Separat steuerbare Produktionslinien können den Schaden bei Angriffen lokal begrenzen
1 2019 | moproweb.de 35
sind Bitcoins. Die Beträge liegen oftmals
im niedrigen zweistelligen Tausendeurobereich,
so dass die Zahlungsbereitschaft
noch gegeben ist.
Viele Fragen und Herausforderungen, die
auch der Gesetzgeber erkannt hat. Um die
Grundversorgung an Lebensmitteln der Bevölkerung
z. B. vor IT-Versagen lahmgelegter
Produktionsketten zu schützen, müssen
seit Mai 2018 zunächst große Lebensmittelbetriebe
einen besonderen Schutz der
IT-Sicherheit nachweisen. Am 3. Mai 2018
endete die im IT-Sicherheitsgesetz1 vorgesehene
Übergangsfrist für die Betreiber
sogenannter Kritischen Infrastrukturen
(KRITIS)2 im Sektor Ernährung. Lebensmittelproduktion,
-verarbeitung, -distribution
und -handel – hat das Bundesamt für Sicherheit
in der Informationstechnik (BSI)
als kritische Infrastruktur definiert.
Die Nachweispflicht der KRITIS-Verordnung
gilt zunächst für Unternehmen ab
einer bestimmten Größe. Indikation ist die
Versorgung von ca. 500.000 Verbrauchern
durch die Produkte eines Betriebes. Für
den Ernährungssektor hat der Gesetzgeber
konkret einen Schwellenwert von 434
500 Tonnen Lebensmittel oder 350 Millionen
Liter Getränke Output pro Betrieb
festgelegt – ganz gleich ob diese produziert,
be- oder verarbeitet, gelagert oder
gehandelt werden. Da bekanntlich Milch
und Milchprodukte zu den Schwergewichten
in der Lebensmittelproduktion zählen,
gehören Betriebe der Molkereiwirtschaft
(neben der Getränke- und Fleischbranche)
zu den ersten betroffenen Unternehmen
im produzierenden Ernährungssektor.
Molkereien, die diese Schwellenwerte überschreiten,
sind verpflichtet, angemessene,
dem Stand der Technik entsprechende, organisatorische
und technische Maßnahmen
zu treffen, um Störungen zu vermeiden.
Entsprechende Nachweise gemäß § 8a BSIG
(Vgl. Abb. 1) müssen alle zwei Jahre dem
Bundesamt für Sicherheit in der Informationstechnik
vorgelegt werden.
Die verpflichtende Nachweisführung können
neben zugelassenen Wirtschaftsprüfern
oder Internen Revisoren akkreditierte
und zugelassene Zertifizierungsgesellschaften
wie TÜV SÜD, in Form eines etwa 10-tägigen
Audits pro Anlagenkategorie (Produktion,
Verarbeitung, Lagerung, Distribution,
Handel)3 übernehmen. Der externe Nachweis
bestätigt die Anwendung des Standes
der Technik im Hinblick auf die IT-Sicherheit.
Hilfestellungen: Das BSI sieht die Leit-
Norm ISO 270014 als hilfreichen Leitfaden
für betroffene Unternehmen in diesem
Zusammenhang an. Ebenso bietet das vom
BSI veröffentlichte IT Grundschutzkompendium5
2018 Orientierung.
Darüber hinaus können, um die Nachweisführung
zu vereinfachen, Unternehmen
einer Branche gemeinsam einen branchenspezifischen
Sicherheitsstandard (B3S)6
erarbeiten und vom BSI als Stand der Tech-
(Foto: TÜV SÜD)
1 Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI) (2015, 24. Juli): Gesetz zur Erhöhung der Sicherheit informationstechnischer
Systeme (IT-Sicherheitsgesetz). In: Bundesgesetzblatt, Jg. 2015, Teil I, Nr. 31. Online im Internet: https://www.bgbl.de/xaver/bgbl/start.
xav?startbk=Bundesanzeiger_BGBl&start=//*%255B@attr_id=%27bgbl115s1324.pdf%27%255D Stand 13.06.2018 S. 1324 bis 1331.
2 Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI) (2016,2. Mai): Verordnung zur Bestimmung Kritischer Infrastrukturen nach
dem BSI-Gesetz (BSI-Kritisverordnung – BSI KritisV). In: Bundesgesetzblatt, Jg. 2016, Teil I, Nr. 20 Online im Internet: https://www.bgbl.de/xaver/
bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl116s0958.pdf#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl116s0958.
pdf%27%5D__1528885456349 Stand 13.06.2018 S. 958 bis 969.
3 Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI) (2016,2. Mai): Verordnung zur Bestimmung Kritischer Infrastrukturen nach
dem BSI-Gesetz (BSI-Kritisverordnung – BSI KritisV). In: Bundesgesetzblatt, Jg. 2016, Teil I, Nr. 20 Online im Internet: https://www.bgbl.de/xaver/
bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl116s0958.pdf#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl116s0958.
pdf%27%5D__1528885456349 Stand 13.06.2018 S. 966
4 Vgl. TÜV SÜD Management Service GmbH: ISO 2700. Online im Internet: https://www.tuev-sued.de/management-systeme/it-dienstleistungen/
iso-27001 Stand 13.06.2018 o. S.
5 Bundesamt für Sicherheit in der Informationstechnik (BSI) (o.D.): IT-Grundschutz-Kompendium – Edition 2018. Online im Internet: https://www.bsi.
bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/itgrundschutzKompendium_node.html Stand 13.06.2018, o. S.
6 Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI): Übersicht über Branchenspezifische Sicher-heitsstandards (B3S): Online im Internet:
https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/KRITIS/IT-SiG/Was_tun/Stand_der_Technik/B3S_BAKs/B3S_BAKs_node.html Stand
13.06.2018 o. S.