KRITIS 2018

Kri­ti­scher Tag 2018 | Wis­sen und Erfah­run­gen im ange­reg­ten Aus­tausch

Der Kri­ti­sche Tag

Am 25. April 2018 fand der ers­te Kri­ti­sche Tag im Kon­fe­renz­zen­trum von SRC statt. Damit fei­er­te eine Ver­an­stal­tungs­rei­he ihre Pre­mie­re, die eine hoch­ka­rä­ti­ge Platt­form für den Aus­tausch bie­tet. Die­se rich­tet sich in ers­ter Linie an Ver­tre­ter von Unter­neh­men, die eine kri­ti­sche Infra­struk­tur (KRITIS) betrei­ben. Der Kri­ti­sche Tag dient vor allem dem Auf­bau per­sön­li­cher Kon­tak­te, sowie dem Aus­tausch von Erfah­run­gen und Best-Prac­tices zur IT- und phy­si­schen Sicher­heit kri­ti­scher Infra­struk­tu­ren.

Der Tages­ab­lauf

Schon nach Ankunft der ers­ten Teil­neh­mer begann ein reger Aus­tausch zu den The­men. Zum Start des Kri­ti­schen Tages doku­men­tier­te der aus­ge­buch­te Saal den Infor­ma­ti­ons­be­darf der Teil­neh­mer.

Hoch­ka­rä­ti­ge Spre­cher gaben einen Über­blick über das The­ma KRITIS. Isa­bel Münch, Fach­be­reichs­lei­te­rin CK3 und Ver­tre­te­rin des Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI), erläu­ter­te Vor­ge­hen und Abläu­fe in der Auf­sichts­be­hör­de. Ran­dolf Sker­ka, Bereichs­lei­ter bei SRC und Ver­ant­wort­li­cher für das The­ma Prü­fung nach §8a (3) BSIG, schil­der­te die ers­ten Erfah­run­gen aus Per­spek­ti­ve der prü­fen­den Stel­le. Das Kli­ni­kum Lünen hat den Nach­weis der Prü­fung nach §8a (3) BSIG als Ers­tes erbracht. Ralf Plo­mann, IT-Lei­ter des Kli­ni­kums Lünen, gab ein­drucks­vol­le Ein­bli­cke über die Ent­wick­lung der Kran­ken­haus­or­ga­ni­sa­ti­on zur Vor­be­rei­tung auf die Prü­fung. Für die fach­li­che Abrun­dung des Vor­mit­tags sorg­te Prof. Dr. med. Andre­as Becker, der ver­deut­lich­te, dass fun­dier­te Bran­chen­kom­pe­tenz ein wesent­li­cher und unver­zicht­ba­rer Grund­stein einer sinn­vol­le Prü­fung ist.

Die Exper­ten­vor­trä­ge ver­mit­tel­ten den Teil­neh­mern eine 360°-Sicht auf die wei­test­ge­hend und aus gutem Grund unscharf for­mu­lier­ten Anfor­de­run­gen der BSI-Prü­fun­gen.

Zum Abschluss des Vor­mit­tags schil­der­te der bil­den­de Künst­ler Frank Rog­ge sei­ne Sicht auf die Fra­gen der Kri­ti­ka­li­tät im Bereich künst­le­ri­schen Schaf­fens.

Der Nach­mit­tag wur­de voll­um­fäng­lich den Inter­es­sens­schwer­punk­ten der Teil­neh­mer gewid­met. Unter der Mode­ra­ti­on von Jochen Schu­ma­cher, Mit­or­ga­ni­sa­tor bei SRC, wur­de der Ablauf des Nach­mit­ta­ges gestal­tet.

Die Teil­neh­mer orga­ni­sier­ten eigen­stän­dig die viel­fäl­ti­gen Inhal­te für neun Ses­si­ons.

Die wich­tigs­ten Ergeb­nis­se des Nach­mit­tags

Aus der Ses­si­on „Zer­ti­fi­zie­rungs­fin­dings an das BSI über­sen­den“ wur­de deut­lich, dass das BSI zum Bei­spiel kei­ne „klas­si­schen“ und bis ins letz­te tech­ni­sche Detail aus­for­mu­lier­ten Fin­dings bzw. Abwei­chun­gen erwar­tet. Sinn­voll ist ein grob beschrie­be­ner Rah­men der Abwei­chun­gen und die Beschrei­bung eines Hand­lungs­we­ges im Prüf­be­richt. Den­noch muss für jedes Risi­ko inner­halb einer kri­ti­schen Infra­struk­tur eine ent­spre­chen­de Maß­nah­me vor­han­den sein. Das hat für das BSI enor­me Bedeu­tung.

Das BSI wünscht sich die enge Koope­ra­ti­on mit den ver­schie­de­nen Kri­tis-Unter­neh­men. Das Ziel ist, die Sicher­heit der IT in Deutsch­land zu stär­ken.

In der Ses­si­on „Awa­reness für IT-Sicher­heit im Unter­neh­men“ stell­te Ralf Plo­mann die Metho­de und Maß­nah­men­um­set­zung im Kli­ni­kum Lünen vor. Wich­tig sei hier der indi­vi­du­el­le Ansatz. Jeder Ein­zel­ne im Unter­neh­men sei für die IT-Sicher­heit ver­ant­wort­lich. In der per­sön­li­chen Anspra­che müs­se jeder Mit­ar­bei­ter dort abge­holt wer­den, wo er gera­de ste­he. Das gilt nach Plo­mann beson­ders, weil fast nie­mand mehr Richt­li­ni­en lesen wür­de. Des­halb sei­en krea­ti­ve­re Ansät­ze zu wäh­len. Ralf Plo­manns Wunsch für die Zukunft: „Awa­reness für IT-Sicher­heit soll­te bereits in der Schu­le ab Sekun­dar­stu­fe II begin­nen.“ Im Ver­lauf der wei­te­ren Ses­si­on kris­tal­li­sier­te sich ein kla­rer Trend zu eLear­ning-Platt­for­men für die Ver­bes­se­rung der Awa­reness her­aus.

In einer wei­te­ren Ses­si­on wid­me­ten sich die Teil­neh­mer der siche­ren und ein­fa­chen Ein­gren­zung des Scopes. In der Dis­kus­si­on wur­de vor allem das Pyra­mi­den-Modell favo­ri­siert. Die als kri­tisch ein­ge­stuf­te Dienst­leis­tung ist der bes­te Start­punkt zur Defi­ni­ti­on des Scope. Geht es bei­spiels­wei­se um die kri­ti­sche Infra­struk­tur Klär­werk, muss zur Defi­ni­ti­on des Scope her­aus­ge­fun­den und fest­ge­hal­ten wer­den, wel­che Sys­te­me das Was­ser klä­ren, wel­che Aus­wir­kun­gen ein Aus­fall hät­te und wie die­ser Aus­fall durch ande­re Metho­den kom­pen­siert und somit die kri­ti­sche Dienst­leis­tung auf­recht erhal­ten wer­den kann.

Mit die­ser Metho­de bewegt man sich sys­te­ma­tisch zum äuße­ren Peri­me­ter. Gelangt man zu nicht mehr kri­ti­schen Sys­te­men, ist die Gren­ze des Scopes erreicht.

Fazit des ers­ten „Kri­ti­schen Tag“ aus Sicht von SRC

Aus­druck der fas­zi­nie­ren­den Atmo­sphä­re war die Wei­ter­füh­rung der bila­te­ra­len Kom­mu­ni­ka­ti­on der Teil­neh­mer zwi­schen den ein­zel­nen Ses­si­ons. Die Rück­mel­dun­gen beleg­ten, dass die Teil­neh­mer vie­le neue Kon­tak­te knüp­fen und Erkennt­nis­se aus ande­ren KRI­TIS-Pro­jek­ten gewin­nen konn­ten.

Die ins­ge­samt posi­ti­ve Reso­nanz der Teil­neh­mer zeigt uns als SRC, dass der Kri­ti­sche Tag ein sinn­vol­ler Hub für den Aus­tausch von Infor­ma­tio­nen zu KRI­TIS-Pro­jek­ten zwi­schen den beteilg­ten Akteu­ren ist. Unser Dank gilt allen Teil­neh­mern, die mit Ihrer Offen­heit und ihrem Enga­ge­ment fun­da­men­tal zum Gelin­gen des kri­ti­schen Tages bei­tru­gen.

Den Kri­ti­schen Tag betrach­ten wir als gelun­ge­nes Expe­ri­ment. Das moti­viert uns, in die Vor­be­rei­tun­gen für eine Neu­auf­la­ge ein­zu­stei­gen.