Viele KRITIS-Unternehmen stehen vor der Herausforderung: Ihnen fehlt ein eigener, interner Informationssicherheitsbeauftragter (ISB) \u2013 sei es aus Personalmangel oder aufgrund fehlenden Fachwissens. Doch gerade im Bereich kritischer Infrastrukturen ist Informationssicherheit unerl\u00e4sslich. Hier kommt der externe ISB ins Spiel! Er kann entscheidende Aufgaben \u00fcbernehmen und wertvolle Unterst\u00fctzung bieten. Aber Vorsicht: Auch mit externer Hilfe gibt es Bereiche, in denen das KRITIS-Unternehmen selbst aktiv werden muss. Dieser Blogbeitrag beleuchtet, welche Aufgaben ein externer ISB in Ihrem KRITIS-Unternehmen erledigen kann und wo Ihre interne Mitarbeit unerl\u00e4sslich ist.<\/p>\n\n\n\n
Die Rolle des externen ISB: Ein \u00dcberblick<\/p>\n\n\n\n
Ein externer ISB kann eine Vielzahl von Aufgaben \u00fcbernehmen, um die Informationssicherheit in Ihrem KRITIS-Unternehmen zu gew\u00e4hrleisten:<\/p>\n\n\n\n
\u2022 Das Herzst\u00fcck: Das Informationssicherheits-Managementsystem (ISMS)<\/strong><\/p>\n\n\n\n \u25e6 Ein externer ISB kann alle Elemente des Managementsystems zur Gew\u00e4hrleistung des sicheren Betriebs Ihrer Anlagen und der Einhaltung von Informationssicherheitsanforderungen \u00fcberwachen und pflegen.<\/p>\n\n\n\n \u25e6 Ganz wichtig<\/strong>: F\u00fcr diese Aufgaben ist der externe ISB auf die umfassende Unterst\u00fctzung Ihrer internen Mitarbeiter angewiesen. Nur gemeinsam im ISMS-Team k\u00f6nnen die Anforderungen korrekt umgesetzt werden.<\/p>\n\n\n\n \u25e6 Ein intern benannter Informationssicherheitskoordinator (ISK) kann dem externen ISB dabei helfen, Einblick in die internen Verfahren Ihres Unternehmens zu erhalten.<\/p>\n\n\n\n \u25e6 Die regelm\u00e4\u00dfige Anpassung von ISMS-Dokumenten und -Prozessen ist dabei eine durchzuf\u00fchrende Aufgabe.<\/p>\n\n\n\n \u2022 Der Draht zum BSI: Unterst\u00fctzung beim Informationsaustausch<\/strong><\/p>\n\n\n\n \u25e6 Der externe ISB kann den KRITIS-Betreiber beim Informationsaustausch mit dem Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) unterst\u00fctzen.<\/p>\n\n\n\n \u25e6 Achtung bei Sicherheitsvorf\u00e4llen<\/strong>: Die Erstmeldung von Sicherheitsvorf\u00e4llen muss fristgerecht und nach den Vorgaben der Aufsichtsbeh\u00f6rde erfolgen. Wenn der externe ISB innerhalb dieser vorgegebenen Zeit nicht erreichbar ist, m\u00fcssen Sie die Erstmeldung ohne<\/strong> seine Unterst\u00fctzung durchf\u00fchren.<\/p>\n\n\n\n \u25e6 Eingeschr\u00e4nkter Zugang zu Sicherheitsinformationen<\/strong>: Aufgrund der Beschr\u00e4nkungen des TLP (Traffic Light Protocol) hat der externe ISB m\u00f6glicherweise nur eingeschr\u00e4nkten Zugang zu sensiblen Sicherheitsinformationen.<\/p>\n\n\n\n \u25e6 Bedrohungsanalyse<\/strong>: Eine passgenaue Bedrohungsanalyse (strategisch, taktisch, operativ) kann er daher nur bedingt leisten. Ihre Mitarbeiter, die Zugang zu allen relevanten Informationen haben, m\u00fcssen hier unbedingt mitwirken.<\/p>\n\n\n\n \u25e6 Neue Anforderungen vom BSI<\/strong>: Wenn das BSI neue oder ge\u00e4nderte Anforderungen kommuniziert, erfahren dies zun\u00e4chst nur Ihre Mitarbeiter. Setzen Sie den externen ISB fr\u00fchzeitig in Kenntnis<\/strong>, damit im ISMS gemeinsam daran gearbeitet werden kann.<\/p>\n\n\n\n \u2022 Branchenstandards und erg\u00e4nzende Dokumente: Der B3S-Dschungel<\/strong><\/p>\n\n\n\n \u25e6 Ein ISMS im KRITIS-Bereich basiert grunds\u00e4tzlich auf der ISO 27001 und den Regeln des IT-Grundschutzes vom BSI \u2013 Normen, die ein ISB immer beherrschen muss.<\/p>\n\n\n\n \u25e6 Zus\u00e4tzlich erarbeiten Branchenverb\u00e4nde verbindliche Branchenstandards (B3S)<\/strong> zur anforderungsgem\u00e4\u00dfen Umsetzung der gesetzlichen Vorgaben, die Ihr Unternehmen im Regelfall f\u00fcr die Nachweisf\u00fchrung anwenden wird.<\/p>\n\n\n\n \u25e6 Einarbeitung des externen ISB<\/strong>: Ihr externer ISB muss sich in diese spezifischen Branchenvorschriften im Einzelfall einarbeiten, besonders da diese nicht immer frei verf\u00fcgbar sind. Die Eignung des Branchenstandards wird vom BSI gepr\u00fcft und f\u00fcr einen Zeitraum von zwei oder drei Jahren zur Anwendung freigegeben.<\/p>\n\n\n\n \u25e6 Zugriff auf Dokumente<\/strong>: Als Mitglied Ihres Branchenverbandes haben Sie Zugriff auf erg\u00e4nzende Dokumente und Verfahren zu diesen Branchenstandards, die Sie beachten m\u00fcssen. Dazu geh\u00f6ren der Branchenstandard selbst (mit Verweisen auf zus\u00e4tzlich g\u00fcltige Normen und weitere Regeln) sowie Verfahren wie IT- oder OT-Leitf\u00e4den mit erg\u00e4nzenden Tools, die sicherstellen, dass Anwendungsf\u00e4lle und Anforderungen der Branche f\u00fcr die kritischen Anlagen richtig und vollst\u00e4ndig erfasst werden.<\/p>\n\n\n\n \u2022 Audits und Zertifizierung: Der Nachweis der Sicherheit<\/strong><\/p>\n\n\n\n \u25e6 Der externe ISB ist mit den Verfahren vertraut, die zwischen der Zertifizierungsstelle, den beauftragten Auditoren und dem KRITIS-Betreiber ablaufen, da diese auf normativen Vorgaben beruhen (z.B. ISO 27001 oder ISO 27019).<\/p>\n\n\n\n \u25e6 Ihre Verantwortung als KRITIS-Betreiber<\/strong>: Sie m\u00fcssen alle Abl\u00e4ufe mit der Zertifizierungsstelle abstimmen, die f\u00fcr das erforderliche Audit und den Nachweis gegen\u00fcber dem BSI und anderen Normen notwendig sind.<\/p>\n\n\n\n \u25e6 Planung und Beauftragung von Audits<\/strong>: Ihre verantwortlichen Mitarbeiter im KRITIS-Betreiber sind daf\u00fcr zust\u00e4ndig, eine DAkkS (Deutsche Akkreditierungsstelle) akkreditierte Zertifizierungsgesellschaft auszuw\u00e4hlen, die \u00fcber entsprechend qualifizierte Auditoren f\u00fcr die geforderten Audits verf\u00fcgt.<\/p>\n\n\n\n \u25e6 Terminliche und inhaltliche Abstimmung<\/strong>: Auch die zeitliche und inhaltliche Abstimmung der durchzuf\u00fchrenden Audits liegt in Ihrer Hand, um sicherzustellen, dass die Audits in den erforderlichen Zeitr\u00e4umen durchgef\u00fchrt werden und die f\u00fcr einen Nachweis bei der Aufsichtsbeh\u00f6rde einzuhaltenden Fristen ber\u00fccksichtigt sind.<\/p>\n\n\n\n \u25e6 Informationsfluss an den externen ISB<\/strong>: Diese Informationen m\u00fcssen rechtzeitig an den externen ISB weitergegeben werden<\/strong>, damit er mit dem ISMS-Team die Auditvorbereitungen sorgf\u00e4ltig durchf\u00fchren kann, um den erforderlichen Erfolg zu erzielen.<\/p>\n\n\n\n Fazit: Gemeinsam zum Erfolg<\/p>\n\n\n\n Ein externer ISB ist eine hervorragende L\u00f6sung, wenn interne Ressourcen fehlen. Er kann Ihr Unternehmen ma\u00dfgeblich bei der Einhaltung von Informationssicherheitsanforderungen unterst\u00fctzen \u2013 von der Pflege des ISMS \u00fcber die Kommunikation mit dem BSI bis hin zur Auditvorbereitung. Doch f\u00fcr den vollen Erfolg ist die enge Zusammenarbeit und der proaktive Informationsaustausch zwischen Ihren internen Mitarbeitern und dem externen ISB unerl\u00e4sslich<\/strong>. Nur gemeinsam meistern Sie die komplexen Anforderungen im KRITIS-Bereich und stellen die Sicherheit Ihrer Anlagen sicher!<\/p>\n","protected":false},"excerpt":{"rendered":" Viele KRITIS-Unternehmen stehen vor der Herausforderung: Ihnen fehlt ein eigener, interner Informationssicherheitsbeauftragter (ISB) \u2013 sei…<\/p>\n","protected":false},"author":1,"featured_media":826,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,4],"tags":[],"class_list":["post-825","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/825","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=825"}],"version-history":[{"count":0,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/825\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/826"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=825"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=825"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=825"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}