KRITIS

KRITIS: Compliance schaffen mit der Sealed Platform

Was ist das eigentlich: der „Stand der Technik“? An dieser Frage kommen gerade KRITIS-Betreiber nicht vorbei. Denn wer hierzulande „Kritische Infrastrukturen“ betreibt, ist nach dem BSI-Gesetz und dem IT-Sicherheitsgesetz dazu verpflichtet, seine IT-Systeme und -Komponenten angemessen zu schützen. „Kritische Infrastrukturen“, das sind Anlagen oder Systeme mit wesentlicher Bedeutung für das staatliche Gemeinwesen – dazu zählen beispielsweise Energieversorger, aber auch Banken, Kliniken und manche IT- und Telekommunikationsanbieter. Wer als KRITIS-Betreiber gilt, ist in der KRITIS-Verordnung geregelt.

Betroffene Unternehmen müssen entsprechende „technische und organisatorische Maßnahmen“ treffen (BSI-Gesetz § 8a). Dabei soll, so fordert es der Gesetzgeber, der „Stand der Technik“ eingehalten werden.

Genau definiert ist dieser „Stand der Technik“ allerdings nirgends. Das macht es KRITIS-Betreibern nicht gerade leichter, ihren gesetzlichen Verpflichtungen nachzukommen.

„Stand der Technik“ – ein dynamischer Begriff

Dabei hat sich der Gesetzgeber bei dem Begriff durchaus etwas gedacht. Die Formulierung „Stand der Technik“ ist deshalb gewählt, weil sich die Technik in der IT-Sicherheit beständig weiterentwickelt. Dem müssen selbstverständlich auch die KRITIS-Betreiber kontinuierlich Rechnung tragen.

Aber wann ist denn nun beispielsweise ein Dienst oder eine Cloud-Infrastruktur auf dem „Stand der Technik“? Anders als beispielsweise im Patentrecht ist der ‚Stand der Technik‘ in der IT-Sicherheit bzw. im Datenschutz nicht mit dem fortschrittlichsten ‚Stand der Wissenschaft und Technik‘ identisch, aber fortschrittlicher zu bewerten als die so genannten ‚Anerkannten Regeln der Technik‘. Eine IT-Infrastruktur muss also, um auch den gesetzlichen Anforderungen zu genügen, nicht nur den allgemein anerkannten Sicherheitsregeln entsprechen. Stattdessen muss sie mindestens dasselbe Sicherheitsniveau einhalten wie fortschrittliche Verfahren, die in der Praxis bereits erfolgreich erprobt und von führenden Fachleuten anerkannt sind.

Betreibersicherheit setzt den Stand der Technik

Betreibersichere Infrastrukturen wie uniscons Sealed Cloud oder ucloud von regio iT erfüllen diese Ansprüche für die KRITIS-Betreiber: Durch einen Satz rein technischer Maßnahmen sind hier sowohl Anwendungen als auch Daten zuverlässig gegen Angriffe von außen und innen geschützt. Auch der Betreiber der Infrastruktur und Administratoren sind vom Zugriff auf gespeicherte, übertragene oder verarbeitete Daten ausgeschlossen.

Betreibersichere Cloud-Lösungen bieten ein Sicherheitsniveau, das höher als das vergleichbarer Cloud-Plattform-Produkte am Markt ist. Betreibersichere Infrastrukturen sind seit mehreren Jahren im gewerblichen Umfeld im Einsatz – unter anderem in Kliniken, Kanzleien und Banken. Darüber hinaus sind sie von führenden Fachleuten anerkannt sowie zertifiziert. Sie bilden mittlerweile die Basis für digitale Geschäftsmodelle, die ohne dieses einzigartige hohe Sicherheitsniveau nicht denkbar wären.

Infografik: Eine Plattform für KRITIS-Betreiber

In der folgenden Infografik zeigen wir Ihnen, wie die Sealed Platform KRITIS-Betreiber bei der Erfüllung ihrer gesetzlichen Pflichten unterstützt:

Die Sealed Platform erfüllt nachweislich die im BSIG § 8a geforderten Branchenspezifischen Sicherheitsstandards (B3S). Gleiches gilt für die internationalen Datenschutznormen ISO 27001, 27002, 27007 und 27018 sowie die EU-Datenschutzgrundverordnung (DSGVO); letzteres lässt sich durch ein passendes Zertifikat (TCDP/Auditor) nachweisen.

Darüber hinaus entspricht die Sealed Platform auch den Anforderungen aus dem Cloud Computing Compliance Controls Catalogue (C5) und dem Energiewirtschaftsgesetz (EnWG). Die Erfüllung von B3S und EnWG kann bei Bedarf ebenfalls mit geeigneten Zertifikaten nachgewiesen werden.

Den gesetzlich geforderten Pflichten zur Umsetzung der IT-Sicherheit nach dem Stand der Technik kommen KRITIS-Betreiber mit der Sealed Platform automatisch nach, da sie den Stand der Technik im Bereich Cloud Computing setzt. Die aus dem IT-Sicherheitsgesetz hervorgehende Meldepflicht von IT-Sicherheitsvorfällen lässt sich über eine Schnittstelle automatisieren. Ein zusätzlicher Nachweis zum Schutz der Kritischen Infrastrukturen kann mit zweijährig stattfindenden Audits erbracht werden.

5 Datenschutz-Maßnahmen
DSGVO-Hilfe: 5 Datenschutz-Maßnahmen für Unternehmen Die Digitalisierung hat Hackern und anderen Cyberkriminellen zahlreiche neue Einfallstore geöffnet. Wir stellen Ihnen fünf essentielle Datenschutz-Maßnahmen für Unternehmen vor. Weiterlesen »
Zwei Jahre DSGVO
Zwei Jahre DSGVO – und wie steht es um den Datenschutz? Die DSGVO feiert ihr zweijähriges Bestehen. Wir werfen einen Blick zurück – und auf den Datenschutz in Krisenzeiten. Weiterlesen »
Checkliste für Cloud Dienst Integration
CIO: Quickcheck für Cloud-Dienst Diese 7 Punkte genügen, um eine Vorauswahl der am besten geeigneten Dienste für Ihr Unternehmen zu finden: Der Security Cloud Dienst Guide für CIOs und andere Entscheider. Weiterlesen »
Wir halten Sie sicher auf dem Laufenden.