KRITIS-Audit nach ISO 27001 – der Ablauf

Text: Sascha Czech

Ein KRITIS-Audit ist für jede Einrichtung eine Herausforderung, die nicht nur Ressourcen bindet, sondern auch einer hervorragenden Vorbereitung bedarf.

Bereits vor dem Pre-Audit bedarf es der Optimierung von Dokumenten 

Zunächst gilt, eine gute Vorbereitung ist das halbe KRITIS-Audit. Noch vor dem Pre-Audit ist unbedingt darauf zu achten- was allerdings eine Selbstverständlichkeit sein sollte- dass sämtliche Dokumente, Leitlinien, Richtlinien und Verfahrensanweisungen, die sich innerhalb des Informationssicherheits-Managementsystems (ISMS) befinden, ein aktuelles Revisionsdatum aufweisen, das Vieraugenprinzip bei der Freigabe einhalten und somit gültig sind. Diese Dokumente sind der Audit-Einstieg und somit von hoher Bedeutung. Beginnend mit dem sogenannten Scope, also dem Anwendungsbereich des ISMS, arbeitet der Auditor sich zunächst durch die Normkapitel A5 bis A18 und erwartet dabei natürlich die Einsicht in die zuvor genannten Dokumente. Dabei ist es wichtig, innerhalb der Dokumente eine Konsistenz nachzuweisen, zum Einen, dass entsprechende Richtlinien der Normkapitel den Zielzustand klar vorgeben, zum Anderen, dass entsprechende Verfahrensanweisungen den Weg zur Zielerreichung detailliert beschreiben und vorgeben. Dies ist dann zudem durch stichprobenartige Kontrollen, z.B. in den Dashboards einzelner Systeme, nachzuweisen.  

Theorie-/Praxisabgleich 

Durch den eigenen, internen Auditplan und die intern durchgeführten KRITIS-Audits macht der Auditor sich ein Bild davon, ob das eigene ISMS auch tatsächlich gelebt und dessen Anwendung intern auch überprüft wird. Die internen Audits der einzelnen Normkapitel sollten sich daher anhand eines internen Auditplans, welcher sich über nicht mehr als drei Jahre verteilen sollte, nachweisen lassen. Sofern bereits bei einem internen Audit Abweichungen oder Nebenabweichungen festgestellt wurden, sind sowohl die entsprechenden Abweichungen als auch der Maßnahmenplan sowie dessen Umsetzung zu dokumentieren und nachzuhalten.  

Zusammengefasst beginnt jedes Audit also mit dem Anwendungsbereich, über die Leitlinie, welche alle relevanten Schutzziele enthalten muss, über die den Normkapiteln zugeordneten Richtlinien und Verfahrensanweisungen. Dabei empfiehlt es sich, den Dokumentenstamm direkt nach den Normkapiteln aufzubauen und zu benennen, damit der Auditor sich zu jeder Zeit auch innerhalb des Dokumentenstamms zurechtfindet.  

User-Changemanagement steht im Fokus 

Nach dem Dokumentenstamm schaut sich jeder Auditor gerne das User- bzw. das User-Changemanagement an. Den Fokus hierbei legen die Auditoren auf ein nachvollziehbares Verfahren von der User-Anlage über die User-Änderung bis hin zur User-Deaktivierung. „Warum wurde ein User angelegt, wer hat dies beantragt und was ihn dazu berechtigt?“ Dies sollte unbedingt lückenlos dokumentiert sein. Auch sollte es Vorlagen für Standardberechtigungen verschiedener Usergruppen geben, nicht nur innerhalb der Active Directory, sondern auch auf der Applikationsebene.  

Als Nächstes liegt das Augenmerk in der Regel auf dem Changemanagement bzw. der Schnittstelle zwischen dem Changemanagement und der Informationssicherheit. Hierbei ist von großer Bedeutung, nicht nur entsprechende Richtlinien und Verfahrensanweisungen vorzulegen, sondern die tatsächliche und tägliche Anwendung gegenüber dem Auditor nachzuweisen. Dies kann beispielsweise durch eine Stellungnahme des Informationssicherheitsbeauftragten, welche dem Change beigefügt ist, nachgewiesen werden. Dabei sollten der Hintergrund des Changes, dessen Umsetzung und der Zielzustand beleuchtet werden.  

Das Risikomanagement 

Dabei ist es die Aufgabe des Informationssicherheitsbeauftragten, die Risiken daraus zu erkennen, in das Risikomanagement der Informationssicherheit aufzunehmen und mit konkreten Maßnahmen zu versehen. Hier wird der Auditor unter Garantie auch gerne etwas tiefer „graben“ und kann dabei durchaus auch Nachweise über mehrere Monate oder gar mehrere Jahre zurückliegend verlangen. Auch hier gilt daher: Je besser die gesamte Dokumentation innerhalb des Changemanagements gepflegt ist, desto leichter ist auch der Nachweis gegenüber dem Auditor.  

Der Schwerpunkt der Prüfung liegt ganz klar im Risikomanagement der Informationssicherheit. Hierbei sollte unbedingt eine gute Richtlinie zum Risikomanagement die Basis der weiteren Bausteine bilden. Eine gute Richtlinie enthält klare und nachvollziehbare Vorgaben darüber, wie ein Risiko zu bewerten ist. Dies gilt insbesondere für die Faktoren „Eintritt“, „Auswirkung“, „Patientensicherheit“ und noch weitere. Es muss klar definiert sein, zu welchem Zeitpunkt – oder besser gesagt bei welcher Auswirkung – ein Faktor mit einer bestimmten, vordefinierten Wertigkeit belegt wird. Es ist genau vorzugeben, welche Kriterien zu erfüllen sind, um ein Restrisiko ohne Maßnahme zu akzeptieren und ab wann eine Reduktionsmaßnahme zwingend erforderlich ist. Die Umsetzung dieser Kriterien innerhalb der Richtlinie findet sich dann in der Risikomatrix wieder. Hier ist dem Auditor unbedingt nachzuweisen, dass zu jedem Normkapitel sowohl ein entsprechendes Risiko erfasst wurde als auch die entsprechende Einstufung der zuvor genannten Kriterien sowie der Umsetzungsplan der zugehörigen Maßnahme nachvollziehbar vorhanden sind. Auch die dokumentierte Maßnahme zur Risikoreduktion ist erneut nach vorangegangenem Schema dem Risikomanagement und einer Wirksamkeitsprobe zu unterziehen. Bedenken Sie: Das Risikomanagement der Informationssicherheit bezieht sich nicht alleine auf die IT-Bereiche, sondern erstreckt sich auf alle Bereiche des Unternehmens! Daher ist es wichtig, dass Verantwortlichkeiten, z.B. der Risikoeigentümer und der Risikoverantwortliche, für jedes einzelne Risiko klar definiert und benannt sind. Wichtig ist hierbei nicht, dass alle Maßnahmen zur Risikoreduktion abgeschlossen, sondern erkennbar in Bearbeitung sind. 

Business Continuity Management   

Richtlinie zum Risikomanagement dient als Basis für KRITIS-Audit

Der nächste wesentliche Punkt ist das Thema Business Continuity Management (BCM). Hierbei sind dem Auditor insbesondere das Notfallhandbuch sowie die vorhandenen und aktuellen Notfallpläne vorzulegen und nachzuweisen, dass entsprechende Notfallsituationen regelmäßig geübt und diese Übungen auch nachvollziehbar dokumentiert sind. Ein Schwerpunkt liegt hierbei auf dem Thema der Redundanzen für relevante Systeme. Wie schon bei den vorherigen Schwerpunkten erwähnt, ist das BCM keinesfalls ausschließlich auf den Bereich der Informationstechnik ab- oder einzugrenzen. Vielmehr gilt hier das große Ganze, wie z.B. medizinische (Sub-)Systeme, Modalitäten, Bettentransport. Also alles, was für die Aufrechterhaltung des Versorgungsauftrags von Bedeutung ist. Dazu zählen durchaus auch das Heizsystem sowie die Klimaanlagen der Einrichtung.  

Globaler Ansatz notwendig  

Als ebenso wichtig sei abschließend das Thema Datenschutz erwähnt. Ein aktuelles Datenschutzhandbuch ist für das KRITIS-Audit unerlässlich. Dabei sollte dies alle relevanten Bereiche des Datenschutzes beinhalten, so beispielsweise die Entsorgung von Datenträgern, der Umgang mit Systembenutzern, deren Bearbeitung und Löschung, sowie der Umgang mit Patientendaten, deren Auskunftsersuche und natürlich auch die Löschung von Patientendaten.  

Abschließend sei erwähnt, dass also alle Normkapitel der ISO/IEC 27001 zweifelsfrei erfüllt sein müssen. Die in diesem Artikel genannten Schwerpunkte geben einen ersten Anhaltspunkt für die Vorbereitung und den Ablauf eines Audits, sind jedoch aufgrund der Komplexität und Individualität jeder einzelnen Einrichtung nur oberflächlich beschrieben.

Zuerst erschienen in ExperSite – Das Magazin für Datenschutz und Informationssicherheit 01/2020