Kritische Infrastrukturen (KRITIS) und Sicherheit

Kritische Infrastrukturen (KRITIS) und Sicherheit

Die Bundesregierung trägt mit dem "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" (IT-Sicherheitsgesetz) dazu bei, deutsche IT-Systeme und digitale Infrastrukturen zu den sichersten Systemen der Welt zu machen. Insbesondere im Bereich der kritischen Infrastruktur (KRITIS) wie Gesundheit, Versorgung, Strom- und Wasserversorgung, Finanzen oder Ernährung wird das Versagen oder die Beeinträchtigung von Versorgungsleistungen erhebliche Auswirkungen auf die deutsche Wirtschaft, den Staat und die Gesellschaft haben. Daher spielen Verfügbarkeit, Schutz und Security von IT-Systemen eine wichtige Kernrolle, insbesondere im Bereich kritischer Infrastruktur.

 

Kritische Infrastrukturen müssen geschützt werden

Die EU, Deutschland und die USA haben Kritische Infrastrukturen definiert. "Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen sowie Sektoren mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden." Nach dem IT-Sicherheitsgesetz müssen Betreiber kritischer Infrastrukturen (KRITIS) ihre Netzwerke besser schützen.

Kritische Infrastrukturen KRITIS Rechenzentrum Reinigung, Serverraum reinigen, IT-Sicherheit durch Sauberkeit

Als kritisch wird jede Unternehmung betrachtet, die bei Ausfall oder Beeinträchtigung Auswirkungen für das öffentliche Leben hat oder haben kann. Hierzu zählen auch Teile von diesen Strukturen. Betreiber Kritischer Infrastrukturen sind nach dem IT-Sicherheitsgesetz verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern. Das Bundesministerium des Innern (BMI) legt fest, welche Einrichtungen, Sektoren, Service oder Teile davon gemäß der Rechtsverordnung (Artikel 10 Absatz 1 BSIG) als kritische Infrastruktur gelten. Ihre Betreiber sind verpflichtet, angemessene organisatorische und technische Vorkehrungen und Maßnahmen zu treffen, um die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer Informationstechnischen Anlagen, Komponenten oder Prozesse sowie Informationen oder Daten unter Berücksichtigung des Stands der Technik sicherzustellen.

 

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)

Das deutsche BSI-Gesetz (BSIG) enthält Regelungen in Bezug auf das Bundesamt für Sicherheit in der Informationstechnik. Die Aufgabendetails umfassen z. B.

  • Verteidigung gegen Bedrohungen der Security der Informationstechnologie des Bundes
  • Sammeln und bewerten der Informationen zu Sicherheitsrisiken und -vorkehrungen
  • Untersuchen von Sicherheitsrisiken beim Einsatz von Informationstechnologie und entwickeln von Sicherheitsvorkehrungen
  • Entwicklung von Standards, Verfahren und Tools zum Testen und Bewerten der Security von Informationstechnologiesystemen
  • Testen und bewerten der Security von Informationstechnologiesystemen
  • Herstellung von Schlüsseldaten und der Betrieb von Verschlüsselungs- und Sicherheitsmanagementsystemen, die in Informationssicherheitssystemen des Bundes verwendet werden

 

KRITIS: Service und IT-Sicherheit

IT-Sicherheit bezieht sich auf technische und organisatorische Maßnahmen um IT-Vorfälle aus Sicht des Bundesamt für Sicherheit in der Informationstechnik (BSI) zu verhindern, IT-Aktivitäten und sichere Abläufe zu erfassen, zu bewerten und in Informationssicherheit zu sensibilisieren. Neben der IT-Sicherheit wird auch die IT-Umgebung berücksichtigt. KRITIS = kritische Infrastrukturen: Im Sinne der EU-Richtlinie sind KRITIS Anlagen oder Einrichtungen, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen sind. Die Störung oder Zerstörung dieser kritischen Infrastrukturen hätte im Bereich der Gesundheit, Versorgung, Schutz oder Security und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung erhebliche negative Auswirkungen.

Kritische Infrastrukturen in Deutschland: Bereiche der KRITIS nach BSI-KritisV

Typische Branchen sind in entsprechenden Vorschriften und Gesetzen aufgeführt und weitgehend konsistent. Wir alle wissen, dass beispielsweise eine Unterbrechung der Stromversorgung unmittelbare Auswirkungen hat, sodass Strom auch eine wichtige Infrastruktur darstellt.

  • Energie: Elektrizität, Gas, Mineralöl
  • Wasser: Öffentliche Wasserversorgung, Öffentliche Abwasserbeseitigung
  • Ernährung: Ernährungswirtschaft, Lebensmittelhandel
  • Informationstechnik und Telekommunikation
  • Gesundheit: Medizinische Versorgung, Arzneimittel und Impfstoffe, Labore
  • Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen, Finanzdienstleister
  • Transport und Verkehr: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik
  • Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/ Rettungswesen einschließlich Katastrophenschutz
  • Medien und Kultur: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut, symbolträchtige Bauwerke

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

 

IT und Informationssicherheit sind ein unverzichtbarer Bestandteil des Betrieblichen Kontinuitätsmanagements (BCM)

Die verschiedenen Teile dieser kritischen Infrastrukturen werden kaum berücksichtigt, da hier alle Betriebe, Organisationen und Behörden berücksichtigt werden, die mit dieser kritischen Infrastruktur arbeiten oder ihre Daten verarbeiten, sowie alle Betriebe, die für sie arbeiten (Subunternehmer). Bis zum letzten Glied in der Kette. Beispiel Stromversorgung: Wenn Organisationen selbst nicht direkt an der Stromerzeugung und Stromversorgung beteiligt sind, sondern einen anderen wesentlichen Teil für die Funktion der KRITIS-Organisation erfüllen, z.B. IT-Service, Dienstleistungen, Ersatzteile, ohne den die KRITIS-Organisation nicht oder nur sehr schlecht funktionieren würde, zählen auch sie als Teil von diesen kritischen Infrastrukturen. Sie können leicht selbst überprüfen, ob Sie als Unternehmen zur kritischen Infrastruktur zählen. Im Zweifelsfall werden Sie dies von Ihren Kunden erfahren, wenn diese als Nachweis eine Zertifizierung verlangen. Solange jeder die Anforderungen erfüllt, können Sie mit jedem zusammenarbeiten. Wenn die Kette an einer Stelle unterbrochen wird, kommt es zum Dominoeffekt. Aufgrund eines Ausfalls kommt die komplette Lieferkette zum Stillstand, was schwerwiegende wirtschaftliche Folgen haben kann. Sie sollten dieses Risiko nicht eingehen, sondern sich selbst und die Unternehmen, mit denen Sie zusammenarbeiten, überprüfen. Möglicherweise arbeitet Ihr Subunternehmen mit anderen Betrieben in verschiedenen Ketten zusammen. Nehmen Sie Datenschutz und Security zu in Ihrem eigenen Interesse ernst. Der Datenschutz wird in fast allen Gesetzen erwähnt, daher auch zwangsläufig die Security, was zu den gesetzlichen Anforderungen führt. Alle Prozesse im Unternehmen hängen zum Teil von der IT ab oder werden von der IT unterstützt. Allein aus diesem Grund sind IT und Informationssicherheit ein unverzichtbarer Bestandteil des Betrieblichen Kontinuitätsmanagements (BCM) und Nachlässigkeit wird zur nachhaltigen Störung des BCM führen.

 

IT-Sicherheitsvorfälle können dramatische Auswirkungen haben

Die Informationssicherheit wird aus verschiedenen Standards abgeleitet, die nicht unbedingt den Gesetzen, ISO-Standards, BSI-Empfehlungen, Richtlinien der Handelskammer, professionellen Richtlinien und anderen entsprechen. Gesetzliche Anforderungen und Datenschutz können nicht immer perfekt kombiniert werden. IT-Sicherheitsvorfälle können dramatische Auswirkungen haben. Aus diesem Grund ist die IT-Sicherheit wichtig, um mögliche Schäden so weit wie möglich auszuschließen. Möglich Arten und Ausprägungen von Schäden müssen rechtzeitig erkannt und minimiert werden. Technik ist bei der Security nur die halbe Miete, Technologie allein kann keinen akzeptablen und ausreichenden Schutz schaffen. Organisatorische Maßnahmen sind unerlässlich. Was nützt die beste Technik, wenn sie an anderer Stelle ausgehebelt wird. Ein Beispiel ist Staub im Serverraum. Wenn die Räumlichkeiten nicht regelmäßig gesäubert werden oder unsachgemäße Bauarbeiten ohne Staubschutz durchgeführt werden, fällt eine Menge Baustaub an und die IT-Geräte der zentralen IT-Infrastruktur saugen sich diese Stäube ein.

 

Vertraulichkeit, Integrität und Verfügbarkeit sind die Schutzziele der Informationssicherheit

Das Versagen der zentralen Informationstechnologie (IT) oder Kommunikationstechnologie (TK) hat schwerwiegende Auswirkungen auf den Geschäftsbetrieb der Organisation. Die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit geben Auskunft über das vom System erreichte Maß an Informationssicherheit. Wenn Ihr System und Ihre Daten diese Schutzziele erreichen, können Sie sie vor Angriffen und Einflüssen schützen. Neben Vertraulichkeit, Integrität und Verfügbarkeit gibt es auch Ziele in Bezug auf Authentizität, Zurechenbarkeit und Verbindlichkeit. Überprüfen Sie, welche Daten für das Überleben des Unternehmens von entscheidender Bedeutung sind und welche Daten den größten Schaden verursachen, wenn sie verloren gehen. Stellen Sie sicher, dass diese Datenbanken die Schutzziele erreichen. IT-Sicherheitsexperten entwickeln geeignete Maßnahmen zum Schutz der Daten aus Sicht der Informationssicherheit. "Unsichere" Serverräume stellen ein hohes Risiko für die Organisation dar, ebenso wie die Gefahren von Angriffen und Schwachstellen. Schmutzige Serverräume sind eine unsichere und inakzeptable Umgebung für die ITK und die wertvollen Daten.

 

IT-Sicherheit im Rechenzentrum

Der physische Schutz ist eines der wichtigsten Themen der IT-Sicherheit. Die Grundschutzkataloge des BSI enthalten umfangreiche Empfehlungen zur umfassenden physischen IT-Sicherheit im Rahmen des Maßnahmenkataloges "Infrastruktur". Daher werden verantwortungsbewusste und proaktive IT-Manager nicht unachtsam mit den physischen und digitalen Risiken umgehen, die den IT-Betrieb stören können. Jeder Verantwortliche kann, solange er planerische, technische und organisatorische Maßnahmen mit Bedacht kombiniert, potenzielle Gefahren verantwortungsvoll verhindern, damit die digitale IT-Infrastruktur und Daten so sicher wie möglich gegen physische Bedrohungen sind. Ziel der Security ist es, den Schaden so gering wie möglich zu halten oder zu verhindern. Erfolgreiche Sicherheitsmaßnahmen können Schäden vermeiden. Ob es sich um Staub, Baustaub oder Hitze handelt, die potenziellen Gefahren und Risiken sind enorm. Es geht um den vorbeugenden Schutz der ITK in Serverschränken und Serverräumen. Schützen Sie aktive Geräte (wie Server, Speichergeräte und Switches) vor physischen Einflüssen und ergreifen Sie von Anfang an Maßnahmen, um Risiken und Gefahren zu vermeiden. Wenn sich Schmutz in den Geräten ablagert, können nach einiger Zeit technische Kurzschlüsse, Unterbrechungen, Fehlfunktionen und Ausfälle auftreten. Die Serverreinigung oder IT-Sanierung verhindert Schäden und Folgeschäden, kontaktieren Sie uns und seien Sie gegen Risiken durch Staub in Serverräumen gewappnet.

 

Mehr Security durch Sauberkeit im Rechenzentrum

Sie gewinnen durch die Investition die Rechenzentrum Reinigung eine deutlich höhere IT-Sicherheit. Staub in den IT-Geräten wie Server, Storages, Switches und Komponenten verhindert einen optimalen Einsatz Ihrer IT und bedeutet möglicherweise Minderung der Ausfallsicherheit, Lebensdauer und Werterhaltung. Bei der Rechenzentrum Reinigung wird das größte Risiko entfernt. Die meisten Sicherheitsvorfälle erfolgen nicht von außen, sondern von innen. Wir bieten mehr Security durch Sauberkeit im Serverraum, Data Center oder Rechenzentrum (RZ).

 

Reinigung der IT in kritischen Infrastrukturen (KRITIS)

Wenn es um Security und Schutz durch Sauberkeit kritischer IT-Infrastrukturen und IT-Systeme geht, nehmen Sie telefonisch, per E-Mail oder Kontaktformular Kontakt mit uns auf.

 

Weitere Links, Defintion, Informationen, Übersicht und Quellen:

BBK Bund: Schutz Kritischer Infrastrukturen – Identifizierung in sieben Schritten: BBK: Schutz Kritischer Infrastrukturen – Identifizierung in sieben Schritten

BBK Bund: Handlungsempfehlungen, insbesondere für Betreiber Kritischer Infrastrukturen (Stand: 01.02.2021): BBK: Handlungsempfehlungen insbesondere für Betreiber Kritischer Infrastrukturen (Stand: 01.02.2021)

Kritische Infrastrukturen, Definition und Übersicht: kritis.bund.de: Kritische Infrastrukturen, Definition und Übersicht

Bundesamt für Sicherheit in der Informationstechnik (BSI): Kritische Infrastrukturen

KRITIS, kritische Infastrukturen (Wikipedia)

Schutz Kritischer Infrastrukturen (BSI)

Partner beim Schutz Kritischer Infrastrukturen, Bundesamt für Sicherheit in der Informationstechnik, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe

KRITIS Zertifizierung DEKRA Deutschland

KRITIS Zertifizierung TÜV Nord

 

Details

Ursachen für IT-Störungen und Ausfälle

Ursachen für IT-Störungen und Ausfälle

Hardwarefehler resultieren meist aus Überhitzung, verursacht durch Staub und Verschmutzung.

Baustaub Kontamination

Baustaub Kontamination: Unkalkulierte Zwischenfälle im Rechenzentrum

Wenn es in Serverräumen zu unkalkulierten Zwischenfällen (Störfall) wie einer Baustaub Kontamination kommt, stehen Organisationen und Unternehmen vor der Frage, wie die betrieblichen Abläufe schnellstmöglich wiederhergestellt werden können. Wie kann sichergestellt werden, dass ein Unternehmen im Krisenfall die betriebliche Kontinuität aufrechterhalten kann?

Von Geräte Herstellern empfohlen

Gerätehersteller fordern Sauberkeit im Serverraum:

Dell PowerEdge Benutzerhandbuch: Technische Daten zu Partikel- und gasförmiger Verschmutzung.

IBM: Informationen zu Verunreinigungen am Installationsstandort.

Oracle: Begrenzung der Schadstoffkonzentration, ISO 14644-1, erforderliche Luftqualitätsstufen.

Fujitsu FTS-04230 Specification for DataCenter Particulate contamination

HPE Hewlett Packard Enterprise Support Center Dust Concentration ISO 14644 - 1 Class 8

BSI Infos Edition 2021

BSI: Elementare Gefährdungen

BSI Grundschutz-Kompendium

BSI-Standard 200-1 Managementsysteme für Informationssicherheit (ISMS)

BSI-Standard 200-2 IT-Grundschutz-Methodik

BSI-Standard 200-3 Risikomanagement

BSI Standard 200-4 Business Continuity Management - Community Draft

BSI Standard 100-4 Notfallmanagement

SYS: IT-Systeme SYS.1.2.3: Windows Server 2019

Leitfaden zur Basis-Absicherung nach IT-Grundschutz. In 3 Schritten zur Informationssicherheit

IT-Grundschutz-Bausteine

IT-Systeme: SYS.1.1 Allgemeiner Server

INF.2:Rechenzentrum sowie Serverraum

Checklisten zum IT-Grundschutz-Kompendium

IT-Sicherheit News der DATAKONTEXT GmbH

News zur IT-Sicherheit der Haufe-Lexware GmbH & Co. KG

BMWi: Initiative IT-Sicherheit

Frank Keding

Frank Keding: Risiken und Bedrohungen für Unternehmenszentralen

"Genau wie die Einhaltung der DSGVO und Informationssicherheit ist Sauberkeit im Rechenzentrum oder Serverraum kein Zustand, sondern ein kontinuierlicher Prozess."