mi | Technik/IT
Quelle: Bundesamt für Sicherheit in der Informationstechnik: Nachweisdokumente und Einreichungsblätter
für Betreiber Kritischer Infrastrukturen. Online im Internet: https://www.bsi.bund.de/DE/Themen/
Industrie_KRITIS/KRITIS/IT-SiG/Was_tun/Nachweise/Orientierungshilfe/Nachweisdokumente/Nachweisdokumente_
node.html Stand 113.06.2018 o. S.
nik bestätigen lassen (kein Muss, individuelle
Lösungen werden auch akzeptiert). KRITIS
Unternehmen des entsprechenden Sektors
müssen dann nur noch diesen Standard umsetzen
und von oben genannten zugelassenen
Prüfern/Prüforganisationen bestätigen
lassen. Im Sektor Ernährung sind zwei
branchenspezifischen Sicherheitsstandard
(B3S) erarbeitet worden:
• zum einen ein B3S für den Lebensmittelhandel,
eingereicht vom EHI Retail Institute
e. V. und
• zum anderen ein B3S für Lebensmittelhersteller,
der federführend von einem
Arbeitskreis des BVE entwickelt wurde.
TÜV SÜD hat bereits diverse Audits zur
Nachweisführung nach §8a BSIG durchgeführt.
Die Herausforderungen im Ernährungssektor
sind:
36 1 2019 | moproweb.de
• Risikomanagement: Welche Bereiche
sind relevant? Wie habe ich diese in meinem
Risikomanagement im Hinblick auf einen
IT Ausfall ermittelt? Mit welchen Maßnahmen
erreiche ich meine Schutzziele?
• Business Continuity Management: Die
Abläufe für das Business Continuity Management
müssen festgelegt werden. Wie
kann ich den Betrieb bei einer Störung bzw.
einer Krise aufrechterhalten?
• Notfallmanagementprozesse müssen
etabliert werden: Z. B. muss eine Notfallsteuerung
von einem geografisch entfernt
gelegenen Ort (mindestens 500 m Entfernung)
stattfinden können, wenn beispielsweise
die Steuerungszentrale auf dem
eigentlichen Betriebsgelände durch Feuer
lahmgelegt wurde. Es müssen Notfallübungen
regelmäßig durchgespielt werden.
• Wie ist es um die Datensicherheit bestellt?
Welche Wege der Datenübertragung
werden genutzt?
• Wie sind die Daten-Zugänge bei Service-
und Wartungsinspektionen gesichert?
Inwieweit kann ich eine alternative Datenzuführung
vorhalten?
• Wie sieht mein Plan B für die Anlagensteuerung
aus? Habe ich ausreihend
Redundanzen innerhalb der Anlagen
implementiert? Auf welche alternative
Stromversorgung kann ich zugreifen?
• Welche Schnittstellen habe ich? Wie sind
diese vor externen Übergriffen geschützt?
Wie kann ich den Betrieb auf ein Mindestmaß
sensibler Schnittstellen reduzieren?
• Wie sind meine Mitarbeiter in diesem
Thema sensibilisiert und geschult?
Positiv wirken sich systemisch, separat
steuerbare Produktionslinien aus, um den
Schaden bei Angriffen lokal begrenzen zu
können. Ebenso können Molkereibetriebe
Lösungen für bereits umgesetzte Anforderungen,
z. B. aus den Food Defense Kapitel
der branchenüblichen Lebensmittelsicherheits
Standards IFS, BRC oder FSSC
22000 in ihr Informationssicherheitsmanagementsystem
einbinden.
Die Digitalisierung wird sich nicht aufhalten
lassen. IT-Lösungen erleichtern im
fortschreitenden Maße Produktion und
Management in der Molkereiwirtschaft.
Um diese Vorteile auch zukünftig sicher
zu nutzen, bedarf es Schutzvorkehrungen.
So wie das HACCP Konzept die Produktion
sicherer Lebensmittel begleitet, werden
systematisierte Verfahren zur Aufrechterhaltung
der IT-Funktionalität den Betriebsalltag
untermauern. Die Verpflichtung
nach § 8a BSIG zur Nachweisführung der
IT-Sicherheit im Hinblick auf die kontinuierliche
Anwendung des Stands der Technik
ist daher Herausforderung und Chance zu
gleich. Erste Audits haben gezeigt, dass
die IT-Sicherheit für die betroffenen Unternehmen
kein Hexenwerk ist und kontinuierlich
optimiert wird.
Abb. 1: Nachweisdokumente und Einreichungsblätter
für Betreiber Kritischer Infrastrukturen