NET 12/2024

18 www.net-im-web.de 12/24 Für die IT-Sicherheit sind die in Bild 2 aufgeführten Basiselemente wichtig. Die Zuständigkeiten des BSI ImRahmen der IT-Sicherheit (Cybersicher- heit) hat das BSI eine Schlüsselfunktion. Ihre Zuständigkeiten sind im BSIG festge- legt und umfassen unter anderem folgende Möglichkeiten: • Das BSI ist die zentrale Meldestelle für die IT-Sicherheit Kritischer Infra- struktur (KRITIS). • Das BSI ist die nationale Zertifizie- rungsstelle der Bundesverwaltung für IT-Sicherheit. Zertifikate werden er- teilt, wenn die informationstechni- schen Komponenten, Produkte oder Schutzprofile den vomBSI festgelegten Kriterien entsprechen. • Das BSI ist die nationale Behörde für die Cybersicherheitszertifizierung im Sinne der europäischen Verordnung (EU) 2019/881. • Das BSI kann Sicherheitsmaßnahmen und den Einsatz bestimmter Sicher- heitsprodukte empfehlen. • Das BSI kann Warnhinweise zu si- cherheitsrelevanten Eigenschaften von IT-Produkten herausgeben. • Das BSI darf alle relevanten Informa- tionen für die Abwehr von Angriffen auf die IT-Sicherheit sammeln und bewerten. Danach erfolgt die Weiter- leitung an die Betreiber von KRITIS. • Das BSI kann bei Betreibern von KRI- TIS die Behebung festgestellterMängel bei der IT-Sicherheit anordnen. • Das BSI kann Produkte und Systeme auf IT-Sicherheit untersuchen (lassen). • Das BSI kann Schnittstellen öffentlich erreichbarer IT-Systeme auf Sicher- heitsrisiken prüfen. • Das BSI darf bei Störungen der IT- Sicherheit im Bedarfsfall Hersteller entsprechender IT-Produkte oder IT- Systeme zur Mitwirkung verpflichten. • Vorgaben für die Betreiber vonKRITIS • Das BSIG weist auch folgende ver- bindliche Vorgaben für Betreiber von KRITIS auf: • Betreiber von KRITIS müssen Stö- rungen der Verfügbarkeit, Integrität, Authentizität undVertraulichkeit infor- mationstechnischer Systeme, Kompo- nenten oder Prozesse dem BSI unver- züglich melden, die zum Ausfall oder einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen KRITIS führen können. • Betreiber von KRITIS müssen die Ein- haltung der IT-Sicherheit nach dem Stand der Technik regelmäßig dem BSI nachweisen. • Betreiber von KRITIS müssen Resi- lienz-Maßnahmen ergreifen, die auch technische, sicherheitsbezogene und organisatorische Aspekte umfassen, um Sicherheitsrisiken zu bewältigen und Ausfälle möglichst zu vermeiden. Die geforderte Resilienz [lat. resilire] ist die Fähigkeit technischer Systeme, bei internen oder von außen einwirkenden Störungen oder bei Teil-Ausfällen nicht vollständig zu versagen, sondern wesentliche Leistungs- merkmale aufrechtzuerhalten. Es handelt sich dabei quasi um die „Abhärtung“ des Systems. Es gibt vielfältige Methoden zur Schaffung von Resilienz. Ein relevanter Lösungsansatz ist zum Beispiel der Einsatz von Redundanz. Dabei werden in einem System zusätzlich vergleichbare Ressour- cen vorgehalten, auf die im Störungsfall automatisch oder manuell umgeschaltet werden kann, um die Funktionsfähigkeit des Systems sicherzustellen. Dazu zählt auch die Stromversorgung. Es kann in einem System auch der Betrieb über einen Zusammenschluss voneinander unabhängiger Computer er- folgen, die in einem Störungsfall flexibel reagieren können. FürKRITIS sind auchdieBereiche Personal, Organisation, Betrieb und Sicher- heit vonWichtigkeit. So muss als Personal immer eine ausreichende Anzahl mit vor- gegebener Qualifikation zur Verfügung stehen. Durch regelmäßige Fortbildung ist allerdings sicherzustellen, dass diese auf dem aktuellen Stand gehalten wird. Die Organisation von KRITIS muss hinsichtlich Aufgabenstellungen, Zuständigkeiten und Meldewegen klar strukturiert sein. Für den Betrieb sind des- halb alle Umfeldkriterien durch geeignete Maßnahmen zu berücksichtigen. Außerdem bedarf es bei jedem System regelmäßiger Wartungsarbeiten. Zur Sicherheit gehören alle Maß- nahmen, den Zugang von KRITIS betrof- fener Gelände/Gebäude/Räume ausschließ- lich Berechtigten zu ermöglichen. KRITIS in der elektronischen Welt Bild 2: Die regelmäßige Aktualisierung der Software, sichere Passwörter zum Schutz gegen den Zugriff auf Daten durch Unbefugte sowie neben dem Passwort ein zweiter Authentifizierungs-Schritt sind Grundlagen für mehr Sicherheit (Grafiken: BSI)