Der Kritische Tag
Am 25. April 2018 fand der erste Kritische Tag im Konferenzzentrum von SRC statt. Damit feierte eine Veranstaltungsreihe ihre Premiere, die eine hochkarätige Plattform für den Austausch bietet. Diese richtet sich in erster Linie an Vertreter von Unternehmen, die eine kritische Infrastruktur (KRITIS) betreiben. Der Kritische Tag dient vor allem dem Aufbau persönlicher Kontakte, sowie dem Austausch von Erfahrungen und Best-Practices zur IT- und physischen Sicherheit kritischer Infrastrukturen.
Der Tagesablauf
Schon nach Ankunft der ersten Teilnehmer begann ein reger Austausch zu den Themen. Zum Start des Kritischen Tages dokumentierte der ausgebuchte Saal den Informationsbedarf der Teilnehmer.
Hochkarätige Sprecher gaben einen Überblick über das Thema KRITIS. Isabel Münch, Fachbereichsleiterin CK3 und Vertreterin des Bundesamt für Sicherheit in der Informationstechnik (BSI), erläuterte Vorgehen und Abläufe in der Aufsichtsbehörde. Randolf Skerka, Bereichsleiter bei SRC und Verantwortlicher für das Thema Prüfung nach §8a (3) BSIG, schilderte die ersten Erfahrungen aus Perspektive der prüfenden Stelle. Das Klinikum Lünen hat den Nachweis der Prüfung nach §8a (3) BSIG als Erstes erbracht. Ralf Plomann, IT-Leiter des Klinikums Lünen, gab eindrucksvolle Einblicke über die Entwicklung der Krankenhausorganisation zur Vorbereitung auf die Prüfung. Für die fachliche Abrundung des Vormittags sorgte Prof. Dr. med. Andreas Becker, der verdeutlichte, dass fundierte Branchenkompetenz ein wesentlicher und unverzichtbarer Grundstein einer sinnvolle Prüfung ist.
Die Expertenvorträge vermittelten den Teilnehmern eine 360°-Sicht auf die weitestgehend und aus gutem Grund unscharf formulierten Anforderungen der BSI-Prüfungen.
Zum Abschluss des Vormittags schilderte der bildende Künstler Frank Rogge seine Sicht auf die Fragen der Kritikalität im Bereich künstlerischen Schaffens.
Der Nachmittag wurde vollumfänglich den Interessensschwerpunkten der Teilnehmer gewidmet. Unter der Moderation von Jochen Schumacher, Mitorganisator bei SRC, wurde der Ablauf des Nachmittages gestaltet.
Die Teilnehmer organisierten eigenständig die vielfältigen Inhalte für neun Sessions.
Aus der Session „Zertifizierungsfindings an das BSI übersenden“ wurde deutlich, dass das BSI zum Beispiel keine „klassischen“ und bis ins letzte technische Detail ausformulierten Findings bzw. Abweichungen erwartet. Sinnvoll ist ein grob beschriebener Rahmen der Abweichungen und die Beschreibung eines Handlungsweges im Prüfbericht. Dennoch muss für jedes Risiko innerhalb einer kritischen Infrastruktur eine entsprechende Maßnahme vorhanden sein. Das hat für das BSI enorme Bedeutung.
Das BSI wünscht sich die enge Kooperation mit den verschiedenen Kritis-Unternehmen. Das Ziel ist, die Sicherheit der IT in Deutschland zu stärken.
In der Session „Awareness für IT-Sicherheit im Unternehmen“ stellte Ralf Plomann die Methode und Maßnahmenumsetzung im Klinikum Lünen vor. Wichtig sei hier der individuelle Ansatz. Jeder Einzelne im Unternehmen sei für die IT-Sicherheit verantwortlich. In der persönlichen Ansprache müsse jeder Mitarbeiter dort abgeholt werden, wo er gerade stehe. Das gilt nach Plomann besonders, weil fast niemand mehr Richtlinien lesen würde. Deshalb seien kreativere Ansätze zu wählen. Ralf Plomanns Wunsch für die Zukunft: „Awareness für IT-Sicherheit sollte bereits in der Schule ab Sekundarstufe II beginnen.“ Im Verlauf der weiteren Session kristallisierte sich ein klarer Trend zu eLearning-Plattformen für die Verbesserung der Awareness heraus.
In einer weiteren Session widmeten sich die Teilnehmer der sicheren und einfachen Eingrenzung des Scopes. In der Diskussion wurde vor allem das Pyramiden-Modell favorisiert. Die als kritisch eingestufte Dienstleistung ist der beste Startpunkt zur Definition des Scope. Geht es beispielsweise um die kritische Infrastruktur Klärwerk, muss zur Definition des Scope herausgefunden und festgehalten werden, welche Systeme das Wasser klären, welche Auswirkungen ein Ausfall hätte und wie dieser Ausfall durch andere Methoden kompensiert und somit die kritische Dienstleistung aufrecht erhalten werden kann.
Mit dieser Methode bewegt man sich systematisch zum äußeren Perimeter. Gelangt man zu nicht mehr kritischen Systemen, ist die Grenze des Scopes erreicht.
Fazit des ersten „Kritischen Tag“ aus Sicht von SRC
Ausdruck der faszinierenden Atmosphäre war die Weiterführung der bilateralen Kommunikation der Teilnehmer zwischen den einzelnen Sessions. Die Rückmeldungen belegten, dass die Teilnehmer viele neue Kontakte knüpfen und Erkenntnisse aus anderen KRITIS-Projekten gewinnen konnten.
Die insgesamt positive Resonanz der Teilnehmer zeigt uns als SRC, dass der Kritische Tag ein sinnvoller Hub für den Austausch von Informationen zu KRITIS-Projekten zwischen den beteilgten Akteuren ist. Unser Dank gilt allen Teilnehmern, die mit Ihrer Offenheit und ihrem Engagement fundamental zum Gelingen des kritischen Tages beitrugen.
Den Kritischen Tag betrachten wir als gelungenes Experiment. Das motiviert uns, in die Vorbereitungen für eine Neuauflage einzusteigen.