Das Bun­des­amt für wirt­schaft­li­che Lan­des­ver­sor­gung (BWL) hat einen recht­lich nicht direkt ver­bind­li­chen Mini­mal­stan­dard zur Ver­bes­se­rung der “IKT-Resi­li­enz” ver­öf­fent­licht. Er beruht auf exi­stie­ren­den Stan­dards (s. unten), geht inhalt­lich aber weni­ger weit und ver­steht sich als “Emp­feh­lung und mög­li­che Richt­schnur” zur Ver­bes­se­rung der IKT-Resi­li­enz. Er rich­tet sich beson­ders an Betrei­ber kri­ti­scher Infra­struk­tu­ren1, ist aber grund­sätz­lich für jedes Unter­neh­men oder jede Orga­ni­sa­ti­on anwend­bar und frei ver­füg­bar.

Die Mini­mal­stan­dards umfas­sen drei Tei­le:

  1. Grund­la­gen: Nach­schla­ge­werk mit Hin­ter­grund­in­for­ma­tio­nen zur IKT-Sicher­heit;
  2. Frame­wort: Es beschreibt Umset­zungs­mass­nah­men orga­ni­sa­to­ri­scher und tech­ni­scher Natur, geglie­dert nach den fünf The­men­be­rei­chen «Iden­ti­fi­zie­ren», «Schüt­zen», «Detek­tie­ren», «Reagie­ren» und «Wie­der­her­stel­len».
  3. Self-Assess­ment und Bewer­tungs-Tool (Excel): Damit lässt sich der Umset­zungs­stand der Mass­nah­men beur­tei­len.

Ergän­zend fin­den sek­to­ri­el­le Emp­feh­lun­gen Anwen­dung (s. unten).

Grundlagen

Der Mini­mal­stan­dard beruht auf dem NIST Cyber­se­cu­ri­ty Frame­work Core. Das NIST Cyber­se­cu­ri­ty Frame­work ist ein vom ame­ri­ka­ni­schen Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy ver­öf­fent­lich­tes Regel­werk (Stand: V1.1, 16.4.18) mit Emp­feh­lungs­cha­rak­ter, das Stan­dards, Richt­li­ni­en und Pra­xis­emp­feh­lun­gen für den Umgang mit Cyber­se­cu­ri­ty-Risi­ken umfasst. Es ist anders (als bspw. die ISO-Stan­dards) kosten­los ver­füg­bar und besteht aus drei Haupt­be­stand­tei­len:

  1. Der “Frame­work Core” beschreibt Mass­nah­men, die – wie die Mini­mal­stan­dards des BWL – in fünf “Func­tions” geglie­dert sind2.
  2. Die “Imple­men­ta­ti­on Tiers” beschrei­ben ver­schie­de­ne Stu­fen des Umgangs mit Cyber­se­cu­ri­ty-Risi­ken.
  3. Das “Frame­work Pro­fi­le” beschreibt, wie ein Unter­neh­men mit Cyber­se­cu­ri­ty-Risi­ken kon­kret umgeht und wel­che Schrit­te es dies­be­züg­lich in Zukunft unter­neh­men will.

Die Mini­mal­stan­dards des BWL berück­sich­ti­gen dane­ben wei­te­re Stan­dards:

Den­noch ver­steht sich der Mini­mal­stan­dard des BWL

[…] expli­zit nicht als Kon­kur­renz zu exi­stie­ren­den inter­na­tio­na­len Stan­dards, son­dern ist mit die­sen kom­pa­ti­bel, bei gleich­zei­tig redu­zier­tem Umfang. Er soll einen ein­fa­che­ren Ein­stieg in die The­ma­tik ermög­li­chen und trotz­dem ein hohes Schutz­ni­veau gewähr­lei­sten.

Sektorspezifische Standards

Das BWL erar­bei­tet ergän­zen­de sek­tor­spe­zi­fi­sche Stan­dards, die etwas detail­lier­ter sind, aber recht­lich eben­falls nicht direkt ver­bind­lich. Bis­her lie­gen Stan­dards für die Sek­to­ren Strom­ver­sor­gung und Lebens­mit­tel­ver­sor­gung vor; für wei­te­re Sek­to­ren sei­en Stan­dards in Arbeit.3

Fussnoten

  1. Vgl. dazu die Liste betref­fen­der Sek­to­ren auf der Grund­la­ge der Natio­na­len Stra­te­gie zum Schutz kri­ti­scher Infra­struk­tu­ren 2018 – 2022
  2. D.h. in fünf Pha­sen ent­lang eines Cyber­se­cu­ri­ty-Vor­falls: “iden­fi­fy”, “pro­tect”, “detect”, “respond” und “reco­ver”. Sie sind rela­tiv all­ge­mein gehal­ten und bean­spru­chen Gel­tung für alle kri­ti­schen Infra­struk­tu­ren
  3. Laut NZZ ist damit zu rech­nen, dass bis Ende 2018 auch für die Trink­was­ser­ver­sor­gung, die Erd­gas- und Erd­öl­ver­sor­gung sowie die Lebens­mit­tel­ver­sor­gung Mini­mal­stan­dards fest­ge­legt wer­den.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.