Einer der zahlreichen Begriffe bzw. eine der vielen Abkürzungen, die in der IT-Sicherheit eine wichtige Rolle spielen, ist B3S. Die Schöpfer dieser Kurzform haben schlichtweg den Begriff „Branchen-Spezifische-Sicherheits-Standards“ für die schriftliche und mündliche Kommunikation verschlankt. Es geht folglich um IT-Sicherheitsstandards, die von Vertretern der jeweiligen Branchen definiert wurden, um den individuellen, branchenspezifischen digitalen Sicherheitsbedürfnissen entsprechen zu können. Daraus ergibt sich eine weitere Eigenschaft, die B3S charakterisiert: Sie stellen keinen Standard, der auf einer Norm wie DIN oder ISO basiert, sondern vielmehr ein Angebot im Sinne einer Handlungsoption dar.

B3S in der Praxis

Wer vor der Herausforderung steht, ein effektives und wirtschaftliches System zum Umgang mit der IT-Sicherheit zu implementieren, findet in B3S einen Leitfaden, der sowohl die erforderlichen Vorkehrungen als auch eine adäquate Umsetzungsmethodik zur Verfügung stellt. Dies erfolgt in zwei inhaltlichen, schriftlich fixierten Abschnitten, aus denen ein B3S üblicherweise besteht. Einen Schwerpunkt im ersten Teil bildet eine Gefährdungs- und Risikoanalyse sowie das Risikomanagement. Dabei spielt eine umfassende Untersuchung der Geschäftsprozesse und der Schnittstellen der verschiedenen Abteilungen bzw. Arbeitsbereiche eine Schlüsselrolle. Im zweiten Teil wird unter der Überschrift „Sicherheitsanforderungen nach Stand der Technik und Vorgehensweisen“ eine höhere Detailtiefe erreicht. Hier geht es um konkrete Vorgaben, an denen sich die Anwender orientieren sollten, wie den BSI IT-Grundschutz, die IEC 62443 (Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme) oder die ISO/IEC 27019 (Informationssicherheitsmaßnahmen für die Energieversorgung).

Fallbeispiel: Kritische Infrastrukturen (KRITIS)

Im Zuge unserer Beratungs- und Dienstleistungstätigkeit treffen wir regelmäßig auf Unternehmer und Geschäftsführer, denen nicht umfänglich bewusst ist, welchen gesetzlichen Vorgaben sie in Bezug auf die IT-Sicherheit unterliegen. Maßgeblich sind insbesondere die IT-Sicherheitsgesetze 1.0 (2015) und 2.0 (2021) sowie das BSI-Gesetz (2021). Für KRITIS-Betreiber (Wirtschaftsschutz und Cyberkriminalität) gilt die KRITIS-Verordnung (BSI-KritisV, 2021, überarbeitet 2023), mit der das BSI-Gesetz umgesetzt wird.

Die zehn KRITIS-Sektoren lauten:

Energie
Informationstechnik und Telekommunikation
Transport und Verkehr
Gesundheit
Medien und Kultur
Wasser
Ernährung
Finanz- und Versicherungswesen
Siedlungsabfallentsorgung
Staat und Verwaltung

Zur Erläuterung erlauben wir uns, auf ein Beispiel der Online-Plattform HEALTCARE DIGITAL zurückzugreifen. Seit 2019 zählen in Deutschland Krankenhäuser zur Kategorie KRITIS, die zumindest 30 000 Behandlungsfälle jährlich aufweisen. B3S helfen diesen sogenannten „KRITIS-Kliniken“ dabei, ihre IT-Systeme nicht nur sicher, sondern auch gesetzes- bzw. verordnungskonform zu betreiben. Mittels eines Prüfplans, der aus einer branchenspezifischen B3S-Richtlinie resultiert, können die in den Kliniken Verantwortlichen die eigenen Sicherheitsvorgaben testen.

Die Stärke von B3S

Das Beispiel der „KRITIS-Kliniken“ ist aus unserer Sicht besonders anschaulich, weil es auch fachlich Unbedarften einen Eindruck der Stärke von B3S gestattet. Wir haben den Begriff „branchenspezifischen“ im Absatz zuvor bewusst hervorgehoben, denn es leuchtet ein, dass ein Krankenhaus spürbar andere Anforderungen an die IT-Sicherheit seiner Systeme und Anlagen hat als beispielsweise ein Landratsamt oder der Betreiber eines Tanklagers, eines Wasserwerks oder eines Flughafens. Insofern ist der Rückgriff auf B3S unbedingt empfehlenswert, denn es ist auf dem Gebiet der IT-Sicherheit keineswegs erforderlich, das berühmte Rad neu zu erfinden. Das Gegenteil ist der Fall: Es existieren erprobte und bewährte branchenübliche Verfahren zur IT-Sicherheit, die als „Best Practices“ bezeichnet werden und sich für die eigenen Bedürfnisse übernehmen lassen.

Unser abschließender Rat

Ein B3S bildet eine wichtige Grundlage zur Einrichtung eines Information Security Management Systems (ISMS), das den Stellenwert eines festen betrieblichen Prozesses wie Lohnbuchhaltung, Marketing und Vertrieb oder Personalmanagement haben sollte. Zur Orientierung dienen der BSI IT-Grundschutz, die ISO/IEC 27001, das NIST Framework SP 800 oder das ICS-Umfeld gemäß IEC 62443. Die Geschäftsführer von Unternehmen oder Organisationen, die ein professionelles ISMS betreiben, können in Bezug auf ihre IT-Sicherheit beruhigt sein und sich auf ihre Geschäftsführeraufgaben konzentrieren.

Quellen und weiterführende Links:

Im Zuge der Erstellung des Artikels haben wir auf drei hilfreiche und lesenswerte Quellen zurückgegriffen:

Bundesamt für Sicherheit in der Informationstechnik (BSI) (zuletzt geändert 2024). Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a Absatz 2 BSIG – Handlungsempfehlungen für Autoren eines B3S.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/oh-b3s.pdf?__blob=publicationFile&v=12.

+++

Healthcare Digital (30.10.2024). Definitionen – Was ist B3S?.

https://www.healthcare-digital.de/was-ist-b3s-a-ea533c7cfc4f6c5c3052dfdc99ee9007/.

+++

OpenKRITIS (2024). KRITIS-Gesetzgebung.

https://www.openkritis.de/it-sicherheitsgesetz/gesetzgebung-kritis-bsig.html#kritisv.