Was sind kritische Infrastrukturen und wie anfällig sind sie für Störungen oder Angriffe auf die IT-Systeme, mit denen sie gesteuert werden? Welche Gesetze und Regelungen gibt es, die unsere Gesellschaft und die öffentliche Sicherheit vor kritischen Ausfällen schützen sollen? Vinzent Ratermann, Experte für die IT-Sicherheit kritischer Infrastrukturen und KRITIS-Auditor, beantwortet in unserer Blogserie diese und weitere Fragen.
Nach einem Einblick in die konkreten Anforderungen an Betreiber Kritischer Infrastrukturen und den typischen Ablauf eines KRITIS-Audits in Teil 4, betrachten wir in diesem Teil der Blogserie mögliche Überschneidungen in den Sicherheitsanforderungen des PCI DSS und KRITIS.
1. B3S: Der branchespezifische Sicherheitsstandard für KRITIS
2. KRITIS und PCI DSS
2.1 Weitreichende Überschneidungen
2.2 Aufwände einsparen im Kombiaudit
Der Payment Card Industry Data Security Standard (PCI DSS) und KRITIS sind zwei Schwergewichte innerhalb der Informationssicherheit. Die regulierenden Stellen sehen in beiden Fällen Audits vor, die vor Ort beim Unternehmen durch unabhängige Prüfstellen durchgeführt werden müssen. Solche Audits sind häufig Großprojekte, die umfangreiche Ressourcen in betroffenen Unternehmen binden.
Obwohl es sich bei PCI DSS und KRITIS um zwei unabhängige Audits mit separaten Prüfungen handelt, gibt es einige Überschneidungen in den Sicherheitsanforderungen. Durch die Zusammenarbeit mit einem Auditpartner, der beide Prüfungen vornehmen kann, können Unternehmen Synergieeffekte ausnutzen und so Aufwände einsparen.
B3S: Der branchespezifische Sicherheitsstandard für KRITIS
Das BSI Gesetz sieht vor, dass Betreiber Kritischer Infrastrukturen oder ihre jeweiligen Fachverbände auf ihre Branchen zugeschnittene Sicherheitsstandards (B3S) selbst erarbeiten und beim BSI zur Eignungsfeststellung einreichen können. So soll Betreibern und ihren Fachverbänden ermöglicht werden, selbst aufzuzeigen, wie die Umsetzung von § 8a Absatz 1 BSIG (inkl. „Stand der Technik“) in ihrer jeweiligen Branche aussehen sollte. Ein B3S trägt außerdem dazu bei, den Interpretationsspielraum im Rahmen von Prüfungen zu verringern. Eine gesetzliche Pflicht zur Erarbeitung eines B3S besteht jedoch nicht und Betreiber Kritischer Infrastrukturen sind ebenso wenig verpflichtet, einen existierenden B3S anzuwenden. Die Anforderungen gemäß § 8a Absatz 1 BSIG können sie auch auf andere Weise erfüllen.
KRITIS und PCI DSS: Weitreichende Überschneidungen
Die Anforderungen von PCI DSS und KRITIS sind keinesfalls identisch, können aber weitreichende Überschneidungen aufweisen. Daher haben die electronic cash-Netzbetreiber einen B3S für die Branche Zahlungsverkehr erarbeitet, in dem diese Überschneidungen aufgenommen und eingearbeitet wurden. An vielen Stellen verweist dieser branchenspezifische Sicherheitsstandard des Bundesverbands sogar direkt auf Anforderungen im PCI DSS.
Für Betreiber Kritischer Infrastrukturen in der Branche Zahlungsverkehr, die bereits PCI DSS zertifiziert sind, können sich basierend auf dem genutzten KRITIS-Prüfkatalog unterschiedliche Synergieeffekte ergeben:
- Nutzung des B3S der Branche Zahlungsverkehr: Überschneidung vieler Anforderungen und direkter Verweis auf die PCI DSS Zertifizierung möglich
- Nutzung eines B3S, der nicht direkt auf den PCI DSS verweist: Einige Anforderungen und damit verbundene Auditnachweise können identisch sein
- Nutzung keines B3S: Einige Anforderungen und damit verbundene Auditnachweise können identisch sein
Ein wichtiges Kriterium bei der Überprüfung nach Überschneidungen beider Prüfkataloge ist ein identischer Scope.
Ist der Scope auch nur in Teilen deckungsgleich, können Unternehmen Nachweise, die im Rahmen des PCI-DSS-Audits erbracht wurden, auch für das KRITIS-Audit einbringen. Diese dürfen zwar nicht älter als ein Jahr sein – da ein PCI-DSS-Audit jährlich wiederholt werden muss, sollte diese Anforderung in der Regel jedoch kein Problem darstellen.
KRITIS und PCI DSS: Aufwände einsparen im Kombiaudit
Wir begleiten viele unserer Kunden in langjährigen Partnerschaften durch PCI-Audits und sind dadurch bestens mit ihren IT-Systemen und Prozessen vertraut. Entscheidet sich einer unserer Kunden dafür, auch ein anderes Sicherheitsaudit, wie zum Beispiel KRITIS, mit uns durchzuführen, profitieren alle Projektbeteiligten davon, dass die Umgebung für uns nicht neu ist. Gerade in einem Kombiaudit von PCI DSS und KRITIS lassen sich viele Synergieeffekte nutzen, da sich die Anforderungen beider Prüfkataloge wie oben beschrieben häufig in weiten Teilen decken oder ergänzen. Für uns als Auditoren verringert sich der Aufwand für die einzelnen Prüfungen zwar nicht erheblich, die verantwortlichen Ansprechpartner*innen auf Kundenseite können wir in einem kombinierten Audit jedoch deutlich entlasten. Beispielsweise müssen Mitarbeiter*innen, die für die Betreuung der Audits verantwortlich sind, häufig nur einmal zu einem spezifischen Audittermin erscheinen und nicht für jedes Audit erneut. Ein weiteres klassisches Beispiel für eine solche Entlastung sind Rechenzentrumsbegehungen, die von vielen IT-Sicherheitsstandards gefordert werden. Einige unserer Kunden erbringen die geforderten Nachweise gleich für mehrere Prüfkataloge, wie beispielsweise PCI DSS, PCI PIN und KRITIS, an nur einem einzigen Termin.
Die Einsparung von Aufwänden durch konsolidierte Nachweise ist sicherlich der offensichtlichste Vorteil eines Kombiaudits. Darüber hinaus ist es aber auch für jedes Unternehmen erstrebenswert, die Anzahl an externen Dienstleistern möglichst gering zu halten. Dadurch lassen sich zum einen die Aufwände für die Prüfung und das Monitoring von Drittanbietern minimieren. Gerade im Audit-Bereich, in dem Unternehmen einem Dritten sensible Interna offenlegen und den Zugang zu geschützten Bereichen und Daten ermöglichen, ist es darüber hinaus sicher sinnvoll, die Zahl der Dienstleister zu reduzieren.
Unsere Erfahrung hat außerdem gezeigt, dass sich die Vorteile eines Kombiaudits auch auf der persönlichen Ebene deutlich bemerkbar machen. Eine Partnerschaft, in der die Beteiligten sich bereits kennen und auf gemeinsame, erfolgreiche Projekte zurückblicken, bietet naturgemäß eine besonders gute Grundlage für eine vertrauens- und verständnisvolle Zusammenarbeit, auf die wir im Audit-Umfeld großen Wert legen.
Es gibt viele gute Gründe dafür, Audits nach verschiedenen Sicherheitsstandards von einem einzigen Dienstleister durchführen zu lassen, mit dem Sie vertrauensvoll zusammenarbeiten. Verfügt Ihr Dienstleister über die fachliche Expertise, lassen Sie sich zu Synergieeffekten verschiedener Sicherheitsprüfungen beraten.
Sie benötigen Unterstützung bei der Klärung, ob solche Synergien bei Ihrem Scope anwendbar sind? Durch unsere Erfahrung als Auditpartner für PCI Standards und KRITIS sind wir gerne bei der Beantwortung der Frage behilflich.
