Safety (Security) Risiko in Kritischen Infrastrukturen

„Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ ^fckgL1

Die KRITIS-Verordnung vom 22.04.2016 definiert die folgenden Sektoren:

• Energie
• Wasser
• Ernährung
• Informationstechnik und Telekommunikation
• Gesundheit
• Finanz- und Versicherungswesen
• Transport und Verkehr
• Siedlungsabfallentsorgung

Tabelle 1: Relevante Normen und Richtlinien für den Bereich „Safety und Security“

Bei der Verwendung des Risikobegriffs beim Schutz kritischer Infrastrukturen muss auf zwei Ebenen differenziert werden. Zum einen ist eine Unterscheidung zwischen frequentistisch auftretenden operationalen, insbesondere technischen Risiken und nicht frequentistisch auftretenden kritischen Bedrohungslagen notwendig.

Frequentistisch auftretende Risiken sind ganz überwiegend der Safety zuzuordnen, wobei hier einschlägige Normen bspw. aus dem Bereich der funktionalen Sicherheit (Verweis) Verwendung finden. Zusätzlich gibt es hier in Teilbereichen, die das Potential für besonders große Auswirkungen auf Umwelt und Mensch haben besondere Regelwerke, bspw. für den Bahnverkehr oder (Atom-) kraftwerke (Verweise wenn möglich).

Nicht frequentistisch auftretende Bedrohungslagen, aus denen Großschadenslagen bzw. der Ausfall der betrachteten Infrastruktur und/oder abhängigen (kritischen) Infrastrukturen können im Wesentlichen zwei Ursachen haben: Natürliche Gefahren, bspw. Extremwetterereignisse oder Bedrohungen durch menschengemachte Angriffe auf einzelne Bestandteile der Infrastruktur. Besonderheit dieser Bedrohungen ist, dass sie nach dem auslösenden Ereignis zu kaskadierenden Effekten sowohl innerhalb der betrachteten Infrastruktur selbst als strukturübergreifend führen können. (Quelle) Im eigentlichen Sinn werden diese beiden Ursachen beim Schutz kritischer Infrastrukturen betrachtet.

„Betreiber Kritischer Infrastrukturen sind verpflichtet […], organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der „Stand der Technik“ eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.“ (BSI-Gesetz) In der Gesetzesbegründung des IT-SiG ist „Stand der Technik“ wie folgt beschrieben: „Auf Grund der weitreichenden gesellschaftlichen Auswirkungen ist bei den technischen und organisatorischen Vorkehrungen der Stand der Technik zu berücksichtigen. Stand der Technik in diesem Sinne ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt. Bei der Bestimmung des Standes der Technik sind insbesondere einschlägige internationale, europäische und nationale Normen und Standards heranzuziehen, aber auch vergleichbare Verfahren, Einrichtungen und Betriebsweisen, die mit Erfolg in der Praxis erprobt wurden. Die Verpflichtung zur Berücksichtigung des Stands der Technik schließt die Möglichkeit zum Einsatz solcher Vorkehrungen nicht aus, die einen ebenso effektiven Schutz wie die anerkannten Vorkehrungen nach dem Stand der Technik bieten.“

Das BSI hat im Rahmen des IT-Grundschutz-Kompendium ein Glossar erstellt. Auf dieses wird im Rahmen der Aufgaben des BSI in Bezug auf KRITIS zurückgegriffen. Gleiches gilt für Anforderungen der BNetzA in Bezug auf IT-Sicherheit. Die Definitionen lehnen sich an die ISO-Normen im Bereich der ISO270XX an. Im Folgenden werden die Definition zu einigen Begriffen aus dem Glossar des BSI zitiert:

Eine Business Impact Analyse (Folgeschädenabschätzung) ist eine Analyse zur Ermittlung von potentiellen direkten und indirekten Folgeschäden für eine Institution, die durch das Auftreten eines Notfalls oder einer Krise und Ausfall eines oder mehrerer Geschäftsprozesse verursacht werden. Es ist ein Verfahren, um kritische Ressourcen und Wiederanlaufanforderungen sowie die Auswirkungen von ungeplanten Geschäftsunterbrechungen zu identifizieren.

Cyber-Sicherheit befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Das Aktionsfeld der Informationssicherheit wird dabei auf den gesamten Cyber-Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein. Häufig wird bei der Betrachtung von Cyber-Sicherheit auch ein spezieller Fokus auf Angriffe aus dem Cyber-Raum gelegt.

Mit Datensicherheit wird der Schutz von Daten hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität bezeichnet. Ein modernerer Begriff dafür ist „Informationssicherheit“.

Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. Die Schutzziele oder auch Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Viele Anwender ziehen in ihre Betrachtungen weitere Grundwerte mit ein.

Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf „Daten“ angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf „Informationen“ angewendet. Der Begriff „Information“ wird dabei für „Daten“ verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.

Als Risikoanalyse wird der komplette Prozess bezeichnet, um Risiken zu beurteilen (identifizieren, einschätzen und bewerten) sowie zu behandeln. Risikoanalyse bezeichnet nach den einschlägigen ISO-Normen ISO 31000 und ISO 27005 nur einen Schritt im Rahmen der Risikobeurteilung, die aus den folgenden Schritten besteht: Identifikation von Risiken (Risk Identification) Analyse von Risiken (Risk Analysis) Evaluation oder Bewertung von Risiken (Risk Evaluation) Im deutschen Sprachgebrauch hat sich allerdings der Begriff Risikoanalyse für den kompletten Prozess der Risikobeurteilung und Risikobehandlung etabliert. Daher wird auch in diesem Dokument weiter der Begriff Risikoanalyse für den umfassenden Prozess benutzt. Risikoappetit (Risikoneigung / Risikobereitschaft) Risikoappetit bezeichnet die durch kulturelle, interne, externe oder wirtschaftliche Einflüsse entstandene Neigung einer Institution, wie sie Risiken bewertet und mit ihnen umgeht.

Die vollständige Erfüllung der im IT-Grundschutz geforderten Basis- und Standard-Anforderungen und gegebenenfalls die Anforderungen bei erhöhtem Schutzbedarf ist ein hoher Anspruch an jede Institution. In der Praxis lassen sich nicht alle Anforderungen erfüllen, sei es, dass Umstände vorliegen, die eine Erfüllung nicht sinnvoll erscheinen lassen (Neubeschaffung von Informationstechnik, Umzugspläne oder Ähnliches) oder dass eine Anforderung aus organisatorischen oder technischen Rahmenbedingungen nicht möglich ist (IT-System oder Anwendung werden nicht eingesetzt oder Ähnliches). Bestehende Defizite bei der Umsetzung von Sicherheitsmaßnahmen, die aus den Sicherheitsanforderungen resultieren und die damit verbundenen Risiken müssen in Form eines Managementberichtes dokumentiert werden, einschließlich einer Umsetzungsplanung für die weitere Behandlung der bestehenden Risiken. Der Risikobehandlungsplan sollte eine Beschreibung der geplanten Ressourcen und zeitliche Vorgaben enthalten. Er wird durch Unterschrift der Institutionsleitung genehmigt. Die einzelnen Anforderungen aus dem Risikobehandlungsplan sollten mindestens einmal pro Jahr überprüft werden. Eine dauerhafte und unbefristete Übernahme von Risiken durch die Institutionsleitung muss vermieden werden, da sich im Bereich der Informationssicherheit die Risiken in kurzer Zeit verändern können. Eine unbefristete Übernahme von Risiken birgt die Gefahr, dass diese Risiken nur zu einem Stichtag geprüft und bewertet werden und eine erneute Betrachtung ausgeschlossen bleibt.

Als Risikomanagement werden alle Aktivitäten mit Bezug auf die strategische und operative Behandlung von Risiken bezeichnet, also alle Tätigkeiten, um Risiken für eine Institution zu identifizieren, zu steuern und zu kontrollieren. Das strategische Risikomanagement beschreibt die wesentlichen Rahmenbedingungen, wie die Behandlung von Risiken innerhalb einer Institution, die Kultur zum Umgang mit Risiken und die Methodik ausgestaltet sind. Diese Grundsätze für die Behandlung von Risiken innerhalb eines ISMS müssen mit den Rahmenbedingungen des organisationsweiten Risikomanagements übereinstimmen bzw. aufeinander abgestimmt sein. Die Rahmenbedingungen des operativen Risikomanagements umfassen den Regelprozess aus Identifikation von Risiken, Einschätzung und Bewertung von Risiken, Behandlung von Risiken, Überwachung von Risiken und Risikokommunikation.

Als Sicherheitsanforderung werden Anforderungen für den organisatorischen, personellen, infrastrukturellen und technischen Bereich bezeichnet, deren Erfüllung zur Erhöhung der Informationssicherheit notwendig ist bzw. dazu beiträgt. Eine Sicherheitsanforderung beschreibt also, was getan werden muss, um ein bestimmtes Niveau bezüglich der Informationssicherheit zu erreichen. Wie die Anforderungen im konkreten Fall erfüllt werden können, ist in entsprechenden Sicherheitsmaßnahmen beschrieben (siehe dort). Im englischen Sprachraum wird für Sicherheitsanforderungen häufig der Begriff „control“ verwendet. Der IT-Grundschutz unterscheidet zwischen Basis-Anforderungen, Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf. Basis-Anforderungen sind fundamental und stets umzusetzen, sofern nicht gravierende Gründe dagegen sprechen. Standard-Anforderungen sind für den normalen Schutzbedarf grundsätzlich umzusetzen, sofern sie nicht durch mindestens gleichwertige Alternativen oder die bewusste Akzeptanz des Restrisikos ersetzt werden. Anforderungen bei erhöhtem Schutzbedarf sind exemplarische Vorschläge, was bei entsprechendem Schutzbedarf zur Absicherung sinnvoll umzusetzen ist.

Ein Sicherheitskonzept dient zur Umsetzung der Sicherheitsstrategie und beschreibt die geplante Vorgehensweise, um die gesetzten Sicherheitsziele einer Institution zu erreichen. Das Sicherheitskonzept ist das zentrale Dokument im Sicherheitsprozess eines Unternehmens bzw. einer Behörde. Jede konkrete Sicherheitsmaßnahme muss sich letztlich darauf zurückführen lassen.

Die Erstellung einer Sicherheitskonzeption ist eine der zentralen Aufgaben des Informationssicherheitsmanagements. Aufbauend auf den Ergebnissen von Strukturanalyse und Schutzbedarfsfeststellung werden hier die erforderlichen Sicherheitsmaßnahmen identifiziert und im Sicherheitskonzept dokumentiert.

Mit Sicherheitsmaßnahme (kurz Maßnahme) werden alle Aktionen bezeichnet, die dazu dienen, um Sicherheitsrisiken zu steuern und um diesen entgegenzuwirken. Dies schließt sowohl organisatorische, als auch personelle, technische oder infrastrukturelle Sicherheitsmaßnahmen ein. Sicherheitsmaßnahmen dienen zur Erfüllung von Sicherheitsanforderungen (siehe dort). Synonym werden auch die Begriffe Sicherheitsvorkehrung oder Schutzmaßnahme benutzt. Als englische Übersetzung wurde „safeguard“, „security measure“ oder „measure“ gewählt.

Alle inneren und äußeren Reize, die Stress verursachen und dadurch das betroffene System zu einer aktiven Reaktion veranlassen. Stressoren können Störereignisse und damit einen Verlust der Funktionsfähigkeit auslösen. Der Begriff „Stressor“ ist wohldefiniert und wird in der Psychologie und Ökologie häufig verwendet. Beim Menschen können beispielsweise Stressoren wie anhaltender Lärm die Aufmerksamkeit einschränken, was zu falschen Entscheidungen führen kann (Endsley, 1995). Im Zusammenhang mit der Widerstandsfähigkeit von Infrastrukturen wird der Begriff dagegen unterschiedlich verwendet. Einige Autoren sehen Stressoren als Synonym für störende Ereignisse (Parsons, et al., 2016; Aven, et al., 2018), während andere den Begriff Stressor als einen Stimulus definieren, der Ereignisse auslösen kann, zum Beispiel den Klimawandel oder die zunehmende Globalisierung (O'Brien, et al., 2004). Die letztere Definition entspricht der ursprünglichen Definition des Begriffs in der Psychologie und wird daher in diesem Glossar wiedergegeben.
Synonym: Stressfaktoren
Beispiele: Wind, Klimawandel, Verknappung kritischer Ressourcen, Materialermüdung

Ein Szenario ist eine allgemein verständliche Beschreibung einer möglichen Situation in der Zukunft, basierend auf einem komplexen Netzwerk von Einflussfaktoren (Gausemeier, Fink, & Schlake, 1998). Diese Beschreibung umfasst eine Abfolge von Ereignissen, die einer genau definierten chronologischen Reihenfolge folgen. Jedes identifizierte Szenario führt zu einer Reihe von Konsequenzen, die von dem auslösenden Ereignis, der betroffenen kritischen Infrastruktur und ihrem geo-organisatorischen Kontext abhängen (Setola, Rosato, Kyriakides, & Rome, 2016).
Ein grundsätzliches Problem der Bedrohungsanalyse und der zur Beschreibung verwendeten Szenarien ist die epistemische Unsicherheit, die sich aus der Betrachtung zukünftiger möglicher Ereignisse ergibt (Prognose). Da für diese Szenarien bzw. Bedrohungen in aller Regel keine oder nur geringe Evidenz im Sinne vergangener Ereignisse vorhanden ist, muss oft auf Expertenwissen zurückgegriffen werden. Eine Angabe absoluter Auftrittsfrequenzen ist aus diesem Grund kaum seriös möglich. Eine Angabe relativer Auftrittswahrscheinlichkeiten im Sinne einer Abstufung der Szenarien untereinander ist Gegenstand der Forschung. Hier kommen unter anderem Methoden, die auf morphologischer Analyse aufbauen und Bayes’sche Netze verwenden zum Einsatz.

Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.

Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.

Mit Zugang wird die Nutzung von IT-Systemen, System-Komponenten und Netzen bezeichnet. Zugangsberechtigungen erlauben somit einer Person, bestimmte Ressourcen wie IT-Systeme oder System-Komponenten und Netze zu nutzen.

Mit Zugriff wird die Nutzung von Informationen oder Daten bezeichnet. Über Zugriffsberechtigungen wird geregelt, welche Personen im Rahmen ihrer Funktionen oder welche IT-Anwendungen bevollmächtigt sind, Informationen, Daten oder auch IT-Anwendungen, zu nutzen oder Transaktionen auszuführen.

Mit Zutritt wird das Betreten von abgegrenzten Bereichen wie z. B. Räumen oder geschützten Arealen in einem Gelände bezeichnet. Zutrittsberechtigungen erlauben somit Personen, bestimmte Umgebungen zu betreten, also beispielsweise ein Gelände, ein Gebäude oder definierte Räume eines Gebäudes.

Safety wird in den Regelungen zu Kritischen Infrastrukturen nicht gesondert betrachtet. Die Regelungen zu KRITIS fokussieren auf die Verfügbarkeit der kritischen Dienstleistung. Zur Saftey gelten die allgemein einschlägigen gesetzlichen Regelungen, wie z. B. Maschinenrichtlinie, Störfallverordnung, usw. Safety-Systeme sind wie Aspekte der physischen Sicherheit durch die Betreiber in die Sicherheitskonzepte zu integrieren. Es ist ein entsprechender Schutzbedarf hinsichtlich Verfügbarkeit, Integrität und Vertraulichkeit der Safety-Systeme zu definieren und dieser mit entsprechenden Maßnahmen sicherzustellen.

Die Risikoanalyse folgt dem dreigliedrigen Risikomodell. Das Ziel der Analyse ist in der Regel die Ermittlung und Charakterisierung von Risiken, die wie in Abschnitt 1 genannt dazu führen können, dass das System kritische Zustände im Bezug auf seinen eigentlichen Zweck, d.h. meist die Versorgung der Bevölkerung erreicht. Hierfür werden für die betrachtete Infrastruktur zumeist Indikatoren identifiziert, die diese Ziele abbilden können.

Grundsätzlich basiert die eigentliche Risikoanalyse auf Szenarien, die mit systematischer Szenarioanalyse entwickelt werden. Die so ermittelten Gefahren und Bedrohungen werden dann in zwei Schritten untersucht: Zunächst wird ermittelt, welche Stressoren (Verweis) sich ergeben können und mit welcher Wahrscheinlichkeit diese wie schwere Auswirkungen auf die betroffenen Teilkomponenten ergibt. In einem zweiten Schritt wird zusätzlich ermittelt, wie diese Zwischenfälle über indirekte Effekte und die systemische Ausbreitung zu Systemausfällen und infrastrukturübergreifenden Kaskadeneffekten (Verweis) führen können.

Im Bereich der Ermittlung der Stressoren sind fehlende Evidenz und nicht frequentistische Eintrittswahrscheinlichkeiten der Gefahren oder Bedrohungen ein Hindernis. Die resultierenden epistemischen Unsicherheiten führen dazu, dass oft im Sinne von Use-Cases bzw. „what-if“-Szenarien vorgegangen wird. Alternativ werden relative Eintrittswahrscheinlichkeiten geschätzt.

Die Verwundbarkeitsanalyse der Teilkomponenten bezüglich der direkten Auswirkungen wird zumeist quantitativ ermittelt, wobei hier verschiedene Methoden zum Einsatz kommen. Im Bereich der Naturgefahren werden, abhängig vom betrachteten Szenario und Stressor, bspw. numerische Simulationen oder probabilistische Methoden aus Zuverlässigkeit und funktionaler Sicherheit angewendet.

Im Bereich der Bedrohungen durch Angriffe gibt es neben quantitativen auch qualitative Ansätze zur Verwundbarkeitsanalyse. Quantitative Ansätze arbeiten zumeist modellbasiert, während qualitative Ansätze zumeist nach Norm oder Richtlinie arbeiten.

Die bspw. mittels morphologischer Analyse ermittelten Szenarien charakterisieren die mögliche Bedrohungslage, d.h. mögliche Verläufe natürlicher Gefahren oder Angriffen. Maßgebliche Faktoren zur Szenariobeschreibung für menschengemachte Angriffe sind in Tabelle 1 angegeben. Die Szenariofaktoren für natürliche Gefahren sind vielfältiger und sind insbesondere auf zeitliche und räumliche Ausdehnung, sowie die Intensität bezogen.
- Tabelle 1 Szenariofaktoren nach Garcia
Durch die Sammlung weiterer Faktoren können die Szenarien genauer beschrieben werden. Dies Auswahl möglicher Szenarien sollte systematisch erfolgen, bspw. über Konsistenzanalyse oder die Methode des Cross-Impact-Balancing (Quelle). Auf diese Weise können inkonsistente Szenarien aus der Analyse eliminiert und durch Experten als besonders stark zusammenhängende Szenarien gefiltert werden.

Die physische Sicherheit (Querverweis: Security) hat zum Ziel, erfolgreiche Angriffe zu verhindern. Hierzu werden potenzielle Angriffsszenarien identifiziert und Maßnahmen zur Vereitelung solcher Angriffe ergriffen. Ein umfassendes Verständnis dieses Konzepts erfordert die Berücksichtigung mehrerer Faktoren, darunter die Wahrscheinlichkeit von Bedrohungen, die Verwundbarkeit und das Schadenspotenzial. In diesem Zusammenhang wurden mehrere Modelle zur Quantifizierung des physischen Sicherheitsrisikos (Querverweis Security) entwickelt, die jeweils ihre Stärken und Grenzen haben.

Im Bereich der Naturgefahren für KRITIS werden überwiegend Ansätze verfolgt, die auf die Auswirkungen möglicher Extremwetterereignisse fokussieren. Ähnlich wie im Bereich der Security sind tatsächlich eintretende Ereignisse selten, eine frequentistische Betrachtung jedoch näherungsweise möglich. Bedingt durch die Komplexität der Extremwetterereignisse und der vernetzten Struktur der KRITIS ist es jedoch nur schwer möglich ausschließlich risikobasiert zu arbeiten: Die Ausprägung der Extremwetterereignisse kann stark variieren und das Verhalten der komplexen vernetzten KRITIS ist nur schwer exakt vorherzusagen. Das Konzept der Resilienz (Querverweis: Resilienz) nähert sich dieser Problematik mit einem systematischen Ansatz, der auf die Analyse und Minderung von Auswirkungen zielt. KRITIS werden hierbei als Bereitsteller essentieller Services für die Gesellschaft betrachtet, wobei der Output der jeweiligen Infrastruktur, bspw. der Anteil der versorgten Bevölkerung, als wichtigster Indikator für die Systemleistung (Key Performance Indicator) betrachtet wird. Naturgefährdungen werden bewertet, in dem die Auswirkungen, die sie auf diesen Indikator haben analysiert. Diese Analyse kann mit gängigen Methoden der Risikoanalyse durchgeführt werden, insbesondere kommen hier Kombinationen aus modellbasierten Simulationen von Extremwetterereignissen, dem Verhalten von KRITIS-Systemen und kaskadierenden Effekten in What-if Szenarien zum Einsatz. Unsicherheit bzgl. der Szenarioausprägung, d.h. dem genauen Verlauf eines Extremwetterereignisses und dem Systemverhalten werden durch die Variation entsprechender Modellparameter z.B. durch Monte-Carlo Simulationen berücksichtigt.

Im Rahmen des Risikomanagements sind die Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität in Bezug auf die Aufrechterhaltung der kritischen Dienstleistung zu bewerten. Eine rein betriebswirtschaftliche Betrachtung ist in der Regel nicht ausreichend (siehe „Umgang mit Risiken“). Als Anhaltspunkt für das Ausmaß eines Risikos für die Allgemeinheit sollten die Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur und der kritischen Dienstleitung berücksichtigt werden. Die Safety-Funktionen der Anlagen wird nur indirekt adressiert, da es bei einer Störung zu einer Beeinträchtigung der kritischen Dienstleistung kommt. Dennoch ist zu berücksichtigen, dass der Aufwand zur Umsetzung der Maßnahmen nicht außer Verhältnis zum Risikoausmaß für die Bevölkerung steht.

Bei KRITIS reicht meist nicht auf der Basis von betriebswirtschaftlichen Aspekten Risiken und Schutzbedarfe zu betrachten. Die möglichen Folgen für die Allgemeinheit durch z. B. einen großflächigen Stromausfall sind zu berücksichtigen. Bei der Auswahl und Umsetzung von Schutzmaßnahmen muss abgewägt werden zwischen den möglichen Folgen für die Allgemeinheit und dem Aufwand zum Schutz vor möglichen Angriffen und Beeinträchtigungen. Die Sicherheitsvorkehrungen müssen dabei dem Stand der Technik entsprechen.

Grundsätzlich sind alle für die Aufrechterhaltung der kritischen Dienstleistung erforderlichen Maßnahmen umzusetzen. Alle lediglich in Planung befindlichen Maßnahmen – beispielsweise im kontinuierlichen Verbesserungsprozess (KVP), im Umsetzungsplan oder im Risikobehandlungsplan – müssen in die Auflistung der Sicherheitsmängel gemäß § 8a (3) BSIG aufgenommen werden. Zur Bewertung dieser Mängel sollten auch erklärende Dokumente wie die Mängelbewertung, KVP-Dokumentation und der Umsetzungsplan eingereicht werden. (Informationstechnik, 2019)

Im Rahmen der IT-Sicherheit gibt es unterschiedliche Ansätze der Sicherheitsbetrachtung. Diese reichen von Produktuntersucherungen/-zerifizierungen (wie ISO/IEC 15408 oder IEC 62443-4-2) bis hin zu Verfahren die komplexen Systeme (wie IT-Grundschutz, ISO 27001, IEC 62443-2-1) betrachten.

Eine methodische Zusammenführung ist schwierig, da zwar in beiden Domänen risikobasierte Analysen zum Einsatz kommen, diese jedoch unterschiedliche Ziele verfolgen und mögliche Maßnahmen jeweils zu einem Zielkonflikt zwischen beiden Domänen führen. Zielführend erscheint für den Bereich KRITIS im Bereich des Schutzes vor Naturgefahren und Angriffen die Verknüpfung beider Domänen über das Ziel einer Minimierung der Auswirkungen auf die kritischen Services. Insbesondere ist es hier sinnvoll, Aufwand-Nutzen Analysen durchzuführen, welche in der Lage sind, Maßnahmen beider Domänen zu berücksichtigen. Auf diese Weise kann anhand des gemeinsamen Ziels des Schutzes von KRITIS und möglichen Maßnahmen zur Minderung der Auswirkungen eine gemeinsame Betrachtung beider Domänen durchgeführt werden. Durch diese Fokussierung ist es darüber hinaus auch möglich, im Rahmen einer Kosten-Nutzen Optimierung auch mögliche Zielkonflikte zwischen beiden Domänen zu berücksichtigen. So können unter Berücksichtigung beider Domänen effektive und effiziente Maßnahmenkonzepte entwickelt werden. Die letzten Entwürfe des KRITIS-Dachgesetzes (KRITIS-DG) (Verweis) fordern in diesem Zusammenhang einen Nachweis angemessener Maßnahmen zum Schutz von KRITIS. Diese können sowohl Maßnahmen aus Bereichen der Security, als auch der Safety, bzw. der Resilienz umfassen können.

• BSI-Gesetz
• BSI-Standard 200-3: Risikomanagement. Bonn.
• BSI, KRITIS-FAQ https://www.bsi.bund.de/DE/Themen/KRITIS/IT-SiG/FAQ/FAQ_8aBSIG_ISO27001/faq_bsi_8a_ISO27001_node.html
• BSI, IT-SiG-FAQ https://www.bsi.bund.de/DE/Themen/KRITIS/IT-SiG/FAQ/FAQ_IT_SiG/faq_it_sig_node.html
• ISO/IEC. (2018-07). ISO/IEC 27005 - Information Security Risk Management Management von Informationssicherheitsrisiken.