BSI: Erster Branchenstandard (B3S) für IT-Sicherheit anerkannt

Das BSI hat mit dem Branchenstandard IT-Sicherheit Wasser/Abwasser den ersten branchenspezifischen Sicherheitsstandard (B3S) anerkannt. Damit steht den Unternehmen ein Instrument zur Verfügung, um ihre IT-Infrastruktur gesetzeskonform zu schützen.

Betreiber kritischer Infrastrukturen aus dem Sektor Wasser, die den Anforderungen des IT-Sicherheitsgesetzes unterliegen, müssen ihre Informationstechnologie nach dem Stand der Technik absichern. Dafür steht ihnen jetzt als Hilfsmittel der branchenspezifische Sicherheitsstandard (B3S) Wasser/Abwasser zur Verfügung.

Auf die tatsächlichen Anforderungen zugeschnitten

Der B3S Wasser/Abwasser enthält folgende Inhalte:

  • Rahmenanforderungen, die auf die tatsächlichen Gegebenheiten im Kritis-Sektor Wasser zugeschnitten sind
  • Vorgehensweise zur Risikoanalyse
  • Sammlung von Sicherheitsmaßnahmen, um den identifizierten Risiken zu begegnen

Im B3S Wasser/Abwasser ist unter anderem ein Gesamtpaket von rund 140 Maßnahmen aus dem IT-Grundschutz des BSI enthalten. „Der branchenspezifische Sicherheitsstandard Wasser/Abwasser ist die Grundlage für mehr Cyber-Sicherheit in diesem für Staat, Wirtschaft und Gesellschaft lebenswichtigen Versorgungsbereich“, betont BSI-Präsident Arne Schönbohm.

Der Branchenstandard besteht aus dem Merkblatt DVGW W1060 beziehungsweise DWA M1060 „IT-Sicherheit – Branchenstandard Wasser/Abwasser“ und einer Web-Applikation, dem IT-Sicherheitsleitfaden. Damit können die Unternehmen ermitteln, welche Sicherheitsmaßnahmen einzuführen sind, um ihre IT-Infrastruktur gemäß dem Stand der Technik zu schützen. Dabei wurde der Branchenstandard so konzipiert, dass er einerseits die Grundlage vorgibt, damit die betroffenen Unternehmen die Anforderungen des BSI-Gesetzes erfüllen können, und andererseits kleinen und mittleren Unternehmen eine einfache Möglichkeit bietet, die sicherheitstechnischen Schwachstellen ihrer IT-Infrastruktur zu identifizieren und geeignete Schutzmaßnahmen gegen Hacker-Aktivitäten zu ergreifen.

Zudem wird zurzeit an dem Nachweisverfahren für den Branchenstandard gearbeitet, mit dem die Unternehmen dem BSI gegenüber belegen können, dass die einfeführten Schutzmaßnahmen den gesetzlichen Anforderungen gemäß § 8a (1) BSI-Gesetz entsprechen.

Initiative des UP Kritis

Der B3S Wasser/Abwasser wurde vom Branchenarbeitskreis Wasser/Abwasser des UP Kritis, der öffentlich-privaten Kooperation zwischen Betreibern kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen, initiiert und in einem hierfür gegründeten Arbeitskreis aus Repräsentanten der regelsetzenden Verbände erstellt. Für die Wasserbranche ist dies der Deutsche Verein des Gas- und Wasserfaches (DVGW), für die Abwasserbranche die Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall (DWA).

Nach Fertigstellung des B3S wurde dessen Eignung vom BSI in Zusammenarbeit mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und den zuständigen Aufsichtsbehörden festgestellt. Damit können die Verbände DVGW und DWA den Standard nun ihren Mitgliedsunternehmen zur Verfügung stellen.

Instrument für eine gesetzeskonforme IT-Infrastruktur

„Die Erstellung des Branchenstandards IT-Sicherheit Wasser/Abwasser ist ein großer Schritt nach vorne“, betont Prof. Dr. Gerald Linke, Vorstandsvorsitzender des DVGW. „Denn Unternehmen der Branche bekommen damit ein hilfreiches Instrument an die Hand, um ihre IT-Infrastruktur gesetzeskonform zu schützen.“ Otto Schaaf, Präsident der DWA ergänzt: „Dass eine technische Regel von einer Behörde vor Veröffentlichung anerkannt werden muss, war für die regelsetzenden Verbände ein Novum. Umso wichtiger war die enge Einbindung der beiden Bundesbehörden BSI und BBK bei der Erarbeitung des Branchenstandards.“

Der branchenspezifische Sicherheitsstandard (B3S) Wasser/Abwaser ist der erste vom BSI anerkannte Sicherheitsstandard für einen Kritis-Sektor. Zurzeit sind vier weitere B3S in der Erstellung beziehungsweise in der Vorabeignungsprüfung, und zwar für die Sektoren

  • Datacenter & Hosting
  • Branchenstandard Informations- und Kommunikationstechnik
  • Lebensmittelhandel
  • Kreditwirtschaft