Systeme, welche in diesem Rahmen installiert werden. Der Betreiber der Dienstleistung Datacenter / Housing hat weder Einfluss auf die IT- Verfahren, noch Zugriff auf die darin genutzten Daten seiner Kunden. Der hier vorliegende Standard beschreibt daher die Sicherung der IT-Systeme zum Betrieb der rein physischen Infrastruktur Datacenter / Housing und zum anderen das Sicherstellen des Zugangs der jeweiligen Kunden zu ihren Systemen. 8 In vielen Fällen stellt der Datacenter-Betreiber auch passive Netzwerke zur Verfügung. Da diese Netze aber nicht aktiv durch die IT-Systeme des Betreibers gesteuert werden, sind diese Datennetze für die Betrachtung nur soweit relevant, wie sie zum Betrieb der Datacenter-Infrastruktur erforderlich sind. 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 18 von 45

1.5.2 Bereich IT-Hosting Für das Themengebiet der für die Öffentlichkeit angebotenen IT-Infrastruktur mittels physischer oder virtueller System-Instanzen (kurz Hosting / virtuelle Server) können die zu betrachtenden Bereiche wie folgt beschrieben werden: Es gibt einen durch den Betreiber bereitgestellten Zugangspfad zu den Management- Systemen für die zur Verfügung gestellten Rechen-Instanzen. Hierbei sind nicht nur die Kontrollsysteme, sondern auch die IT-Technik für den Betrieb der Systeme und ggf. der Virtualisierungsschichten zu betrachten. Der Hosting-Betreiber stellt dem Kunden / Nutzer eine technische Kommandoschnittstelle zur Verfügung. Die korrekte Nutzung obliegt dem Kunden. Die Sicherheit des Zugangspfades zum Hosting-Produkt als auch die Konfiguration des Hosting-Produktes (z.b. Patches) liegt grundsätzlich bei den Nutzern, sofern es nicht anders vereinbart wird (z.b. bei Managed Hosting). Die Verfügbarkeit der vom Betreiber definierten Schnittstellen (Kommando-Schnittstelle und Admin-Schnittstelle) liegt wiederum in der Verantwortung des Betreibers. Diese müssen vom Betreiber sicher, verfügbar und geschützt zur Verfügung gestellt werden, um den Nutzern die Möglichkeit zu geben, die Ausprägung der verwendeten Rechenkapazitäten überwachen und steuern zu können den Betreibern die Möglichkeit zu geben, über die Admin-Schnittstelle die technische Anlage überwachen und steuern zu können. 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 19 von 45

Das folgende Bild stellt die Aufteilung der Verantwortungsbereiche beim Hosting dar: Abbildung 2: Trennung Verantwortungsbereiche im Hosting / Virtuelle Server Zwar besteht an den Zugängen zur Hosting-Plattform eine gemeinsame Verantwortung (Abbildung 2), jedoch ist die Nutzung der Hosting-Produkte nicht Gegenstand des B3S, sondern ausschließlich die technische Anlage zum Betrieb der Hosting-Plattform. Der IT-Hosting Betreiber sorgt dafür, dass der Kunde den Betrieb der Gesamtplattform nicht gefährden kann. Der vorliegende Standard berücksichtigt dies durch die entsprechend umzusetzenden Controls 9 aus dem ISO 27001 Rahmenwerk für die betroffenen Bereiche. 1.5.2.1 Bereich CDN Ein Content Delivery Network (CDN) überträgt üblicherweise Inhalte (Content) von WEB Servern zu einem nahe am Konsumenten platzierten System (Proxy), um sie dort zur Auslieferung (Delivery) zur Verfügung zu stellen. In diesem Zusammenhang ist ein CDN ein Zwischenspeicher, der von vielen Abnehmern angefragt und von wenigen Lieferanten zur Verbreitung ihrer Inhalte genutzt wird. Hieraus ergeben sich folgende Rollen (siehe auch Abbildung 3): Der CDN-Konsument (in nachfolgender Darstellung rechts), welcher mittels eines Clients (in den meisten Fällen ein Browser) Inhalte abfragt. Der CDN-Kunde (im nachfolgender Darstellung links), welcher WEB-Inhalte zur breiten Verteilung mit niedriger Latenz in das CDN einstellt. Das Einstellen erfolgt 9 Definition von Controls nach International Organization for Standardization: ISO / IEC 27000:2016, 2.16 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 20 von 45

meist durch eine vom CDN-Konsumenten ausgeführte Abfrage (GET), welche an die Quelle (Origin) weitergeleitet wird. In wenigen Fällen kann der CDN-Kunde proaktiv Inhalte in das CDN laden (PUSH, Upload oder Cache Pre-Warming seitens des CDN Kunden). Der CDN-Betreiber (in der folgenden Darstellung rechts unten), der die Rechen- und Speicherkapazitäten sowie Netzwerkressourcen zur Verfügung stellt, um WEB- Inhalte zwischen zu speichern. Diese Speicherung geschieht innerhalb der vom CDN Kunden gesetzten Verfallszeiten. Bei eintreffenden Anfragen seitens des CDN Konsumenten werden wahlweise zwischengespeicherte Inhalte ausgespielt oder die Nachfrage an Quellen des CDN Kunden geleitet. Der CDN-Betreiber braucht zusätzlich zum Betrieb und zur Verwaltung seiner Infrastruktur und Rechen- sowie Speicherkapazitäten eine administrative Schnittstelle, welche zum Betrieb als auch zur Sicherung der Schutzziele des CDN ausschlaggebend ist. Abbildung 3: Trennung Verantwortungsbereiche im Bereich CDN Für die Funktion der kritischen Infrastruktur ist hier die Verfügbarkeit der Schnittstelle zum CDN Konsumenten sowie zur eigentlichen CDN Plattform von hoher Bedeutung und im Fokus dieses B3S. Auch die administrativen Zugänge seitens des CDN-Betreibers sind als wichtig zu bewerten, beeinflussen jedoch die eigentliche Funktion nicht grundsätzlich. Die Schnittstelle zur Verwaltung von Inhalten durch den CDN Kunden ist für die eigentliche Funktion des CDN von untergeordneter Wichtigkeit. Ebenso muss eine Verbindung zu den Webinhalten der CDN-Kunden zwar verfügbar sein, abgesehen von der Funktion der Schnittstelle seitens des CDN-Betreibers liegt dieser Zugangspfad jedoch außerhalb der Kontrolle des CDN und kann so nicht vom CDN-Betreiber beeinflusst werden. 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 21 von 45

2 Branchenspezifische Gefährdungslage 2.1 All-Gefahrenansatz Mindestens relevant sind für die kdl alle Bedrohungskategorien aus Anhang A, Punkt A1 und alle Schwachstellenkategorien aus Anhang A, Punkt A2. Zur Orientierung können zudem die Anhänge C und D aus ISO 27005 herangezogen werden. 2.2 Branchenspezifische Relevanz und Benennung von Szenarien Im Bereich Housing und IT-Hosting mit CDN sind u.a. folgende Szenarien von Bedeutung: Ausfall der für den Betrieb der kdl relevanten IT-Systeme (gemäß Kapitel 1.4), soweit dieser Ausfall nicht durch geeignete Redundanz-Maßnahmen aufgefangen wird Cyber-Angriff auf die für den Betrieb der kdl relevanten IT-Systeme (s.o.) Ausfall von Mitarbeitern, z.b. durch Pandemie, Streik u.a. Der All-Gefahrenansatz ist für jeden Betreiber einer kritischen Dienstleistung zu betrachten und zu dokumentieren. Die Betrachtung muss spätestens anlassbezogen wiederholt werden. 2.3 Benennung der Bedrohungen und Schwachstellen Aufgrund von sich ständig ändernden Angriffsszenarien wird auf eine explizite Beschreibung und Benennung von Bedrohungsszenarien oder Schwachstellen verzichtet und auf Absatz 3.4 verwiesen. 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 22 von 45

3 Risikobehandlung 3.1 Geeignete Behandlung aller für die kdl relevanten Risiken Eine Risikoanalyse für die in Kapitel 1.4 genannten KRITIS Schutzziele ist unter Beachtung der in Kapitel 2 genannten Gefährdungslage durchzuführen. Dabei können gängige Standards (z.b. ISO 27005 oder BSI Standard 200-3) herangezogen werden. Ein Risiko gilt als abgesichert, wenn die entsprechenden technischen und organisatorischen Vorkehrungen für die kdl den Stand der Technik berücksichtigen. Stand der Technik in diesem Sinne ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt. Bei der Bestimmung des Standes der Technik sind insbesondere einschlägige internationale europäische und nationale Nomen und Standards heranzuziehen, aber auch vergleichbare Verfahren, Einrichtungen und Betriebsweisen,die mit Erfolg in der Praxis erprobt wurden. (Stand der Technik) 10. Dies gilt in Bezug auf die betriebsrelevanten Kernprozesse und -systeme unter Berücksichtigung des KRITIS-Schutz Ziels und unter Berücksichtigung der Ergebnisse der Risikoanalyse. Ist eine Absicherung nicht vollständig möglich, so sind angemessene Maßnahmen zur Reduktion des Risikos erforderlich. Der Umfang der erforderlichen Maßnahmen ist im Kapitel 4 detailliert beschrieben. Maßgeblich für die Behandlung relevanter Risiken ist der Geltungsbereich dieses B3S. (Siehe Kapitel 1) 3.2 Beschränkung der Behandlungsalternativen für Risiken Eine Versicherung von Risiken ersetzt nicht die geeignete Behandlung. Eine Risikoakzeptanz ist nicht zulässig, sofern das Risiko noch angemessen reduziert werden kann. Alle für die Erbringung der kdl wesentlichen Risiken sind somit durch angemessene Maßnahmen ausreichend zu reduzieren. 10 Stand der Technik i.s.d. Dreistufen-Theorie des BVerfG (Kalkarentscheidung) vom 8.8.1978 (BVerfGE 49, 89 [135f.]) 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 23 von 45

3.3 Berücksichtigung von Abhängigkeiten bei der Risikoanalyse Bei der Risikoanalyse sind alle im Sinne des Kapitels 1.4 relevanten Komponenten zu berücksichtigen, auch wenn sie nicht unter der direkten Kontrolle des Betreibers stehen. Für kdl relevante IT-Dienstleistungen, die von Dritten erbracht werden, müssen wirksame Verträge bzw. Dienstleistungsvereinbarungen nachweisbar sein. Prüfmöglichkeiten sind in Abhängigkeit von der Bedeutung der jeweiligen IT-Dienstleistung als möglicher Vertragsbestandteil vorzusehen. 3.4 Änderung der Gefährdungslage Die allgemeine und branchenspezifische Gefährdungslage muss mindestens durch jährliche und ggf. anlassbezogene Überprüfung, z.b. im Rahmen einer Umfeldanalyse / Risikoanalyse überprüft werden. Dazu sind u.a. die Hinweise der ENISA oder des BSI auf aktuelle Gefahrenlagen und weitere verfügbare Warnungen zu beachten. Dabei müssen insbesondere berücksichtigt werden: allgemeine Bedrohungen (neu hinzugekommene Typen von Angreifern und Angriffen, intensivere Aktivität oder verbesserte Expertise / Ressourcen von Angreifern, Neuausrichtung von Angreifern...), bekannt gewordene neue Schwachstellen, Änderungen der Gefährdungslage durch Veränderungen an der Systemarchitektur, anderweitige Änderungen der Exposition von für die Erbringung der kdl relevanten Informations- und Kommunikationssystemen. 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 24 von 45

4 Angemessene Vorkehrungen (Maßnahmen) 4.1 Angemessenheit der Maßnahmen Gemäß 8a (1) BSIG sind Betreiber verpflichtet, angemessene Vorkehrungen (Maßnahmen) zur Verringerung der für die kdl relevanten Risiken zu treffen. Dabei gilt: Organisatorische und technische Vorkehrungen [Maßnahmen] sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht ( 8a (1) Satz 3), siehe dazu Kapitel 3. 4.2 Eignung von Maßnahmen Es sind alle technischen, organisatorischen und physische Maßnahmen anwendbar, die etwaige Risiken in geeigneter Weise reduzieren. Diese Maßnahmen sind umzusetzen und hinsichtlich ihrer Wirksamkeit zu begründen, zu dokumentieren und zu überprüfen. Dabei ist darauf zu achten, dass die zu ergreifenden Maßnahmen keine Risikoerhöhung in anderen Bereichen oder vergleichbare unerwünschte Nebeneffekte verursachen. Laut 8a (3) BSIG müssen organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit informationstechnischer Systeme, Komponenten oder Prozesse und deren Wirksamkeit im Rahmen geeigneter Audits nachgewiesen werden. Für die Verwendung einer ISO 27001-Zertifizierung als Nachweis nach 8a (3) BSIG ist es notwendig, dass gleichzeitig nachgewiesen wird, dass Scope und Maßnahmen geeignet sind, die jeweilige kritische Dienstleistung ausreichend zu schützen. So ist eine Zertifizierung der für den Betrieb der kdl relevanten IT-Systeme (siehe Kapitel 1.4) nach ISO / IEC 27001:2013 (auch in der Ausprägung ISO 27001 nach IT-Grundschutz) als Nachweis hinreichend, wobei eine Versicherung oder Akzeptanz der Risiken über das in Kapitel 3.2 (Risikoakzeptanz und -versicherung) genannte Maß hinaus unzulässig sind. 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 25 von 45

5 Abzudeckende Themen 5.1 Informations-Sicherheitsmanagement-System (ISMS) Der Betrieb eines ISMS z.b. nach ISO / IEC 27001:2013 ist für die Absicherung der Kritischen Infrastrukturen und deren Schutzziele erforderlich. Die im ISMS definierten Prozesse und Maßnahmen müssen die in der Risikoanalyse (siehe Kap. 2 bis 4) ermittelten Gefährdungen abdecken.,die Umsetzung der Maßnahmen und deren Wirksamkeit ist sicherzustellen. Für die Verwendung einer ISO 27001-Zertifizierung als Nachweis nach 8a (3) BSIG ist es notwendig, dass gleichzeitig nachgewiesen wird, dass Scope und Maßnahmen geeignet sind, die jeweilige kritische Dienstleistung ausreichend zu schützen. Eine Zertifizierung der für den Betrieb der kdl relevanten IT-Systeme und Dienstleistungen (unter Berücksichtigung von Kapitel 4.2, bzw. Kapitel 1.4) nach ISO / IEC 27001:2013 (auch in der Ausprägung ISO 27001 nach IT-Grundschutz) ist als Nachweis hinreichend, solange der Scope der Zertifizierung die kdl-relevanten Prozesse und Systeme umfasst. 5.2 Business Continuity Management für kdl (BCM für kdl) Für die Aufrechterhaltung der hier beschriebenen kritischen Dienstleistungen (Housing, IT- Hosting mit CDN) ist ein Business Continuity Management System (BCMS) in Anlehnung an die internationale Norm ISO / IEC 22301:2012 Societal Security -- Business Continuity Management Systems Requirements oder alternativ BSI 100-4 zu etablieren und regelmäßig zu überprüfen. Eine Zertifizierung des BCMS ist empfehlenswert, aber nicht verpflichtend. Es muss für die kritischen Dienstleistungen kein eigenes BCMS aufgebaut werden, wenn ein BCMS für das Unternehmen bereits besteht, dessen Scope die für die kdl relevanten Prozesse und Systeme umfasst. Eine Zertifizierung des BCM nach ISO / IEC 22301:2012 oder alternativ BSI 100-4 ist in diesem Fall als Nachweis hinreichend. Es ist insbesondere zu beachten: Die Erstellung eines Business Continuity Plans (BCP) zur Aufrechterhaltung der kritischen Dienstleistung analog 6.2 und 8.1, 8.4.4 der ISO / IEC 22301 Die Sicherstellung einer geeigneten Verzahnung des BCMs für die kdl mit dem Bereich IT-Sicherheit analog 4.2.1 der ISO / IEC 22301 Die Implementierung eines Notfallmanagements in Bezug auf die Gewährleistung der kdl analog 8.4 der ISO / IEC 22301 Die Erstellung und regelmäßige Überprüfung von Business Impact-Analysen (BIA) analog 8.2 der ISO / IEC 22301 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 26 von 45

Die Erstellung einer Risikoanalyse unter Berücksichtigung kritischer Komponenten (Insbesondere Single Point of Failure ) 5.3 Asset Management Ein Asset Management für die Identifikation, Klassifizierung (siehe Anhang C Klassifizierungen) und Inventarisierung der für die kdl maßgeblichen informationstechnischen Prozesse, Systeme und Komponenten (siehe Kapitel 1.4) ist erforderlich. Ein Asset Management angelehnt an die Kriterien der ISO / IEC 27001:2013 (auch in der Ausprägung ISO 27001 nach IT-Grundschutz bzw. ISO 55000:2014) ist als Nachweis hinreichend. 5.4 Robuste / resiliente Architektur Die für den Betrieb der Anlage erforderlichen IT-Systeme (siehe Kapitel 1.4) sollen folgende Sicherheitsmerkmale aufweisen und im Zusammenhang mit Kap. 5.2 BCM umgesetzt werden: Ausstellung aller Komponenten in ausreichend gesicherten Räumlichkeiten Mindestens eine logische Trennung der für den Betrieb dieser Systeme erforderlichen Netzwerke von anderen IT-Systemen Die betrieblichen Systeme sollten hinreichend redundant ausgelegt sein, damit durch Einzelfehler keine dauerhafte Unterbrechung der Steuerung / Überwachung der Anlage eintreten kann. 5.5 Bauliche / physische Sicherheit Neben den Aspekten der IT-technischen Sicherheit spielt auch die bauliche und physische Sicherheit eine große Rolle zur Etablierung der Vertrauenswürdigkeit. Hierbei müssen unterschiedliche Aspekte umgesetzt werden: 1. Umfeldrisikoanalyse: Bewertung der Gefährdungspotentiale in der Umgebung. 2. Bauliche Gegebenheiten: Bauliche Sicherheit bezüglich Fenster, Türen, Brandabschnitte, Trassenverläufe. 3. Brandmelde- und Löschtechnik: Brandmeldeanlage mit Aufschaltung auf die Feuerwehr, Etablierung von Abschaltfunktionen und Schadensbegrenzungsmaßnahmen. 4. Sicherheitssysteme: Zutrittskontrollanlage, mehrstufige Einbruchmeldeanlage, Aufschaltung auf ständig besetzte Sicherheitszentrale. 5. Energieversorgung: Nach einschlägigen Normen erbrachte Installation mit Überspannungsschutz und entsprechender Notstromversorgung. 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 27 von 45

6. Raumlufttechnische Anlagen: Abwärme der IT Infrastruktur und der Infrastrukturkomponenten sind durch Kühlmechanismen gewährleistet. 7. Organisation: Sicherheitseinrichtungen werden regelmäßig geprüft, die regelmäßige Wartung ist durch entsprechende Pläne und Verträge sichergestellt. Die Einhaltung der Controls aus ISO 27001:2013 Anhang A, Punkt A.11 können die Umsetzung unterstützen. 5.6 Personelle und organisatorische Sicherheit Ein geeigneter Rahmen für die Behandlung der personellen und organisatorischen Sicherheit setzt sich zum Beispiel aus folgenden Maßnahmen zusammen: Geeignete Auswahl von zuverlässigem und fachkundigem Personal, ggf. Sicherheitsüberprüfung oder Überprüfungen auf andere geeignete Art und Weise Rollenzuweisung, ggf. Festlegungen zum Vieraugenprinzip u. ä. Identitäts- und Berechtigungsmanagement Festlegung notwendiger Kompetenzen (Betrieb und IT-Sicherheit) Notwendige / ausreichende Personalressourcen (Betrieb und IT-Sicherheit) Schulungen der Anwender Schaffung von Bewusstsein für IT-Sicherheit auf allen Ebenen (Vorstand, IT- Betrieb, Prozessverantwortlicher, Anwender) Eine korrekte Umsetzung sollte durch Einhaltung der Controls aus ISO 27001:2013 Anhang A, Punkte A.5, A.6, A7.1 und A7.2 sowie A.9 erreicht werden. 5.7 Branchenspezifische Technik 5.7.1 Bereich Housing Für den Bereich Housing werden die Leistungen Gebäude, Energieversorgung, Klimatisierung, Zutrittsschutz und Netzwerk-Anbindung angeboten. Deshalb sind folgende Systeme von besonderer Bedeutung (siehe auch Kapitel 1.4.1): Gebäudeleittechnik, insbesondere die digitalen Steuerungen für die Kontrolle der Infrastruktur zur Energie- und Klimaversorgung, Brandmeldesysteme Überwachungssysteme (Video-Überwachung, Einbruchmeldesysteme etc.) 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 28 von 45

Zutrittsmanagementsysteme Sicherungssysteme (Firewalls, physische Trennung der Netze, Jump-Hosts etc.), mit denen sichergestellt wird, dass nur berechtigte Benutzer auf die betrieblichen Systeme zugreifen können Die Systeme können entweder in den Überwachungszentren, in eigens gesicherten IT- Bereichen und / oder im Bereich der Infrastruktur-Systeme der Anlage installiert sein. Sie sind gegen die Systeme und Netzwerkverbindungen der Kunden einerseits und die sonstigen IT-Systeme des Anbieters andererseits abzugrenzen. Die folgende Abbildung zeigt, wie diese Struktur grundsätzlich zu verstehen ist. Abbildung 4: Struktur eines Rechenzentrums (Housing) Während zu den IT-Systemen der Kunden keinerlei Verbindung besteht, kann es zwischen den betrieblich relevanten und sonstigen Systemen des Anbieters Verbindungen geben. 5.7.2 Bereich IT-Hosting Systeme, die vom Dienstleister zur Diensterbringung der kdl benutzt werden und somit als relevant für den Betrieb der Kritischen Infrastruktur betrachtet werden müssen sind in Kapitel 1.5.2 beschrieben. 5.7.2.1 Bereich CDN Für den Bereich CDN ist die Verfügbarkeit der Anlage als Ganzes (und nicht einzelner Bestandteile) erforderlich. Daher sind folgende Techniken von besonderer Bedeutung: 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 29 von 45

Digitale Steuerung, wie z.b. Monitoring-, Verwaltungs- und Virtualisierungssysteme Gebäudemanagementsysteme, wie z.b. Überwachungssysteme oder Zutrittsschutz, sofern erforderlich Zugriffsmanagement (Videoüberwachung, Logging, Steuerung) Die Systeme können entweder in den Überwachungszentren, in eigens gesicherten IT- Bereichen und / oder im Bereich der Infrastruktur-Systeme der Anlage installiert sein. Sie sind gegen die Systeme und Netzwerkverbindungen der Kunden einerseits und die sonstigen IT-Systeme des Anbieters andererseits abzugrenzen. 5.8 Branchenspezifische Architektur u. Verantwortung 5.8.1 Bereich Housing Der Housing Betreiber ist entsprechend den Vorgaben des IT-Sicherheitsgesetzes verantwortlich für seine kritische Dienstleistung. Der Aufbau der IT-Systeme von Housing- Anbietern ist im Abschnitt 5.7.1 beschrieben. Eine grundsätzliche Eigenschaft ist die vollständige Trennung der IT-Systeme der Kunden von denen des Anbieters, da diese lediglich zur Steuerung und Überwachung des RZ-Gebäudes und seiner Infrastruktur dienen. Dies ist grundsätzlich in der folgenden Abbildung dargestellt: Abbildung 5: Verantwortungsbereiche Kunde / Betreiber (Housing) Die Bereitstellung von Gebäude, Energie, Klima und Sicherheitsdiensten liegt in der Verantwortung des Betreibers. Die dafür notwendigen IT-Systeme sind von den IT-Systemen der Kunden vollständig zu trennen und gemäß in diesem Branchenstandard dokumentierten Vorgaben zu schützen. 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 30 von 45

5.8.2 Bereich IT-Hosting Die Verantwortung des IT-Hosting Betreibers liegt in der vertragskonformen Bereitstellung von IT-Systemen und -Services, die gemäß den hier dokumentierten Vorgaben zu schützen sind. Die Verantwortung für entsprechende Meldungen im Störfall sind mit dem Auftraggeber zu vereinbaren, im Zweifel gelten die gesetzlichen Regelungen. 5.8.2.1 Bereich CDN Der Betreiber des betreffenden Content Delivery Netzwerkes (CDN) ist entsprechend den Vorgaben des IT-Sicherheitsgesetzes verantwortlich für seine kritische Dienstleistung. In der Zusammenarbeit mit dem Content-Provider ergeben sich hierüber hinaus unterschiedliche Verantwortlichkeiten: Der Betreiber des CDN ist verantwortlich für die Gewährleistung der Verfügbarkeit die Sicherheit des für den Betrieb notwendigen Datenverkehrs (Steuerung des CDN). Betreiber des CDN ist nicht verantwortlich für die in 1.4.2.1 als nicht betriebsrelevant definierten Bereiche. Zusätzlich ist zu beachten, dass dem CDN-Kunden seitens des CDN-Betreibers administrative Schnittstellen zur Verfügung gestellt werden müssen, um das CDN seinen Geschäftszielen entsprechend instrumentieren zu können. Diese Schnittstellen sind für die Verfügbarkeit, Integrität und Vertraulichkeit des CDNs nicht relevant, da das CDN auch ohne diese seine Funktion beibehalten kann, dann allerdings ohne Änderung der Konfiguration. Die Verantwortung für entsprechende Meldungen im Störfall ist über die gesetzlichen Regelungen nach IT-SiG geregelt. Zusätzlich gelten kundenspezifische vertragliche Regelungen. 5.9 Vorfallserkennung und -bearbeitung Um technische Fehler und ggf. auch Angriffe von Innen oder Außen erkennen zu können sind Maßnahmen erforderlich, die folgende Bereiche abdecken: Detektion von Angriffen, z.b. durch Cyber Defense Einrichtungen Detektion von sonstigen IT-Vorfällen / Störungen (Unterscheidung von Angriffen) Einsatz von IDS und IPS (wo notwendig bzw. sinnvoll) Reaktion auf Angriffe Reaktion auf sonstige IT-Vorfälle / Störungen 2018-04-30_B3S_BAK_DCH_V1.05 Stand: 30.04.2018 Seite 31 von 45

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback