Umsetzung der KRITIS-Verordnung

Wir leben in einer vernetzten Welt und die Digitalisierung nimmt mit hoher Geschwindigkeit zu. Die moderne Welt ist ohne Computer, Datenautobahnen und Netzwerke nicht mehr vorstellbar. Wir kommunizieren, steuern und regeln unzählige Prozesse über alle Grenzen hinweg. Riesige Datenmengen werden innerhalb von kürzester Zeit rund um den Globus verschickt. Die Ablage von Dateien erfolgt schon längst nicht mehr nur auf lokalen, kapazitätsbegrenzten Rechnern, sondern in riesigen Rechenzentren, die über Cloud-Dienste verbunden und für jeden mit entsprechender Zugangsberechtigung erreichbar sind.

Die Nutzungsmöglichkeiten sind offenbar unbegrenzt und eröffnen ständig neue Anwendungsmöglichkeiten. Alles ist „smart“, bis weit in den privaten Bereich hinein. Das Smartphone oder das Tablet sind zur Steuerzentrale im Hosentaschenformat geworden. Die Heizung und das Licht zuhause lassen sich damit genauso leicht aus dem Urlaubsort regeln, wie etwa eine Industrieanlage.

Doch wer die Daten hat, der hat auch die Macht und so steigen mit zunehmender Digitalisierung auch die Möglichkeiten für Cyber-Angreifer Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich anderweitig auf Kosten Dritter kriminell zu bereichern. Welche Ausmaße diese Entwicklung inzwischen haben kann, zeigten jüngst Vorfälle im Zusammenhang mit der Schadsoftware WannaCry.

Mehr denn je steht inzwischen die IT-Sicherheit im Vordergrund. Seit Juli 2015 existiert in Deutschland hierzu das IT-Sicherheitsgesetz. Dieses schafft die rechtlichen Grundlagen für die Zusammenarbeit von Staat und Unternehmen für mehr Cyber-Sicherheit mit besonderem Fokus auf die Kritischen Infrastrukturen (KRITIS) aus den Bereichen Gesundheit, Energie, Finanz- und Versicherungswesen, Ernährung und Wasser, Informationstechnik und Telekommunikation, Transport und Verkehr, Logistik, Medien und Kultur. Allerdings setzte das IT-Sicherheitsgesetz bei der Umsetzung mehr auf die freiwillige Bereitschaft von Unternehmen.

Mit der Einführung der KRITIS-Verordnung 2016 hat der Gesetzgeber klare Kriterien definiert, ab wann Unternehmen verpflichtet sind, Mindeststandards bei der Umsetzung der IT-Sicherheit einzuhalten und entsprechende Meldepflichten geschaffen. Hierüber wird sichergestellt, dass sich Schlüsselunternehmen, die mit ihren Waren und Dienstleistungen einen wesentlichen Anteil an der Versorgung der Bevölkerung haben, gegen Hacker-Angriffe mit entsprechenden organisatorischen und technischen Maßnahmen rüsten.

ED legt schon immer großen Wert auf IT-Sicherheit und so ist es nur selbstverständlich, dass wir intensiv daran arbeiten, den gesetzlichen Anforderungen für unser Tanklager gerecht zu werden und uns weiter zu verbessern.

In einem ersten Schritt wurde bereits im November 2016 eine sogenannte Kontaktstelle zum BSI (Bundesamt für Sicherheit in der Informationstechnik) eingerichtet. Hierüber sind wir rund um die Uhr mit dem BSI verbunden und können so Informationen zur IT-Sicherheit austauschen. Aktuelle, dem BSI bekanntwerdende Hackerangriffe und Systemschwachpunkte, werden vom BSI mit entsprechenden Handlungsempfehlungen gemeldet und umgehend von den IT-Spezialisten unseres eigenen Rechenzentrums geprüft und bearbeitet.

Im März 2017 konnte sich der BSI selbst ein Bild von unserem Unternehmen und unserem Tanklager machen. Herr Benjamin Lambrecht, verantwortlich beim BSI für den Bereich Energie und Herr Apel (IT-Spezialist beim BSI) folgten unserer Einladung und diskutierten mit uns offen die Umsetzung der KRITIS-Verordnung. Für die Herren war dies gleichermaßen interessant, weil ihnen dadurch der Blick in einen betroffen Betrieb und in die Schwierigkeiten der Gesetzesumsetzung für kleinere Unternehmen gewährt wurde.

Bis Anfang nächsten Jahres haben wir uns zum Ziel gesetzt, mit Unterstützung von zwei Fachfirmen ein IT-Sicherheitsmanagementsystem (ISMS) zu implementieren, welches die IT-Sicherheit und damit auch die Verfügbarkeit unseres Tanklagers weiter verbessern wird. Hierbei werden alle wesentlichen IT-Prozesse im Tanklager analysiert und einer Risikobewertung unterzogen, um gegebenenfalls Schwachstellen aufzudecken und entsprechende Sicherungsmaßnahmen umzusetzen.

Das System soll gewährleisten, dass wir in einem kontinuierlichen Verbesserungsprozess einen hohen Sicherheitsstandard erreichen und zukünftig weiterführen. Gleichzeitig gilt es den besonderen Anforderungen des BSI zu entsprechen. Aus diesem Grund wird ein vom BSI zugelassener Prüfer unser System auditieren und freigeben.