KRITIS: Compliance schaffen mit der Sealed Platform

Was ist das eigentlich: der „Stand der Technik“? An dieser Frage kommen gerade KRITIS-Betreiber nicht vorbei. Denn wer hierzulande „Kritische Infrastrukturen“ betreibt, ist nach dem BSI-Gesetz und dem IT-Sicherheitsgesetz dazu verpflichtet, seine IT-Systeme und -Komponenten angemessen zu schützen. „Kritische Infrastrukturen“, das sind Anlagen oder Systeme mit wesentlicher Bedeutung für das staatliche Gemeinwesen – dazu zählen beispielsweise Energieversorger, aber auch Banken, Kliniken und manche IT- und Telekommunikationsanbieter. Wer als KRITIS-Betreiber gilt, ist in der KRITIS-Verordnung geregelt.

Betroffene Unternehmen müssen entsprechende „technische und organisatorische Maßnahmen“ treffen (BSI-Gesetz § 8a). Dabei soll, so fordert es der Gesetzgeber, „der Stand der Technik“ eingehalten werden.

Genau definiert ist dieser „Stand der Technik“ allerdings nirgends. Das macht es KRITIS-Betreibern nicht gerade leichter, ihren gesetzlichen Verpflichtungen nachzukommen.

„Stand der Technik“ – ein dynamischer Begriff

Dabei hat sich der Gesetzgeber bei dem Begriff durchaus etwas gedacht. Die Formulierung „Stand der Technik“ ist deshalb gewählt, weil sich die Technik in der IT-Sicherheit beständig weiterentwickelt. Dem müssen selbstverständlich auch die KRITIS-Betreiber kontinuierlich Rechnung tragen.

Aber wann ist denn nun beispielsweise ein Dienst oder eine Cloud-Infrastruktur auf dem „Stand der Technik“? Anders als beispielsweise im Patentrecht ist der ‚Stand der Technik‘ in der IT-Sicherheit bzw. im Datenschutz nicht mit dem fortschrittlichsten ‚Stand der Wissenschaft und Technik‘ identisch, aber fortschrittlicher zu bewerten als die so genannten ‚Anerkannten Regeln der Technik‘. Eine IT-Infrastruktur muss also, um auch den gesetzlichen Anforderungen zu genügen, nicht nur den allgemein anerkannten Sicherheitsregeln entsprechen. Stattdessen muss sie mindestens dasselbe Sicherheitsniveau einhalten wie fortschrittliche Verfahren, die in der Praxis bereits erfolgreich erprobt und von führenden Fachleuten anerkannt sind.

Betreibersicherheit setzt den Stand der Technik

Betreibersichere Infrastrukturen wie Sealed Platform, aber auch die Versiegelte Cloud der Telekom und ucloud von regio iT, erfüllen diese Ansprüche für die KRITIS-Betreiber: Durch einen Satz rein technischer Maßnahmen sind hier sowohl Anwendungen als auch Daten zuverlässig gegen Angriffe von außen und innen geschützt. Auch der Betreiber der Infrastruktur und Administratoren sind vom Zugriff auf gespeicherte, übertragene oder verarbeitete Daten ausgeschlossen.

Betreibersichere Cloud-Lösungen bieten ein Sicherheitsniveau, das höher als das vergleichbarer Cloud-Plattform-Produkte am Markt ist. Betreibersichere Infrastrukturen sind seit mehreren Jahren im gewerblichen Umfeld im Einsatz – unter anderem in Kliniken, Kanzleien und Banken. Darüber hinaus sind sie von führenden Fachleuten anerkannt sowie zertifiziert und bilden mittlerweile die Basis für digitale Geschäftsmodelle, die ohne dieses einzigartige hohe Sicherheitsniveau nicht denkbar wären.

Infografik: Eine Plattform für KRITIS-Betreiber

In der folgenden Infografik zeigen wir Ihnen, wie die Sealed Platform KRITIS-Betreiber bei der Erfüllung ihrer gesetzlichen Pflichten unterstützt:

Die Sealed Platform erfüllt nachweislich die im BSIG § 8a geforderten Branchenspezifischen Sicherheitsstandards (B3S). Gleiches gilt für die internationalen Datenschutznormen ISO 27001, 27002, 27007 und 27018 sowie die EU-Datenschutzgrundverordnung (DSGVO); letzteres lässt sich durch ein passendes Zertifikat (TCDP/Auditor) nachweisen.

Darüber hinaus entspricht die Sealed Platform auch den Anforderungen aus dem Cloud Computing Compliance Controls Catalogue (C5) und dem Energiewirtschaftsgesetz (EnWG). Die Erfüllung von B3S und EnWG kann bei Bedarf ebenfalls mit geeigneten Zertifikaten nachgewiesen werden.

Den gesetzlich geforderten Pflichten zur Umsetzung der IT-Sicherheit nach dem Stand der Technik kommen KRITIS-Betreiber mit der Sealed Platform automatisch nach, da sie den Stand der Technik im Bereich Cloud Computing setzt. Die aus dem IT-Sicherheitsgesetz hervorgehende Meldepflicht von IT-Sicherheitsvorfällen lässt sich über eine Schnittstelle automatisieren. Ein zusätzlicher Nachweis zum Schutz der Kritischen Infrastrukturen kann mit zweijährig stattfindenden Audits erbracht werden.

 

Ihre App auf der Sealed Platform – jetzt kostenlosen POC anfordern!

Heben Sie Ihre IT-Sicherheit mit der Sealed Cloud Technologie auf ein neues Level! Testen Sie jetzt, ob Ihre Geschäftsanwendung sich für den Betrieb als Software as a Service auf der Sealed Platform eignet – fordern Sie hier Ihren kostenlosen Proof of Concept an!

Sie haben Fragen oder möchten uns Ihr Feedback mitteilen? Schreiben Sie uns an: support@idgard.de.

 

Leser dieses Artikels interessieren sich auch für folgende Inhalte:

e-freedom: Wie funktioniert rechtskonforme Videoüberwachung?

Privacyblog: Setzt Privacy by Design endlich um

Privacyblog: So macht die Sealed Platform Anwendungen sicher

 

Sie möchten stets auf dem Laufenden bleiben?

Dann melden Sie sich jetzt zum Verteiler an und erhalten Sie monatlich unseren exklusiven Newsletter – mit Bedientipps und den neusten Infos rund um die Themen Datenschutz, Datensicherheit und IT-Sicherheit.