KRITIS-MANAGEMENT: NOTFALLPLÄNE AB JUNI PFLICHT
Mithilfe des IT-Sicherheitsgesetzes sollen kritische Infrastrukturen (KRITIS) geschützt werden. Im Mai 2016 trat der erste Teil des IT-Sicherheitsgesetzes (BSI-KritisV (Korb 1)) in Kraft, der sich auf die Sektoren Energie, Wasser, Informationstechnik, Telekommunikation und Ernährung bezieht. Seit Juni 2017 gibt es den BSI-KritisV (Korb II), der bis Ende Juni 2019 umgesetzt und nachgewiesen werden muss. Dieser betrifft die Sektoren Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr. Das Bundesamt für Sicherheit und Informationen legt qualitative und quantitative Kriterien, wie zum Beispiel die Anzahl der Personen, die durch die Dienstleistung versorgt werden, zur Bestimmung einer KRITIS fest.
Ziel ist ein Notfallplan, um im Ernstfall Handlungsanweisungen und Richtlinien parat zu haben, die den Verlust sensibler Daten oder Systemausfälle verhindern. Als kritische Infrastrukturen gelten hierbei jegliche Versorgungs-Dienstleistungen, deren Funktionieren das Gemeinwesen erheblich beeinflusst. Ausfälle oder Probleme der Infrastrukturen können erhebliche Versorgungsengpässe verursachen und somit die öffentliche Sicherheit negativ beeinflussen. Zum Beispiel wäre es fatal, wenn ein Krankenhaus keine Stromversorgung mehr hätte. Folglich könnten lebensnotwendige Maschinen versagen und das Leben der Patienten gefährden. Ein Krisen-Management übernimmt im Worst-Case-Szenario die normale Organisation des Unternehmens, stellt seine Handlungsfähigkeit sicher und verhindert folgenschwere Konsequenzen für die Branche sowie die Allgemeinheit
Was bedeutet das für die Unternehmen? Nach den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist es notwendig, dass Unternehmen ein Business Continuity Management (BCM) und ein IT Service Continuity Management (ITSCM) einführen. Letztendlich sollen die Abläufe so gestaltet werden, dass sie möglichst widerstandsfähig sind und sich Unternehmen an die ständig ändernden Herausforderungen anpassen können. Diese Resilienz, oder auch Widerstandskraft, ist ein wichtiger Bestandteil des BCM, da sich hierdurch Krisen vermeiden lassen können. Das ITSCM ist hier als besonderer Bestandteil des BCM einzuordnen und betrifft die IT des Unternehmens.
Unternehmen sollen zudem nicht nur einzelne Punkte abdecken, sondern ein ganzheitliches Konzept entwickeln, welches verschiedene Management-Aspekte abdeckt – so müssen etwa die Bereiche Informationssicherheit, Business Continuity Management, Risikomanagement und Krisenmanagement bestimmten Kriterien entsprechen. Für den Nachweis muss ein Prüfbericht angefertigt werden, in dem bestätigt wird, dass die IT-Sicherheit dem vorgeschriebenen Stand der Technik entspricht. Auf die Unternehmen kommt aufgrund der Vorgaben des IT-Sicherheitsgesetzes viel Arbeit zu: KRITIS-Management ist ein Prozess und somit auch mit kontinuierlicher Arbeit verbunden.
Urheberrecht: (c) Robert Kneschke auf Fotolia.com