1. Kurzzusammenfassung Jahresbericht 10/2015-10/2016 Im Zeitraum von Oktober 2015 bis Oktober 2016 wurde der UP KRITIS, die Zusammenarbeit von Wirtschaft und Staat zum Schutz der Kritischen Infrastrukturen, inhaltlich und organisatorisch weiter ausgebaut. Für 2016 hatte sich der UP KRITIS insbesondere folgende Ziele gesetzt: 1. Kooperation ausbauen 2. Nutzen des UP KRITIS greifbar machen 3. Gute Umsetzung IT-SiG In allen drei Bereichen konnten im Berichtszeitraum große Fortschritte erzielt werden: 1. Die Teilnehmerzahl stieg auf über 400 Institutionen (s. Abbildung 1) und es wurden fünf neue Branchenarbeitskreise gegründet. Die Öffentlichkeitsarbeit wurde verstärkt und es wurden mehrere UP-KRITIS-Kennenlerntage sowie ein Informationstag im BSI veranstaltet, bei denen die Teilnehmer den UP KRITIS, das BSI sowie andere Teilnehmer ihrer Branche kennenlernen konnten. Außerdem war der UP KRITIS auf verschiedenen Veranstaltungen und Messen präsent (s. Abschnitt 5). Abbildung 1: Entwicklung der Teilnehmerzahl des UP KRITIS 2. Die Teilnehmer des UP KRITIS hatten die Möglichkeit, an Schulungen und (Kommunikations-)Übungen teilzunehmen und im Rahmen von Sitzungen diverser Gremien (z.b. Arbeitskreise und Plenum) Werksführungen von (anderen) Kritischen Infrastrukturen hautnah zu erleben. 3. Der UP KRITIS arbeitete aktiv an der guten Umsetzung des IT-Sicherheitsgesetzes mit. Er war u.a. an der Erstellung der BSI-Kritisverordnung beteiligt, die festlegt, was zu den Kritischen Infrastrukturen gemäß BSI-Gesetz gehört. Außerdem haben verschiedene Branchenarbeitskreise durch die Erstellung branchenspezifischer Sicherheitsstandards aktiv an der Definition und Konkretisierung des Stands der Technik ( 8a BSIG) in ihrer Branche 1
mitgearbeitet. Die Mitglieder des Themenarbeitskreises Operativer Informationsaustausch waren aktiv an der Erarbeitung der Meldeabläufe und inhalte nach 8b BSIG beteiligt. Weiterer Höhepunkt war die Übung Bruchhausen 15, an der 30 Teilnehmer aus verschiedenen Branchen zusammen mit Vertretern des BSI-Lagezentrums und des BMI den Cyber-Krisenfall übten, um ihre Krisenmanagementfähigkeiten zu trainieren und weiter zu verbessern. 2. Begleitung und Umsetzung des IT-Sicherheitsgesetzes Zentrales Thema im UP KRITIS war im vergangenen Jahr das IT-Sicherheitsgesetz sowie die zugehörige BSI-Kritisverordnung (BSI-KritisV). Die Verordnung konkretisiert, welche Anlagen, Einrichtungen oder Teile davon aus den betroffenen KRITIS-Sektoren unter die KRITIS- Neuregelungen des BSI-Gesetzes fallen. Die Identifizierung erfolgt anhand qualitativer und quantitativer Kriterien. Vertreter aus der Wirtschaft, insbesondere aus den betroffenen Branchenarbeitskreisen des UP KRITIS, haben im Rahmen von hierfür gebildeten Kernteams gemeinsam mit BMI, BBK, BSI, den zuständigen Fachministerien und Aufsichtsbehörden die BSI- KritisV fachlich vorbereitet. Für die ersten vier Sektoren (Energie, IT & KT, Ernährung und Wasser) wurden diese Arbeiten 2015 abgeschlossen; die Verordnung für diese Sektoren ist am 3. Mai 2016 in Kraft getreten. Derzeit wird der zweite Teil der Verordnung für die Sektoren Gesundheit, Transport und Verkehr sowie Finanz- und Versicherungswesen in den jeweiligen Kernteams vorbereitet, in denen wiederum Mitglieder der jeweiligen Branchenarbeitskreise vertreten sind. Der zweite Teil der Verordnung soll voraussichtlich im Frühjahr 2017 veröffentlicht werden. Zur Umsetzung von 8a BSIG (IT-Sicherheit nach Stand der Technik) werden in verschiedenen Branchenarbeitskreisen (BAKs) derzeit branchenspezifische Sicherheitsstandards (B3S) erarbeitet. Die Erstellung eines B3S bietet den Branchen die Chance, ausgehend von der eigenen Expertise selber Vorgaben zum Stand der Technik zu formulieren. Darüber hinaus gibt er den Betreibern, die sich nach einem solchen anerkannten B3S prüfen lassen, Rechtssicherheit bzgl. des Stands der Technik, der bei einem Audit verlangt und überprüft wird. Das BSI hat hierzu in Abstimmung mit dem BBK, Aufsichtsbehörden und einigen Gremien des UP KRITIS eine Orientierungshilfe zu Inhalten und Anforderungen an B3S herausgegeben. Basierend auf der Orientierungshilfe können Betreiber und Verbände ihre B3S erarbeiten. Wurde ein B3S erarbeitet, kann dieser beim BSI zur Prüfung eingereicht werden. Das BSI stellt anschließend fest, ob ein B3S geeignet ist, die Anforderungen an den Stand der Technik für den Geltungsbereich in Bezug auf die branchenspezifische Gefährdungslage und die Risikobetrachtung zu erfüllen. Die Prüfung der Eignung erfolgt in Abstimmung mit dem BBK und den zuständigen Aufsichtsbehörden. Derzeit erarbeitet das BSI in Kooperation mit dem Themenarbeitskreis Audits und Standards eine weitere Orientierungshilfe zu Nachweisen gemäß 8a (3) BSIG. Das Dokument gibt Betreibern, prüfenden Stellen und Aufsichtsbehörden eine Orientierung, wie die gesetzlichen Anforderungen nach 8a (3) BSIG zu geeigneten Nachweisen umgesetzt werden können. Einen wichtigen Punkt bildet dabei die Eignung der prüfenden Stelle und des Prüfteams. Außerdem werden Möglichkeiten aufgezeigt, vorhandene Prüfungen bei der Erbringung der Nachweise zu berücksichtigen. Das Dokument wird voraussichtlich im Oktober 2016 fertiggestellt und veröffentlicht. 2
3. Neubesetzung des Rats und des Stabs des UP KRITIS Turnusgemäß wurde im Berichtszeitraum nach zwei Jahren sowohl der Rat als auch der Stab des UP KRITIS neu besetzt. Der Rat besteht aus hochrangigen Vertretern von BMI, BSI und BBK sowie aus mehreren Mitgliedern von Geschäftsleitungen von am UP KRITIS teilnehmenden Unternehmen. Durch eine Änderung der Grundsätze der Zusammenarbeit des UP KRITIS kann in Zukunft jeder Sektor der Kritischen Infrastrukturen einen eigenen Vertreter in den Rat entsenden. Derzeit hat der Rat folgende Mitglieder: Thomas Tschersich (Dt. Telekom AG) Wolfgang Anthes (Open Grid Europe AG) Andreas Goretzky (Hellmann Worldwide Logistics) Jörg Simon (Berliner Wasserbetriebe) Hinrich Völcker (Deutsche Bank AG) Peter Batt (Abteilungsleiter IT im BMI) Franz-Josef Hammerl (Abteilungsleiter KM im BMI) Arne Schönbohm (Präsident des BSI) Christoph Unger (Präsident des BBK) Auch der Stab des UP KRITIS wurde neu besetzt. Dazu wurden von den Wirtschaftsvertretern des Plenums drei Wirtschaftsmitglieder in den Stab gewählt. Der Stab besteht nun aus folgenden Mitgliedern: Gabriele Sieck (GDV, Gesamtverband der deutschen Versicherungswirtschaft e.v.) Thomas Daniel (Open Grid Europe GmbH) Dr. Rainer Liedtke (Telefónica Deutschland GmbH) Matthias Fischer (BMI) Dr. Timo Hauschild (BSI) Dr. Monika John-Koch (BBK) 4. Ausbau der Kooperation Die Teilnehmerzahl des UP KRITIS ist im Berichtszeitraum von 270 auf über 400 Organisationen gestiegen. Dies ist eine Zunahme um über 50%. Zudem wurden fünf neue Branchenarbeitskreise (BAK) gegründet. Im Oktober 2016 existieren nun BAK in den folgenden Branchen (s. Abbildung 2) : Datacenter & Hosting Ernährungsindustrie Gas Internetinfrastruktur Kreditwirtschaft Lebensmittelhandel Medien (assoziiert) 3
Medizinische Versorgung Mineralöl Strom Telekommunikation Transport und Verkehr Versicherungswirtschaft Wasser/Abwasser Abbildung 2: Branchenarbeitskreise im UP KRITIS (Stand: 09/2016) Für die sektorübergreifende Zusammenarbeit gibt es im UP KRITIS zurzeit Themenarbeitskreise (TAK) zu den folgenden Themen: Audits und Standards Krisenkommunikationssystem KRITIS-Tagung Operativer Informationsaustausch SPOC-Austausch Szenariobasierte Krisenvorsorge Übungen Alle Arbeitskreise sowie Stab und Plenum des UP KRITIS haben sich regelmäßig zu Sitzungen getroffen und dort an der Umsetzung der Ziele 2016 gearbeitet. Um die Kooperation, die Vernetzung und Austausch im UP KRITIS zu steigern, wurden außerdem verschiedene Informations- und Kennenlerntage im BSI veranstaltet. 4
5. Veröffentlichungen und Veranstaltungen Best-Practice Empfehlungen für Anforderungen an Lieferanten Der Themenarbeitskreis (TAK) Anforderungen an Lieferanten hat ein Dokument mit Best-Practice- Empfehlungen für Anforderung an Lieferanten zur Gewährleistung der Informationssicherheit in Kritischen Infrastrukturen erarbeitet, das vom Plenum verabschiedet und anschließend veröffentlicht wurde. Abbildung 3: Abschlussdokument des Themenarbeitskreises Anforderungen an Lieferanten In dem Dokument werden Anforderungen von Betreibern Kritischer Infrastrukturen (KRITIS) an deren Lieferanten, Hersteller und Dienstleister in Bezug auf die Informationssicherheit definiert und so dokumentiert, dass sie von KRITIS-Betreibern für Ausschreibungen und Verträge benutzt werden können. Ziel dabei war, dass nicht jeder KRITIS-Betreiber dies mit seinen Lieferanten, Herstellern und Dienstleistern neu verhandeln muss, sondern auf die Best-Practice-Empfehlungen des TAKs zurückgreifen kann. Gleichzeitig gibt es Lieferanten, Herstellern und Dienstleistern einen Überblick, was sie Betreibern Kritischer Infrastrukturen anbieten bzw. in ihren Angeboten berücksichtigen sollten, um deren Bedarfe zu erfüllen. Sektorstudien Im Berichtszeitraum wurden vom BSI Sektorstudien zu den Sektoren/Branchen Logistik, Finanzund Versicherungswesen, Medien sowie Gesundheit veröffentlicht und auf der KRITIS-Website www.kritis.bund.de zur Verfügung gestellt. An der Erstellung waren auch die jeweiligen Branchenarbeitskreise des UP KRITIS beteiligt. Konzept Zivile Verteidigung (Zivilschutzkonzept) Am 24.8.2016 stellten Bundesinnenminister Dr. Thomas de Maizière und der Präsident des BBK Christoph Unger die neue Konzeption für Zivile Verteidigung (KZV) vor. Die KZV ist das konzeptionelle Basisdokument für die Aufgabenerfüllung im Bereich der Zivilen Verteidigung und zivilen Notfallvorsorge des Bundes; sie beschreibt Zusammenhänge und Prinzipien und macht Vorgaben für die künftige Ausgestaltung der einzelnen Fachaufgaben. Um die Versorgung der Bevölkerung, staatlicher Stellen und der Streitkräfte mit den notwendigen Gütern und Leistungen als eine der Aufgaben im Konzept umzusetzen, ist auch eine Vernetzung und die Verfügbarkeit leistungsfähiger Strukturen zwischen den Ressorts, den staatlichen Ebenen und den Betreibern Kritischer Infrastrukturen herzustellen. 5
Abbildung 4: Vorstellung des Konzepts Zivile Verteidigung durch Bundesinnenminister Dr. Thomas de Maizière und BBK- Präsident Christoph Unger Weitere Informationen dazu sowie den Link zum Download des Dokuments finden sich auf der BBK-Website unter https://www.bbk.bund.de/shareddocs/kurzmeldungen/bbk/de/2016/neue_konzeption_zivile_ Verteid_vorgestellt.html. Schulung zum staatlichen Krisenmanagement An der Akademie für Krisenmanagement, Notfallplanung und Zivilschutz (AKNZ) des BBK in Bad Neuenahr-Ahrweiler wurde für Teilnehmer des UP KRITIS wieder eine Schulung zum Thema Krisenmanagement des Bundes und der Länder" durchgeführt. Inhalte der Schulung waren u.a.: Aufbau des Krisenmanagements in Deutschland (Bund, Länder) Aufbau von Krisenstäben Rechtsgrundlagen des Bevölkerungsschutzes Messe protekt in Leipzig Am 22. und 23.06.2016 fand in Leipzig die Messe protekt statt, eine Tagung und Fachausstellung für den Schutz Kritischer Infrastrukturen. Frau Apel (BSI) hat dort einen Vortrag zum UP KRITIS und dem IT-SiG gehalten. Jahreskonferenz IT-Sicherheit für Kritische Infrastrukturen Herr Dr. Hauschild (BSI) hat am 21.06.2016 auf der Jahreskonferenz IT-Sicherheit für Kritische Infrastrukturen in Bremen zum Thema Resiliente IT in Kritischen Infrastrukturen UP KRITIS und IT-Sicherheitsgesetz als Wegbereiter vorgetragen. IT-Sibe-Jahrestagung Auf der Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden am 12. und 13.09.2016 in Brühl hielt Herr Dr. Timo Hauschild vom BSI einen Vortrag zum Thema Resiliente IT in Kritischen Infrastrukturen UP KRITIS und IT-Sicherheitsgesetz als Wegbereiter. 6
Abbildung 5: Jahreskonferenz der IT-Sicherheitsbeauftragten der Bundesbehörden in Brühl Bevölkerungsschutzmagazin des BBK Das Bevölkerungsschutz-Magazin, das vom BBK herausgegeben wird, befasste sich in seiner Ausgabe 2/2016 mit dem Thema Cyber-Sicherheit. Aus dem UP KRITIS hat Herr Holzbrecher- Morys als Sprecher des BAK Medizinische Versorgung über Informationssicherheit im Sektor Gesundheit und die Arbeit im BAK berichtet. Abbildung 6: Bevölkerungsschutzmagazin des BBK Der Beitrag Wenn das Virus nicht den Patienten, sondern das Krankenhaus befällt... und weitere wurde unter http://www.bbk.bund.de/de/service/publikationen/bs-magazin/bsmagazin_node.html veröffentlicht. CRISIS PREVENTION - Das Fachmagazin für Innere Sicherheit, Bevölkerungsschutz und Katastrophenhilfe Herr Dr. Uwe Jendricke (BSI) hat in der Ausgabe 4/2015 den Beitrag Der UP KRITIS und das IT- Sicherheitsgesetz Zusammenarbeit von Staat und Betreibern Kritischer Infrastrukturen veröffentlicht. Der Artikel ist auch im Web verfügbar: http://crisisprevention.de/bos-katastrophenschutz/nichtpolizeiliche-gefahrenabwehr/der-up-kritis-und-dasit-sicherheitsgesetz DFN-Forum Kommunikationstechnologien Am 31.05. und 01.06.2016 fand das 9. DFN-Forum Kommunikationstechnologien in Rostock statt, auf dem Frau Dr. John-Koch (BBK) zum Thema Kritische Infrastrukturen und IT-Sicherheit vorgetragen hat. Die Vorträge stehen unter https://www.dfn.de/veranstaltungen/technologieforum/9-dfn-forum- 2016/ zum Download zur Verfügung. 7
it-sa Auf der IT-Security-Messe it-sa, die vom 18. bis 20.10.2016 in Nürnberg stattfand, hat Herr Sebastian Magnus aus dem BSI einen Vortrag zum Thema Aktueller Stand der Umsetzung des IT- Sicherheitsgesetzes aus Sicht des BSI gehalten und ist dabei auch auf den UP KRITIS als Kooperationsplattform eingegangen. 6. Übungen Am 15. und 16. Oktober 2015 fand im Schulungszentrum der Provinzial Rheinland in Bruchhausen bei Bonn die Übung Bruchhausen 15 statt. Dort übten ca. 30 Teilnehmer aus den Branchen Versicherungen, Telekommunikation, IT, Logistik, Schienenverkehr, Gas, Elektrizität und Lebensmittelhandel zusammen mit Vertretern des BSI-Lagezentrums und des BMI den Cyber- Krisenfall. Dabei ging es darum, das Konzept zur Früherkennung und Bewältigung von IT- Krisen anzuwenden, das der Themenarbeitskreis Operativer Informationsaustausch (OpInAt) zuletzt 2014 aktualisiert hatte. Abbildung 7: Konzept zur Früherkennung und Bewältigung von IT-Krisen des UP KRITIS Die Übung, die allen UP-KRITIS-Teilnehmern offenstand, war von einem 7-köpfigen Team des TAK Übung im Auftrag des UP-KRITIS-Plenums in einer knapp einjährigen Vorbereitungszeit konzipiert worden. Das Szenario forderte die einzelnen Übungsteilnehmer in ihren Krisenmanagementfähigkeiten wie dem frühzeitigen Erkennen branchenübergreifender Problemsituationen, dem Rückgreifen auf das Know-how von fachkompetenten Teilnehmern aus anderen teilnehmenden Unternehmen und dem BSI sowie dem Zusammenführen und Kommunizieren aktuellster und bewerteter Informationen. Die Übung hat wieder gezeigt, wie wichtig es ist, Szenarien wie z.b. branchenübergreifende Notfälle zu üben und vernetzte Kommunikationsprozesse für eine Lagebewertung zu etablieren. Die Auswertung und die gesammelten Erfahrungen gehen in die Gestaltung weiterer Übungsszenarien ein. Als positiv wurde auch die Zusammenarbeit von Single Points of Contact (SPOCs) und BSI bewertet. Gegenseitige Erwartungen konnten abgeglichen werden und das Rollenverständnis untereinander verbessert werden. Um die Erreichbarkeiten der Notfallkontakte und die Verfügbarkeit des Passworts für vertrauliche Informationen gemäß Traffic Light Protocol (TLP) zu überprüfen, wurden im Berichtszeitraum vom BSI mehrere unangekündigte Kommunikationsübungen (Communication Checks, COMCHECK) durchgeführt. Diese Übungen, die teilweise auch zu ungewöhnlichen Uhrzeiten, am Wochenende oder an Feiertagen stattfinden, bieten den UP-KRITIS-Organisationen die Möglichkeit, ihre betriebsinternen Prozesse zu üben und ihre Erreichbarkeiten zu testen. 8