„Wir zählen doch gar nicht zu den KRITIS-Betreibern“, denken viele kleinere Unternehmen in unterschiedlichen Branchen. Das ist richtig, aber: Falls sie KRITIS-Betreiber zu ihren Auftraggebern zählen, müssen sie die von ihnen vorgegebenen Anforderungen umsetzen und sie sogar an ihre Subunternehmer weitergeben.
Das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“, kurz: IT-Sicherheitsgesetz (IT-SIG), zielt darauf ab, die IT-Sicherheit insbesondere bei den Betreibern sogenannter Kritischer Infrastrukturen zu verbessern. Dort sollen Störungen an den IT-Systemen vermieden werden, die entscheidend dafür sind, dass dem Gemeinwesen wichtige Ressourcen und Dienstleistungen zur Verfügung stehen. Zu diesen „kritischen Infrastrukturen“ zählen die Bereiche Energie, ITK, Wasser, Ernährung, Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr.
Welche Einrichtungen genau und ab welcher Größenordnung sie als „kritisch“ eingestuft werden, regeln Rechtsverordnungen. Im Sommer 2017 ist die Verordnung über den sogenannten zweiten Korb der KRITIS-Betreiber – Finanz- und Versicherungswesens, Gesundheitsbereich und Transport und Verkehr – in Kraft getreten, im Sommer 2019 ist die Anpassungsfrist für diese Unternehmen abgelaufen. Sie müssen, wie die KRITIS-Betreiber des ersten Korbes, gegenüber dem BSI Vorgaben erfüllen, die wir hier vorgestellt haben.
Dienstleister als Sicherheitsrisiko
Nun arbeiten KRITIS-Betreiber nicht im luftleeren Raum, sondern sind, wie andere Unternehmen auch, auf vielfältige Weise mit Partnern, Dienstleistern, Subunternehmen verbunden und digital vernetzt. So sind beispielsweise Supermärkte oder Apotheken in der Regel zu klein, um zu den KRITIS-Betreibern zu zählen. Aber sie werden mit Lebensmitteln und Medikamenten aus Zentrallagern versorgt, die möglicherweise KRITIS-Größe erreichen. Zudem kommen, in unterschiedlicher Größe, Hersteller ins Spiel sowie für die Auslieferung weitere Dienstleister wie Transportunternehmen.
Wenn beim lokalen Transportdienstleister die IT ausfällt mit der Folge, dass Lieferungen nicht zusammengestellt und Touren nicht geplant werden können, lässt sich das wahrscheinlich in vertretbarer Zeit kompensieren. Allerdings kann hinter IT-Problemen beim Dienstleister eine gezielte Cyberattacke stecken, die darauf abzielt, in die Systeme des KRITIS-relevanten Auftraggebers einzudringen und ihn bzw. die von ihm betriebene Infrastruktur zu schädigen. Für Angreifer ist es ein probates Vorgehen, den Weg in ein Großunternehmen oder einen KRITIS-Betreiber über ihre kleineren Dienstleister zu nehmen, da deren IT häufig weniger gut abgesichert ist.
Umsetzungspflicht für KMU
Mit fortschreitender Umsetzung der KRITIS-Anforderungen in ihrem Unternehmen werden sich die Betreiber der Risiken, die von ihren Auftragnehmern ausgehen, deutlicher bewusst. Sie fordern von ihnen ebenfalls die Umsetzung der Vorgaben, denn IT-Sicherheit beim KRITIS-Betreiber kann nur dann gewährleistet werden, wenn die mit ihm verbundenen Firmen mitziehen. Folglich gilt die Umsetzung von Schutz auf KRITIS-Level auch für die Auftragnehmer von KRITIS-Unternehmen sowie für die Subunternehmer der Dienstleister.
Dabei liegt es in der Verantwortung des jeweiligen Auftraggebers, also des KRITIS-Betreibers gegenüber dem Auftragnehmer und des Auftragnehmers gegenüber seinem Subunternehmer, die Anforderungen festzulegen beziehungsweise in dem mit dem Auftraggeber vereinbarten Umfang weiterzugeben. Für die Umsetzung der Anforderungen in seinem Betrieb ist der Auftragnehmer verantwortlich, ebenso für die Überwachung der Umsetzung beim Subunternehmer. Praktikable Angaben zur Zusammenarbeit zwischen Auftraggeber und Auftragnehmer und was dabei die wichtigsten Sicherheitsanforderungen sind, enthalten die Best-Practise-Empfehlungen für die Dienstleister von KRITIS-Unternehmen des UP KRITIS, der Kooperation zwischen KRITIS-Betreibern und staatlichen Stellen zum Schutz Kritischer Infrastrukturen.