Staatlich anerkannte Prüfstelle für digitale Sicherheit gemäß NIS-G
ZULASSUNG IN
ALLEN BEREICHEN
als qualifizierte Prüfstelle, alle Sicherheitsvorkehrungen von Betreibern aller wesentlichen Dienste in allen Bereichen zu überprüfen.
Was beinhaltet das Netz- und Informations-sicherheitsgesetz?
01
Betriebskontinuität
Sicherstellung eines reibungslosen Betriebs auch in Krisensituationen.
03
Erkennen von Vorfällen
Frühzeitiges Erkennen potenzieller Bedrohungen.
05
Identitäts- und Zugriffsmanagement
Schutz sensibler Daten und Systeme durch Zugriffskontrollen.
07
Physische Sicherheit
Schutz der Infrastruktur vor physischen Gefahren.
09
Systemadministration
Regelkonforme und sichere Verwaltung von Systemen.
11
Umgang mit Dienstleistern, Lieferanten und Dritten
Sicherstellung, dass auch externe Partner hohen Sicherheitsanforderungen entsprechen.
02
Bewältigung von Vorfällen
Effektives Handeln bei Sicherheitsvorfällen.
04
Governance und Risikomanagement
Klare Verantwortlichkeiten und systematische Risikobewertung.
06
Krisenmanagement
Geplantes und strukturiertes Vorgehen in Ausnahmefällen.
08
Sicherheitsarchitektur
Aufbau und Wartung sicherer IT-Strukturen.
10
Systemwartung und Betrieb
Zuverlässige Pflege und Betrieb von IT-Systemen.
Governance und Risikomanagement
Risikoanalyse
Betreiber wesentlicher Dienste müssen eine detaillierte Risikoanalyse ihrer Netz- und Informationssysteme durchführen. Dabei sind spezifische Risiken auf Basis einer Analyse der betrieblichen Auswirkungen von Sicherheitsvorfällen zu identifizieren. Zusätzlich ist die hohe Bedeutung des Betreibers für das Funktionieren des Gemeinwesens in die Bewertung einzubeziehen.
Sicherheitsrichtlinie
Eine umfassende Sicherheitsrichtlinie ist zu erstellen, regelmäßig zu aktualisieren und an neue Anforderungen anzupassen.
Überprüfungsplan der Netz- und Informationssysteme
Die Planung und Festlegung periodischer Überprüfungen der Netz- und Informationssystemsicherheit ist essenziell, um Schwachstellen frühzeitig zu erkennen und Maßnahmen abzuleiten.
Ressourcenmanagement
Ressourcen müssen so geplant und bereitgestellt werden, dass die Funktionsfähigkeit der Netz- und Informationssysteme kurz-, mittel- und langfristig sichergestellt ist. Kapazitätsanforderungen sind entsprechend zu berücksichtigen.
Informationssicherheits-Management-Systemprüfung
Eine regelmäßige Überprüfung des Informationssicherheits-Management-Systems (ISMS) ist festzulegen und durchzuführen, um ein hohes Sicherheitsniveau nachhaltig zu gewährleisten.
Personalwesen
Sicherheitsrelevante Aspekte sind in alle personalbezogenen Prozesse zu integrieren – von der Einstellung über die Schulung bis hin zum laufenden Betrieb.
Was sind kritische Bereiche und wer ist Betreiber wesentlicher Dienste?
Sektoren mit kritischen Bereichen werden des Weiteren zusätzlich zu den Anbietern digitaler Dienste und Einrichtungen der öffentlichen Verwaltung definiert: Energie (§ 4), Verkehr (§ 5), Bankwesen (§ 6), Finanzmarkinfrastruktur (§ 7), Gesundheitswesen (§ 8), Trinkwasserversorgung (§ 9) und Digitale Infrastruktur (§ 10).
WAS SIND DIE INHALTE VON NIS-PRÜFUNGEN?
Im Rahmen einer NIS-Prüfung werden alle getroffenen Maßnahmen, um ein angemessenes Sicherheitsniveau in ausgewählten Gebieten zu erreichen, in einem Drei-Jahres-Zyklus überprüft. Die Beurteilung dient als Nachweis gegenüber dem zuständigen Ministerium und muss von einer qualifizierten Prüfstelle erstellt und übermittelt werden.
Zu den prüfungsrelevanten Gebieten zählen:
Umgang mit Dienstleistern, Lieferanten und Dritten
Beziehungen zu Dienstleistern und Dritten
Klare Anforderungen an Dienstleister, Lieferanten und Dritte sind festzulegen, um einen sicheren Betrieb sowie Zugang und Zugriff auf Netz- und Informationssysteme zu gewährleisten. Diese Anforderungen müssen regelmäßig überprüft und angepasst werden, um den aktuellen Sicherheitsstandards zu entsprechen.
Leistungsvereinbarungen
Die Leistungsvereinbarungen mit Dienstleistern und Lieferanten sind kontinuierlich zu überwachen und in regelmäßigen Abständen zu überprüfen, um sicherzustellen, dass Sicherheits- und Leistungsanforderungen jederzeit erfüllt werden.
Sicherheitsarchitektur
Systemkonfiguration
Netz- und Informationssysteme müssen sicher konfiguriert und die Konfiguration strukturiert dokumentiert werden. Diese Dokumentation ist regelmäßig zu aktualisieren, um den aktuellen Stand zu reflektieren.
Vermögenswerte
Alle Vermögenswerte im Zusammenhang mit Netz- und Informationssystemen sind umfassend zu analysieren und strukturiert zu dokumentieren, um eine transparente Übersicht zu gewährleisten.
Netzwerksegmentierung
Die Netzwerke innerhalb der Netz- und Informationssysteme sind entsprechend des Schutzbedarfs sinnvoll zu segmentieren, um Sicherheit und Effizienz zu steigern.
Netzwerksicherheit
Die Sicherheit innerhalb der Netzwerksegmente sowie an den Schnittstellen zwischen diesen Segmenten ist durch geeignete Maßnahmen und Technologien sicherzustellen.
Kryptografie
Vertraulichkeit, Authentizität und Integrität von Informationen müssen durch den gezielten und wirksamen Einsatz moderner kryptografischer Verfahren gewährleistet werden.
Systemadministration
Administrative Zugangsrechte
Administrative Zugangsrechte müssen strikt nach dem Minimalrechtsprinzip vergeben werden. Die Zuweisungen sind regelmäßig zu überprüfen und bei Bedarf anzupassen, um unnötige Zugriffe zu vermeiden.
Systeme und Anwendungen zur Systemadministration
Systeme und Anwendungen, die zur Systemadministration eingesetzt werden, dürfen ausschließlich für administrative Tätigkeiten genutzt werden. Ihre Sicherheit muss durch geeignete Schutzmaßnahmen jederzeit gewährleistet sein.
Identitäts- und Zugriffsmanagement (IAM)
Identifikation und Authentifikation
Sichere Verfahren und Technologien müssen implementiert werden, um die zuverlässige Identifikation und Authentifikation von Benutzern und Diensten zu gewährleisten.
Autorisierung
Maßnahmen und Technologien sind einzusetzen, die unautorisierte Zugriffe auf Netz- und Informationssysteme effektiv verhindern und eine sichere Zugriffskontrolle ermöglichen.
Systemwartung und Betrieb
Systemwartung und Betrieb
Klare Abläufe und Prozesse müssen eingeführt werden, um einen sicheren Betrieb der Netz- und Informationssysteme zu gewährleisten. Diese Abläufe sind regelmäßig zu überprüfen und bei Bedarf zu optimieren.
Fernzugriff
Fernzugriffsrechte sind strikt nach dem Minimalrechtsprinzip und nur zeitlich begrenzt zu vergeben. Eine regelmäßige Überprüfung und Anpassung dieser Rechte ist notwendig, um den Sicherheitsstandard zu wahren. Zudem muss die Sicherheit aller Fernzugriffe durch geeignete Maßnahmen sichergestellt werden.
Physische Sicherheit
Physischer Schutz
Der physische Schutz von Netz- und Informationssystemen muss sichergestellt werden, insbesondere durch Maßnahmen, die unbefugten Zutritt und Zugang wirksam verhindern.
Erkennung von Vorfällen
Erkennung
Mechanismen zur Erkennung und Bewertung von Sicherheitsvorfällen müssen implementiert werden, um potenzielle Risiken frühzeitig zu identifizieren.
Protokollierung und Monitoring
Systeme zur Protokollierung und Überwachung sind einzurichten, insbesondere für essenzielle Vorgänge, die für die Bereitstellung wesentlicher Dienste entscheidend sind.
Korrelation und Analyse
Mechanismen zur Korrelation und Analyse von Protokolldaten müssen implementiert werden, um Vorfälle effektiv zu erkennen und angemessen zu bewerten.
Bewältigung von Vorfällen
Reaktion auf Vorfälle
Prozesse zur effektiven Reaktion auf Vorfälle müssen entwickelt, regelmäßig getestet und dauerhaft aufrechterhalten werden.
Meldung von Vorfällen
Strukturen für die interne und externe Meldung von Vorfällen sind zu etablieren, zu prüfen und kontinuierlich sicherzustellen.
Analyse von Vorfällen
Prozesse zur Analyse und Bewertung von Vorfällen sowie zur Sammlung relevanter Informationen müssen implementiert und regelmäßig optimiert werden, um einen kontinuierlichen Verbesserungsprozess zu unterstützen.
Betriebskontinuität
Sicherstellung der Betriebskontinuität
Die Wiederherstellung der wesentlichen Dienste auf einem definierten Qualitätsniveau nach einem Sicherheitsvorfall muss sichergestellt werden.
Notfallmanagement
Notfallpläne sind zu entwickeln, umzusetzen, regelmäßig zu bewerten und durch Tests zu erproben, um ihre Wirksamkeit sicherzustellen.
WIE VERLÄUFT DER PRÜFPROZESS?
Die Vorgehensweise folgt einem …
… bewährten systematischen Prüfansatz. Dieser basiert auf einem standardisierten Prüfungskern und dem Bedarf des Kunden, seine Kontrollen individuell anzupassen. Die Prüfung erfolgt in vier Phasen und hat zwei Dimensionen: Organisation und Technik.
Festlegung des Prüfungsumfangs (Scoping)
In Abstimmung mit dem potenziellen Kunden wird ein detailliertes Scoping vorgenommen. Dieses beinhaltet den Umfang der Prüfung. Aus dieser gehen Machbarkeit, Aufwand und Durchlaufzeit hervor. Sollte auf Basis dessen eine weiterführende Prüfung beauftragt werden, wird ein Prüfprogramm inkl. Prüfplan erstellt.
Befundaufnahme (Assessment)
In der Phase, die sich an international anerkannten Standards orientiert, werden organisatorische und technische Maßnahmen geprüft. Dabei werden immer ein Dokumentationsaudit mit Feststellung zu Verpflichtungen formaler Natur wie auch ein „Proof-of-Design“ der getroffenen Maßnahmen und ein Konformitätsaudit „Proof-of-Effectiveness“ durchgeführt. Basis sind Testierungen und Stichproben bei Technik und Prozessen.
Die gewonnenen Erkenntnisse werden nachvollziehbar in einem Bericht zusammengefasst und hinsichtlich ihres Risikos bewertet. Im Zuge dieser Phase werden die Ergebnisse an die zuständige Stelle des geprüften Unternehmens übergeben und mit den verantwortlichen Personen besprochen, mit dem Ziel Handlungsempfehlungen abzuleiten.
Nachbesserungen (Remediation)
In dieser Phase wird dem geprüften Unternehmen die Möglichkeit gegeben, etwaige Mängel zu beheben. ZTP.digital unterstützt in dieser Phase bei der Umsetzung der Handlungsempfehlungen, soweit es mit ihrer Rolle als Auditor vereinbar ist. Anschließend werden Behebungen erneut geprüft und gegebenenfalls in einem finalen Audit verifiziert.
Gutachten (Expertise)
Auf Basis des Befundes wird ein Prüfbericht erstellt. Dieser resultiert in einem Gutachten, das die gewonnenen Erkenntnisse im Licht der gesetzlichen Rahmenbedingungen darstellt. Dieses Gutachten bestätigt final, ob die gegebenen Anforderungen an die geprüfte Organisation erfüllt wurden. Dies geschieht im Rahmen der Befugnis der Ziviltechnikergesellschaft für Informationstechnologie und Cyber-Sicherheit. Der Befund wird im Gutachten zu einer Urkunde mit erhöhter Beweiskraft ausgefertigt, gesiegelt und elektronisch signiert.
Industrie
OT-SICHERHEIT
moderner Automationstechnik (IEC 62443)
Sicherheit in Operational Technology (OT)
Durch die allgemeinen technologischen Entwicklungen, neue regulatorische Anforderungen wie dem NIS-Gesetz und Schlüsselthemen wie Industrie 4.0 oder Internet der Dinge (IoT) kommen auf die heimische Industrie besondere Herausforderungen im Bereich „Industrial OT Security“ von Produkten und Prozessen zu.
IEC 62443 – Industrielle Cyber-Security
Die IEC 62443 ist eine internationale Normenreihe über „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“. Die Norm ist in verschiedene Abschnitte unterteilt und beschreibt dabei sowohl technische als auch prozessorale Aspekte der „Industriellen Cyber-Security“.
Rollen und Risikoansatz
Die Norm unterteilt die Industrie dabei in drei verschiedene Rollen: (1) den Betreiber von Automationstechnik, (2) die Integratoren „Dienstleister für Integration und Wartung“ und (3) die Hersteller moderner Automationstechniken. Die verschiedenen Rollen verfolgen einen risikobasierten Ansatz zur Vermeidung und Behandlung von Sicherheitsrisiken bzw. Vorfällen bei ihren Tätigkeiten.
Industrial Control Systems Security (ICSS)
Die ISO 27000-Familie befasst sich mit der „Sicherheit in der Informationstechnologie“, die Spiegel Normenreihe für die Sicherheit im industriellen Umfeld ist dabei die IEC 62443 für die Operational Technology, kurz OT. Diese Norm befasst sich mit der Sicherheit von „Industrial Control Systems“ (ICS)“. Die IEC 62443 ermöglicht dadurch eine Zertifizierung für Produkte und Dienstleistungen im Bereich der Automationstechnik.
Top 10 Bedrohungen
Systeme zur Fertigungs- und Prozessautomatisierung – zusammengefasst unter dem Begriff „Industrial Control Systems“ (ICS) – werden in nahezu allen Infrastrukturen durch Cyber-Kriminelle bedroht. Die Top 10 der „Industrial Control System Security“ (ICSS) publiziert vom BSI, dem Bundesamt für Informationssicherheit beschreibt hierbei die größten Bedrohungen und Gegenmaßnahmen. Ein wichtiger Hinweis für die Prüfung der OT-Sicherheit und dem Aufbau von Gegenmaßnahmen.
Bescheid zur qualifizierten Prüfstelle
Per Bescheid wurde ZTP.digital als qualifizierte Prüfstelle zur Überprüfung von Sicherheitsvorkehrungen von Betreibern wesentlicher Dienste anerkannt. Grundlage hierfür sind § 18 Abs. 1 des Bundesgesetzes zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (NIS-G) sowie § 9 Abs. 2 der Verordnung des Bundesministers für Inneres (QuaSteV), die die Anforderungen und Kriterien für qualifizierte Stellen regelt.
Gemäß § 3 Abs. 1 und 2 QuaSteV erfüllt ZTP.digital sämtliche Voraussetzungen und ist berechtigt, in organisatorischer und technischer Hinsicht alle in § 11.1 Abs. 1 i.V.m. Anlage 1 der NIS-Verordnung beschriebenen Sicherheitsmaßnahmen zu überprüfen. Diese umfassen die Einhaltung höchster Standards für Netz- und Informationssicherheit in den entsprechenden Sektoren und Bereichen.