Beiträge

Twitterfrage zu Bestrebungen in Richtung Zertifizierung oder Anforderungen bei IT & OT

Während des Vortrags auf dem 94. netzpolitischen Abend der Digitalen Gesellschaft erreichte uns diese Frage auf Twitter:

Die Beantwortung passt nicht in 260 Zeichen, deswegen haben wir hier kurz gebloggt. Vielen Dank an unser Mitglied Clarity für das spontane Verfassen des Beitrags.

KRITIS-Betreiber sind jetzt schon dazu angehalten, Sicherheitsmaßnahmen nach „Stand der Technik“ umzusetzen – das kann auch die ausschließliche Verwendung von (ggf. zertifizierten) Geräten von vertrauenswürdigen Herstellern umfassen. Dies ist jedoch noch nicht bei jeder kritischen Infrastruktur umgesetzt.

Einzelne Branchen verfügten bereits vor der KRITIS-Gesetzgebung über eigene Zertifizierungsverfahren, um Geräte zu prüfen; oft gibt es auch Standards und Normen, die sich mit KRITIS-Regulatorik zumindest überschneiden (beispielsweise standardisierte Signalsicherung für Ampeln, die Konflikt-Grün verhindert o.ä.). Auch für #SCADA bzw. #IoT-Geräte im Industrieumfeld gibt es einschlägige Normen wie die DIN EN IEC 62443-Reihe, welche technische Anforderungen an ebenddiese Geräte stellen. Auch offizielle Stellen empfehlen beispielsweise die Nutzung dieser Norm.

Im neuen Entwurf zur Resortabstimmung des IT-Sicherheitsgesetzes 2.0 gibt es den Paragraph 9b „Untersagung des Einsatzes kritischer Komponenten nicht vertrauenswürdiger Hersteller“, welcher aber eher auf Backdoors (dein zweiter Tweet) abzielt. Laut dem Entwurf soll (a) der Einbau von kritischen Komponenten beim @BMI_Bund angezeigt werden (b) der Hersteller einer solchen Komponente eine Garantieerklärung über die „Backdoorfreiheit“ abgeben und (c) das BMI den Einbau bestimmter Komponenten verbieten können, wenn der Lieferant nicht vertrauenswürdig ist. Die Probleme daran haben wir in unserer Stellungnahme verlinkt.

Konkrete technische Anforderungen (zum ersten Tweet) gibt es in den Gesetzen, abseits der Stand-der-Technik-Verpflichtung, nicht.