Die Verwendung des branchenspezifischen Sicherheitsstandards (B3S) als Prüfgrundlage für Betreiber Kritischer Infrastrukturen (KRITIS) war lange Zeit ein gemeinsamer Konsens zwischen Betreibern, Prüfern und dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Allerdings wurden in jüngerer Zeit Veränderungen bezüglich des B3S und seiner Rolle in der Prüfung von KRITIS festgestellt.
Früheres Verständnis des B3S
Das BSI und andere Akteure waren sich einst einig, dass ein gültiger B3S als Prüfbasis ausreicht, um den Anforderungen des § 8a (2) des Bundesgesetzes über die Informationssicherheit (BSIG) gerecht zu werden. Wurde die Eignung des B3S vom BSI bestätigt, war dies meist ausreichend für die Durchführung einer Prüfung.
Änderungen
Neuere Entwicklungen lassen jedoch vermuten, dass der Konsens über die Rolle des B3S als Prüfgrundlage von Seiten des BSI aufgekündigt wurde. KRITIS-Betreiber, die in den letzten Monaten Nachweise eingereicht haben, erhielten Mitteilungen, in denen darauf hingewiesen wurde, dass der B3S nicht mehr als Prüfgrundlage dient, sondern nur als Basis für deren Erstellung verwendet werden kann.
Eine nähere Betrachtung der Änderungen in den verschiedenen Versionen der Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG liefert weitere Einblicke in diese Entwicklung. In der Version 0.9.02 wurde der B3S noch als Prüfgrundlage bezeichnet.
2017
5.1.1 Prüfgrundlage bei Umsetzung eines B3S nach § 8a (2) BSIG
Wenn ein branchenspezifischer Sicherheitsstandard (B3S) mit Eignungsfeststellung des BSI für den jeweiligen Geltungsbereich vorliegt und dieser vom Betreiber bei der Umsetzung von Maßnahmen angewendet wurde, sollte dieser als Prüfgrundlage herangezogen werden. [...]
Quelle: Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, Version 0.9.02 vom 30.06.2017
In den darauf folgenden Versionen 1.0 bis 1.2, wird der B3S nur noch als Referenzdokument zur Erstellung des Prüfplans bzw. der Prüfgrundlage genannt. Seine Rolle hat sich somit geändert.
2019
5.1.1 Prüfung bei Umsetzung eines B3S nach § 8a Absatz 2 BSIG
Wenn ein branchenspezifischer Sicherheitsstandard (B3S) mit Eignungsfeststellung des BSI für den jeweiligen Geltungsbereich vorliegt und dieser vom KRITIS-Betreiber bei der Umsetzung von Maßnahmen angewendet wurde, kann dieser als Referenzdokument zur Erstellung des Prüfplans herangezogen werden. [...]
Quelle: Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, Version 1.0 vom 15.05.2019
2020
5.1.1 Prüfung bei Anwendung eines B3S nach § 8a Absatz 2 BSIG
Wenn ein branchenspezifischer Sicherheitsstandard (B3S)13 mit aktueller Eignungsfeststellung des BSI für den jeweiligen Geltungsbereich vorliegt und dieser vom KRITIS-Betreiber bei der Umsetzung von Maßnahmen angewendet wurde, kann dieser als Referenzdokument zur Erstellung des Prüfplans herangezogen werden. [...]
Quelle: Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, Version 1.1 vom 21.08.2020
2023
5.1.1 Prüfung unter Verwendung eines geeigneten branchenspezifischen Sicherheitsstandards (B3S) nach § 8a Absatz 2 BSIG zur Erstellung der Prüfgrundlage
Wenn ein branchenspezifischer Sicherheitsstandard (B3S) mit aktueller Eignungsfeststellung des BSI für den jeweiligen Geltungsbereich vorliegt und dieser vom KRITIS-Betreiber bei der Umsetzung von Maßnahmen angewendet wurde, kann dieser als Referenzdokument zur Erstellung der Prüfgrundlage herangezogen werden. [...]
Quelle: Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG, Version 1.2 vom 12.05.2023
Auch mit einem Blick auf das Nachweisdokument PD bzw. P, kann die Entwicklung nachvollzogen werden. Bis zum Stand 10.07.2020 konnte ein B3S als Prüfgrundlage angegeben werden. Ab Stand 21.10.2022 ist bereits erkennbar, dass der B3S nur noch zu Erstellung der Prüfgrundlage dient. Mit dem Stand 05.07.2023 wird darüber hinaus erwartet, dass die Prüfstelle eine Erläuterung zur Prüfgrundlage vorlegt, die zeigt, wie und aus welchen Elementen die Prüfgrundlage zusammengesetzt ist. Dazu gehört die Identifizierung der Normen, B3S und anderen Regelwerken, die als Grundlage verwendet wurden, sowie eine Darstellung, wie branchenspezifische Themen abgedeckt wurden und ob es Punkte gibt, die speziell beim geprüften Betreiber zu berücksichtigen sind. Die Prüfgrundlage sollte deutlich machen, dass sie den aktuellen Stand der Technik für die zu prüfende kritische Infrastruktur sinnvoll und vollständig abdeckt.
2018
Quelle: BSI-Blatt PD, Version 1.1, Stand: 16.01.2018
2019
Quelle: BSI-Blatt PD, Version 1.16 Stand: 15.05.2019
2020
Quelle: Nachweisdokument P, Version 1.0 Stand: 10.07.2020
2022
Quelle: Nachweisdokument P, Version 2.0 Stand: 21.10.2022
2023
Quelle: Nachweisdokument P, Stand: 05.07.2023
Im aktuellen FAQ zu Nachweisen gemäß § 8a Absatz 3 BSIG, wird diese Evolution nochmals vom BSI verdeutlicht:
Stellt ein B3S eine geeignete Prüfgrundlage im Rahmen von Prüfungen gemäß § 8a Absatz 3 BSIG dar?
Nein. Ein B3S ist keine Prüfgrundlage. Ein B3S, dessen Eignung festgestellt wurde, kann jedoch dazu dienen, eine entsprechende Prüfgrundlage zu erstellen.
B3S dienen nicht der Festlegung der Prüfmethodik oder von Prüfhandlungen. Es ist nicht der Zweck eines B3S, Prüfern als Prüfgrundlage für Nachweise gemäß § 8a Absatz 3 BSIG zu dienen.
Die Auswahl und Verwendung einer geeigneten Prüfgrundlage für Prüfungen im Rahmen des § 8a Absatz 3 BSIG liegt in der Verantwortung der Prüfer. Bei der Erstellung einer geeigneten Prüfgrundlage können die aktuellen B3S nützlich sein, da sie den Stand der Technik in der Branche widerspiegeln.
Quelle: BSI - FAQ zu Nachweisen gemäß § 8a Absatz 3 BSIG (bund.de) Linkdatum: 14.07.2023
Auswirkungen
Wie bereits erwähnt ist eine unmittelbare Folge dessen, dass die Betreiber, die in den letzten Monaten Nachweise eingereicht haben, Mitteilungen vom BSI erhalten, in denen darauf hingewiesen wird, dass der B3S nicht mehr als Prüfgrundlage dient, sondern nur als Basis für deren Erstellung verwendet werden kann. Ferner bekommen die Betreiber kurze Fristen zur Nachreichung vom BSI gesetzt.
Auch scheint eine Erwartungshaltung beim BSI vorhanden zu sein, dass neben der ISO 27001 auch der IT-Grundschutz bei der Erstellung der Prüfgrundlage herangezogen wird. Wie sich diese Erwartungshaltung im Einzelfall äußert, wird sich mittelfristig zeigen.
Wichtig ist zu erwähnen, dass die Konsequenzen für Betreiber, die keinen vollständigen Nachweis im Sinne des § 8a Absatz 3 BSIG erbringen, erheblich sind. Gemäß § 14 des BSIG kann eine solche Ordnungswidrigkeit mit einer Geldbuße von bis zu einer Million Euro geahndet werden:
„§ 14 Bußgeldvorschriften (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig […]
3. entgegen § 8a Absatz 3 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 einen Nachweis nicht oder nicht rechtzeitig erbringt, […]
(5) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 2 Nummer 1 Buchstabe a mit einer Geldbuße bis zu zwei Millionen Euro sowie in den Fällen der Absätze 1, 2 Nummer 2 und 3 mit einer Geldbuße bis zu einer Million Euro geahndet werden.“
Quelle: § 14 BSIG - Einzelnorm (gesetze-im-internet.de) Linkdatum: 14.07.2023
Fazit
Zusammenfassend lässt sich sagen, dass die Rolle des B3S als Prüfgrundlage für KRITIS-Betreiber sich in einer Phase der Transformation befindet. Hierbei wird klar, dass B3S, ISO 27001 und der IT-Grundschutz künftig in Kombination eine noch stärkere Rolle bei der Erstellung der Prüfgrundlagen spielen sollten.
Dies stellt eine erhebliche Herausforderung dar, die für Betreiber und die gesamte Branche bedeutende Auswirkungen hat. Es wird zunehmend offensichtlich, dass die Informationssicherheit und die Einhaltung von Standards eine kontinuierliche Anstrengung erfordern und nicht einfach ein einmaliges Projekt sind. Dies bedeutet, dass KRITIS-Betreiber sich auf einen ständigen Prozess der Verbesserung und Anpassung einstellen sollten, bei dem B3S, ISO 27001 und IT-Grundschutz als Leitfäden und Benchmarks dienen. In dieser sich schnell verändernden Landschaft ist es entscheidend, dass Betreiber in engem Kontakt und Austausch mit dem BSI und anderen relevanten Organisationen stehen. Sie müssen sich über die neuesten Entwicklungen und Erwartungen auf dem Laufenden halten, um sicherzustellen, dass sie auf dem neuesten Stand der Technik sind und den gesetzlichen Anforderungen entsprechen.
Es bleibt abzuwarten, wie sich diese Situation weiterentwickelt, aber eines ist klar: Die Ära, in der der B3S als alleinige Prüfgrundlage angesehen wurde, ist vorbei. Stattdessen betritt man eine neue Phase, in der eine Kombination aus B3S, ISO 27001 und IT-Grundschutz den Weg zur umfassenden und robusten Informationssicherheit weisen wird.