Meldepflicht für KRITIS

Datenschutz Grundverordnung Icon

Meldepflicht für KRITIS

Meldepflicht

Die Meldepflicht gegenüber den BSI umfasst erhebliche IT-Störungen des als KRITIS definierten Anlagenbetreibers. Ist nach einer IT-Störung ein Ausfall oder eine Beeinträchtigung unmöglich, oder handelt es sich lediglich um eine gewöhnliche IT-Störung, so ist keine Meldung an das BSI vorgeschrieben. Tritt jedoch ein Ausfall oder eine Beeinträchtigung ein oder handelt es sich um eine außergewöhnliche IT-Störung, so muss das BSI davon in Kenntnis gesetzt werden.

Ein Ausfall der Anlagenbetreiber ist dadurch charakterisiert, dass Strom nicht mehr in ausreichender Menge erzeugt wird. Eine Beeinträchtigung von Kraftwerken liegt beispielsweise dann vor, wenn die Leistung mindestens um 210 MW reduziert ist oder reduziert sein könnte.

Ein Ausfall der Funktionsfähigkeit im Sektor Wasser bedeutet, dass eine Kläranlage das Abwasser nicht mehr in vorgeschriebener Qualität aufbereitet. Eine Beeinträchtigung liegt dann vor, wenn die Anlage durch den Vorfall in einem Grad beeinträchtigt ist, der 250.000 Einwohnerwerten entspricht. Dauert die Beeinträchtigung mehrere Tage an, so sind die Tageswerte zu addieren.

Meldepflichtig oder nicht?

IT-Störungen können als außergewöhnlich bezeichnet werden, wenn sie beispielsweise nicht bereits automatisiert mithilfe der als „Stand der Technik“ beschriebenen Maßnahmen abgewehrt wurden, sondern nur mit erheblichem bzw. deutlich erhöhtem Ressourcenaufwand (z. B. erhöhtem Koordinierungsaufwand, Hinzuziehen zusätzlicher Experten, Nutzung einer besonderen Aufbauorganisation, Einberufung eines Krisenstabs). Beispiele für außergewöhnliche IT-Störungen sind:

  • Neue, bisher nicht veröffentlichte Sicherheitslücke oder unbekannte Schadprogramme
  • Neue Angriffswege oder gezielte Ausnutzung von Sicherheitslücken, zu denen es noch keinen Patch gibt
  • Erfolgreiches Überwinden einer Sicherungsmaßnahme (z. B. explizite Separierungs­technologie, Kapselungs- / Sandboxing-Technologie, etc.)
  • Außergewöhnliche (D)DoS-Angriffe, die zunächst nicht mit den vorhandenen Mitigations­maßnahmen abgewehrt werden können
  • Erfolgte, versuchte oder erfolgreich abgewehrte gezielte IT-Angriffe (Advanced Persistent Threats (APT))
  • Außergewöhnliche und unerwartete technische Defekte mit IT-Bezug (zum Beispiel nach Softwareupdates oder ein Ausfall der Serverkühlung)
  • Spear-Phishing (Merkmale sind bspw. spezifische Themen auf den Empfänger zugeschnitten, persönliche Anrede)

Beispiele für außergewöhnliche IT-Störungen aus dem Umfeld der Prozesssteuerungssysteme sind:

  • Sicherheitslücken auf speicherprogrammierbaren Steuerungen (SPS), inkl. in Webservern und sonstiger Dienste
  • Ausnutzung von Fehlern in SCADA-/ SPS-Protokollen oder allgemein unsicheren Protokollen
  • Fehlfunktion nach Firmwareaktualisierung

Gewöhnliche IT-Störungen, wie ein Hardwareausfall oder Spam- bzw. Phishing-Mails sind hingegen solche, die mit den nach „Stand der Technik“ umgesetzten (technischen und/oder organisatorischen) Maßnahmen abgewehrt wurden und ohne nennenswerte Probleme oder ohne erhöhten Ressourcenaufwand bewältigt wurden.

Meldeverfahren

Für die Erstmeldung an das BSI nach Eintreten einer zu meldenden Störung gilt grundsätzlich Schnelligkeit vor Vollständigkeit. Die Meldung muss unverzüglich nach Erkennung der IT-Störung erfolgen, das bedeutet ohne schuldhaftes Zögern. Alle Erkenntnisse, die zum Zeitpunkt der Meldung vorliegen, müssen an das BSI gemeldet werden. Können im Rahmen dieser unverzüglichen Meldung noch nicht alle erforderlichen Angaben zur IT-Störung gemacht werden, ist die Meldung als Erstmeldung zu kennzeichnen.

Sobald fehlende Informationen bekannt sind, ist eine Folgemeldung und letztendlich eine Abschlussmeldung vorzulegen. Im Zweifelsfall ist die Meldung nachrangig gegenüber der Eindämmung der akuten Folgen der IT-Störung.

Eine Abschlussmeldung kann nach vollständiger Umsetzung aller Maßnahmen zur Vorfallsbearbeitung erfolgen. Mit der Abschlussmeldung hat der Betreiber seine Meldepflicht zu dieser IT-Störung gegenüber dem BSI vollständig erfüllt, sofern sich das BSI nicht binnen fünf Arbeitstagen anderweitig gegenüber dem Betreiber äußert (z. B. durch weitere Nachfragen zum Vorfall).

Wie wir Sie unterstützen können

  • Implementierung eines Security Monitoring
  • Technische Absicherung zur Vermeidung von meldepflichtigen Vorfällen
  • CSIRT – Incident Response
    • Unterstützung bei der Behebung von Störungen
    • Ermittlung der Störursachen, Handlungsempfehlungen

Ihr Ansprechpartner

Ihr Ansprechpartner

Manfred Peine

Senior Account Manager
Tel. 02173 20363-0
Mail info-at-admeritia.de

Referenzprojekte

  • Mandat Ansprechpartner für IT-Sicherheit
    • Diverse Netzbetreiber Strom/Gas
  • Aufbau Security Monitoring
    • Großer Energieversorger
  • Incident Response Einsätze
    • Branchenübergreifende Kunden

weitere Referenzen...

Gremienarbeit

  • AG "WI-5.4 Cyber-Sicherheit"
    • DWA
  • ISO IEC JTC1 SC27 (WG3 und WG4)
    • ISO
  • Spiegelgremium NA 043-01-27
    • DIN

sonstige Gremien...

Vorträge

  • Der Nutzen eines Sicherheitstests für die Prozessleittechnik
    • Westermo Solution Days - Roadshow
    • Feb 2016
  • Durchgängiges Sicherheitsmanagement mit Hilfe von zentralen Diensten
    • IT-Sicherheitsanforderung für die Energiewirtschaft
    • Mai 2014
  • Technische Tests für ICS-Anlagen
    • 14. Deutscher IT-Sicherheits-Kongress
    • Mai 2015

weitere Vorträge...

Publikationen

  • Durchgängiges Sicherheitsmanagement mit Hilfe von zentralen Diensten
    • SPS IPC Drives Kongress
    • Nov 2012
  • Gefährdungslage und Sicherheit von Pumpenstationen im Tagebaubetrieb
    • a+s
    • Feb 2012
  • Informationssicherheit für Energieautomatisierungssysteme
    • EW
    • Sep 2009

weitere Publikationen...