Symbolbild für KRITIS-Audit mit vernetzten Icons und einem Menschen, der ein Icon drückt.
Titelbild für den Artikel über KRITIS-Audits

Wie wir Ihr Unternehmen auf ein KRITIS-Audit vorbereiten

Laut IT-Sicherheitsgesetz sind KRITIS-Audits für Betreiber von Kritischen Infrastrukturen vorgeschrieben. Alle zwei Jahre. Das ist auch nachvollziehbar, wenn ein Gesetz von IT-Sicherheit „nach Stand der Technik“ spricht. Denn zwei Jahre sind bei heutiger Entwicklungsgeschwindigkeit der Technologie im Bereich Cyber-Security eine lange Zeit. Unternehmen befinden sich in einem ständigen Wettrüsten mit Cyber-Kriminellen auf der ganzen Welt. KRITIS-Audits gewährleisten, dass Sie die Anforderungen aus dem IT-Sicherheitsgesetz erfüllen. Damit erfüllen wir nicht nur die Vorgaben einer Bundesbehörde, sondern sichern auch Ihr Unternehmen gegen Schaden an der IT - von innen wie von außen.

Der Gesetzgeber lässt Freiräume, was die Form der Prüfung angeht

Die gesetzliche Pflicht, alle zwei Jahre ein KRITIS-Audit durchzuführen, steht im BSI-Gesetz §8a (3). Das Audit soll den Nachweis erbringen,  dass die IT-Sicherheit dem Stand der Technik entspricht. Das Ergebnis des Audits ist eine Mängelliste, die das Delta zum Prüfmaßstab beschreibt. Diese Prüfung darf grundsätzlich jeder Wirtschaftsprüfer durchführen, auch andere Prüfer sind unter Umständen dazu berechtigt. Sie stutzen? Zu Recht, denn nicht jeder Wirtschaftsprüfer hat das fachliche Know-how, die IT-Sicherheit eines Betriebs zu prüfen oder die IT-Infrastruktur eines Betriebs zu bewerten. Der Gesetzgeber überlässt es aber den Betreibern der Kritischen Infrastruktur, geeignete Prüfstellen zu finden. Wir führen das KRITIS-Audit in Zusammenarbeit mit der FIDES Treuhand GmbH & Co. KG Wirtschaftsprüfungsgesellschaft durch.

In 7 Schritten zum KRITIS-Audit

1. Wie ist der Status Quo im Unternehmen? Wir machen eine erste Bestandsaufnahme Ihrer IT-Infrastruktur
Die erste Bestandsaufnahme besteht aus einem Quick-Check zum Stand der Schutz-Maßnahmen Ihrer IT. Da ist es meistens noch nicht nötig, dass wir Ihren Betrieb genau begehen und detailliert vor Ort prüfen. Stattdessen geben Sie uns in dieser Phase Ihre vorhandene Dokumentation über die IT. Dann lesen wir uns erst mal ein, machen uns ein Bild von der Gesamtsituation. Für die weitere Beratung müssen wir Ihren Betrieb inklusive der relevanten Prozesse kennen. Wir verschaffen uns einen Überblick über das, was uns im späteren KRITIS-Audit erwartet.

2. Ist der ganze Betrieb Kritische Infrastruktur oder nur ein Teil? Wir bestimmen den Geltungsbereich des KRITIS-Audits
IT-Infrastrukturen, die nicht wichtig für die Produktion der Kritischen Dienstleistung sind, gehören nicht zum Geltungsbereich. Für ein Audit müssen wir also wissen, welche Teile der IT wichtig für die Kritische Dienstleistung sind. Hier gibt es erhebliche Unterschiede. Viele Logistiker haben hochgradig integrierte IT-Systeme, die in jedem Bereich des täglichen Geschäfts wichtig sind. Bei anderen Unternehmen ist die IT-Infrastruktur der einzelnen Betriebe oder Abteilungen segmentierter. Es gibt isolierte IT-Netzwerke, die nur die Produktion steuern. Oder das Lager hat ein eigenes Netzwerk. Die Office-Bereiche sind dann möglicherweise davon abgekapselt und haben ein eigenes IT-Netzwerk. Dann wäre der Geltungsbereich deutlich kleiner - wenn der Betrieb auch ohne den Office-Bereich weiterarbeiten könnte.

3. Auf welcher Prüfgrundlage findet das KRITIS-Audit statt? Wir bestimmen damit den Maßstab, den wir anlegen
Wenn wir den Geltungsbereich kennen, müssen wir gemeinsam festlegen, was unsere Prüfgrundlage ist. Gibt es einen Branchenstandard (B3S), können Betreiber der jeweiligen Branche sich auf dieser Grundlage auditieren lassen. Alternativen zum Branchenstandard wären beispielsweise die ISO 27001, der IDW-Prüfungshinweis IDW PH 9.860.2 oder die BSI-Grundschutzkataloge.

4. Wo sind Schwachstellen in der IT-Sicherheit? Wir machen ein detailliertes KRITIS-Audit
Das KRITIS-Audit gilt sowohl für die digitale Infrastruktur als auch ganz analog für alle sicherheitskritischen Bereiche im ganzen Betrieb, die Ihre IT betreffen:

A. Empfangsbereiche und Besucherzentren: Hat ein Eindringling irgendwo Zugang zu Netzwerkports oder Routern?

B. Der Zustand der Server und Serverräume: Kritische Infrastrukturen müssen Redundanzen vorweisen. Die IT-Infrastruktur darf nicht von einem einzigen alten Server abhängen. Der Server und die Serverräume müssen gesichert sein, sowohl gegen Feuer als auch gegen unbefugten Zutritt.

C. IT-Resilienz des Unternehmens: Was passiert, wenn die IT zusammenbricht? Wie schnell kann der Betrieb die Geschäfte wieder aufnehmen, was sind die maximalen Datenverluste? Back-up, Disaster Recovery und Notfallkonzepte sind hier Thema.

D. IT-Sicherheitsmanagementsystem (ISMS): Im Grunde laufen alle möglichen Prüfgrundlagen auf eine Gemeinsamkeit hinaus: Es wird bei jedem Unternehmen ein ISMS erwartet. Übrigens auch abseits der Kritischen Infrastruktur, denn nur durch ein ISMS kann ein Unternehmen gängige Vorschriften zum Datenschutz einhalten.
 

Auch ob Ihr Unternehmen sich an bereits bestehende Sicherheitsrichtlinien hält, ist Teil dieser Analyse.

5. Was sind die wichtigsten und größten Lücken? Wir stufen die Risiken ein und priorisieren die gefundenen Herausforderungen
Bewusst tolerierte Risiken sind für das BSI bei Kritischer Infrastruktur nicht akzeptabel. Hier schränkt der Gesetzgeber also in gewissem Maße die unternehmerische Freiheit ein - denn KRITIS-Betreiber dürfen nicht das Risiko einer ungesicherten IT eingehen.

Deswegen ist es wichtig, dem BSI klarzumachen: Wir kennen die Herausforderungen und arbeiten dran. Eine Priorisierung ist ein unverzichtbarer Teil des Audits, damit Sie die wichtigsten Sicherheitslücken so schnell wie möglich schließen und zweitrangige Risiken aufschieben können.

Bei einem KRITIS-Audit gibt es kein „bestanden“ oder „nicht bestanden“. Es gibt als Ergebnis immer einen Maßnahmenkatalog, anhand dessen Unternehmen und BSI sehen, was zu tun ist. Er enthält alle Punkte, in denen die IT-Sicherheit eines Unternehmens noch nicht der Prüfgrundlage, also etwa einem Branchenstandard, entspricht, sowie eine Bewertung durch den Wirtschaftsprüfer, wie schwerwiegend diese Abweichungen sind. 

Der Betreiber sollte dann schriftlich dem BSI erklären, wie und wann es diese Maßnahmen umsetzen will.

Hier gibt es Parallelen zur DSGVO: Das BSI erwartet keineswegs, dass Unternehmen die Anforderungen perfekt erfüllen. Es erwartet aber die grundsätzliche Bereitschaft, etwas zu unternehmen.

6. Geht die Umsetzung der Maßnahmen voran? Wir bereiten Sie auf die Iteration des KRITIS-Audits vor
Vor dem Audit ist nach dem Audit, wenn es um Kritische Infrastruktur geht. Deswegen ist die Zeit zwischen zwei Audit-Ergebnissen gewissermaßen auch Teil der Audits. Bis zum nächsten Audit coachen wir Sie in projektbegleitenden Prüfungen.

7. Wiederholungsprüfung
Im Sinne eines iterativen Prüfungsplanes kontrollieren wir bei der Wiederholungsprüfung nach zwei Jahren bestimmte Dinge intensiver und prüfen beispielsweise die Wirksamkeit von festgelegten organisatorischen Maßnahmen.

Sie benötigen für Ihr Unternehmen nur einzelne der hier aufgezählten Schritte? Auch das machen wir gerne. Kontaktieren Sie uns hier.
 

Fazit

Die 7 Schritte eines KRITIS-Audits für Kritische Infrastrukturen sind:

  1. Geltungsbereich der Prüfung festlegen
  2. Prüfgrundlage bestimmen
  3. Erste Bestandsaufnahme der IT-Sicherheit
  4. Detaillierte Aufbauprüfung 
  5. Risikoeinstufung und Priorisierung der gefundenen Herausforderungen
  6. Maßnahmenkatalog
  7. Vorbereitung auf die Iteration