Das Bundesamt für wirtschaftliche Landesversorgung (BWL) hat einen rechtlich nicht direkt verbindlichen Minimalstandard zur Verbesserung der “IKT-Resilienz” veröffentlicht. Er beruht auf existierenden Standards (s. unten), geht inhaltlich aber weniger weit und versteht sich als “Empfehlung und mögliche Richtschnur” zur Verbesserung der IKT-Resilienz. Er richtet sich besonders an Betreiber kritischer Infrastrukturen[note]Vgl. dazu die Liste betreffender Sektoren auf der Grundlage der Nationalen Strategie zum Schutz kritischer Infrastrukturen 2018 – 2022[/note], ist aber grundsätzlich für jedes Unternehmen oder jede Organisation anwendbar und frei verfügbar.
Die Minimalstandards umfassen drei Teile:
- Grundlagen: Nachschlagewerk mit Hintergrundinformationen zur IKT-Sicherheit;
- Framewort: Es beschreibt Umsetzungsmassnahmen organisatorischer und technischer Natur, gegliedert nach den fünf Themenbereichen «Identifizieren», «Schützen», «Detektieren», «Reagieren» und «Wiederherstellen».
- Self-Assessment und Bewertungs-Tool (Excel): Damit lässt sich der Umsetzungsstand der Massnahmen beurteilen.
Ergänzend finden sektorielle Empfehlungen Anwendung (s. unten).
Grundlagen
Der Minimalstandard beruht auf dem NIST Cybersecurity Framework Core. Das NIST Cybersecurity Framework ist ein vom amerikanischen National Institute of Standards and Technology veröffentlichtes Regelwerk (Stand: V1.1, 16.4.18) mit Empfehlungscharakter, das Standards, Richtlinien und Praxisempfehlungen für den Umgang mit Cybersecurity-Risiken umfasst. Es ist anders (als bspw. die ISO-Standards) kostenlos verfügbar und besteht aus drei Hauptbestandteilen:
- Der “Framework Core” beschreibt Massnahmen, die – wie die Minimalstandards des BWL – in fünf “Functions” gegliedert sind[note]D.h. in fünf Phasen entlang eines Cybersecurity-Vorfalls: “idenfify”, “protect”, “detect”, “respond” und “recover”. Sie sind relativ allgemein gehalten und beanspruchen Geltung für alle kritischen Infrastrukturen[/note].
- Die “Implementation Tiers” beschreiben verschiedene Stufen des Umgangs mit Cybersecurity-Risiken.
- Das “Framework Profile” beschreibt, wie ein Unternehmen mit Cybersecurity-Risiken konkret umgeht und welche Schritte es diesbezüglich in Zukunft unternehmen will.
Die Minimalstandards des BWL berücksichtigen daneben weitere Standards:
- den NIST Guide to Industrial Control Systems (ICS) Security;
- die Standards der ISO-2700x-Reihe;
- die COBIT (ursprünglich “Control Objectives for Information and Related Technology”);
- den ENISA Good Practice Guide on National Cyber Security Strategies;
- den “IT-Grundschutz-Vorgehensweise” des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI).
Dennoch versteht sich der Minimalstandard des BWL
[…] explizit nicht als Konkurrenz zu existierenden internationalen Standards, sondern ist mit diesen kompatibel, bei gleichzeitig reduziertem Umfang. Er soll einen einfacheren Einstieg in die Thematik ermöglichen und trotzdem ein hohes Schutzniveau gewährleisten.
Sektorspezifische Standards
Das BWL erarbeitet ergänzende sektorspezifische Standards, die etwas detaillierter sind, aber rechtlich ebenfalls nicht direkt verbindlich. Bisher liegen Standards für die Sektoren Stromversorgung und Lebensmittelversorgung vor; für weitere Sektoren seien Standards in Arbeit.[note]Laut NZZ ist damit zu rechnen, dass bis Ende 2018 auch für die Trinkwasserversorgung, die Erdgas- und Erdölversorgung sowie die Lebensmittelversorgung Minimalstandards festgelegt werden.[/note]