Onepager Sicherheitsmaßnahmen und Schwachstellenmanagement

Warum?

Sicherheitsmaßnahmen beim Erwerb, der Entwicklung und der Wartung von informationstechnischen Systemen, Komponenten und Prozessen sowie ein strukturiertes Schwachstellenmanagement sind essenziell, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sowie die funktionale Sicherheit dauerhaft zu gewährleisten.

Bereits in frühen Phasen - etwa bei der Beschaffung oder der Systementwicklung - sind Sicherheitsanforderungen gezielt zu berücksichtigen, um spätere Risiken, Kosten und Sicherheitslücken zu vermeiden. Ohne diese vorbeugenden Maßnahmen entstehen häufig Schwachstellen, die Angreifer ausnutzen können und beispielsweise zu Datenverlust, Systemausfällen oder rechtlichen Konsequenzen führen.

Ein kontinuierliches Schwachstellenmanagement stellt zudem sicher, dass Unternehmen bekannte Sicherheitslücken frühzeitig erkennen, bewerten und beheben können. Da sich Bedrohungen und Angriffsmethoden stetig weiterentwickeln, reichen einmalige Sicherheitsprüfungen nicht aus. Nur durch regelmäßige Wartung, Updates und Sicherheitsüberprüfungen können Einrichtungen ihre -Systeme widerstandsfähig halten, Betriebsunterbrechungen minimieren und das Vertrauen von Kunden, Partnern und Mitarbeitenden nachhaltig stärken.

Die Offenlegung von Schwachstellen ist insbesondere dann wichtig, wenn Produkte oder Systeme an Dritte weitergegeben oder vermarktet werden. Enthalten solche Produkte sicherheitsrelevante Schwachstellen, müssen Unternehmen diese transparent kommunizieren, um potenzielle Risiken für Dritte zu minimieren. Aber auch wenn Unternehmen Produkte nur betriebsintern nutzen, kann es sinnvoll sein, Schwachstellen offen zu legen. Das ist bspw. dann der Fall, wenn sie identifizierte Schwachstellen an den Hersteller zur Behebung melden oder wenn durch die Nutzung betriebsinterner Systeme auch externe Partner gefährdet sein könnten. In diesen Fällen trägt eine verantwortungsvolle Schwachstellenkommunikation wesentlich zur allgemeinen Informationssicherheit bei.

Wer ist betroffen?

Nach dem -Umsetzungsgesetz (§ 30 Absatz 2 Satz 2 Nummer 5 ) sind wichtige und besonders wichtige Einrichtungen verpflichtet, "Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen" durchzuführen. Diese Anforderung schließt das Management und die Offenlegung von Schwachstellen mit ein.

Was ist zu beachten?

Mit den in § 30 Absatz 2 Satz 2 Nummer 5 genannten informationstechnischen Systemen, Komponenten und Prozessen sindalle Systeme, Komponenten und Prozesse gemeint, die Einrichtungen für die Erbringung ihrer Dienste nutzen. Neben klassischen -Systemen sind dies im Einzelfall auch OT-Systeme, industrielle Steuerungs- und Automatisierungssysteme sowie Systeme der Gebäudeautomation.

Einrichtungen müssen die hier dargestellten Risikomanagementmaßnahmen für alle Systeme, Komponenten und Prozesse, auf welche sie bei der Erbringung ihrer Dienste angewiesen sind, umsetzen.

Die Anforderung in § 30 Absatz 2 Satz 2 Nummer 5 verlangt zudem -Sicherheitsmaßnahmen über den gesamten Lebenszyklus von Systemen, Komponenten und Prozesse (Einkauf/Erwerb, Entwicklung, Betrieb/Wartung). Daher müssen Einrichtungen zusätzlich zu den in diesem Infopaket beschriebenen Anforderungen auch die weiteren, in anderen Infopaketen erläuterten Anforderungen aus § 30 BISG zwingend berücksichtigen und umsetzen, z. B. rund um das Asset Management und die sichere Lieferkette. Einrichtungen können Informationen hierzu aus den entsprechenden Infopaketen entnehmen.

Was tun?

Einkauf/Erwerb

Beim Einkauf/Erwerb müssen Einrichtungen darauf achten, dass die Beschaffung sicher ist (Supply-Chain-Security). Wir empfehlen die Berücksichtigung der folgenden Punkte (Auswahl):

• Auswahl von Lieferanten und Produkten nach Sicherheitskriterien und regelmäßige Prüfung dieser.
• Vertragliche Vereinbarungen mit Lieferanten über Sicherheitsstandards, Verantwortlichkeiten und Meldepflichten bei Sicherheitsvorfällen.
• Durchführung von Lieferantenaudits, Zertifikatsprüfungen und Sicherheitsbewertungen vor und während der Nutzung von Produkten und Dienstleistungen.
• Anstreben, dass eingesetzte Komponenten frei von bekannten, ausnutzbaren Sicherheitslücken sind.

Weitere Informationen hierzu können Sie auch dem Infopaket "Sichere Lieferkette" entnehmen.

Entwicklung

Bei der Entwicklung von Software und Systemen muss die Sicherheit von Anfang an im Sinne eines sicheren Entwicklungszyklus mitgedacht werden ("security-by-design"). Die Berücksichtigung der folgenden Punkte wird empfohlen (Auswahl):

• Berücksichtigung von Defensive Security: Systeme und Daten sind grundsätzlich als potenziell unsicher zu betrachten und es ist stets mit motivierten Angreifern und (un-)bekannten Schwachstellen zu rechnen.
• Entwicklung von Software und Systemen unter Einbeziehung von Sicherheitsprinzipien von Anfang an, z. B. Eingabevalidierung, Verschlüsselung und minimale Berechtigungen.
• Frühzeitige Identifikation und Minimierung möglicher Angriffsflächen, um spätere Sicherheitsprobleme zu verhindern.
• Implementierung von sicheren Programmierpraktiken, wie Vermeidung von Buffer Overflows oder -Injections.
• Verwendung speichersicherer Programmiersprachen, beispielsweise Rust.
• Durchführung von Sicherheitstests, Code Reviews und Penetrationstests bereits während der Entwicklungsphase, um Schwachstellen früh zu erkennen und zu beheben.
• Sicherheitskriterien für die Auswahl von Bibliotheken und verwendeter Drittsoftware, einschließlich deren Security Practices.
• Sicherheitsmaßnahmen sind so zu gestalten, dass sie für alle Nutzergruppen verständlich, zugänglich und praktikabel sind (Usable Security).
• Ein Produkt oder System muss bereits in seiner Standardkonfiguration sicher betrieben werden können - ohne manuelle Nachkonfiguration durch den Nutzer (security-by-default).

Betrieb/Wartung

Hinweis: Ein funktionierendes Asset Management bildet die Grundlage für die folgenden Anforderungen. Details zu den Anforderungen an ein Asset Management sind nicht Teil dieses Infopakets und sind im Infopaket "Personalsicherheit, Zugriffskontrolle, Assetmanagement" beschrieben.

Konfigurationsmanagement

Gemäß der Anforderung sind geeignete Maßnahmen des Konfigurationsmanagements umzusetzen, um Systeme sicher und nachvollziehbar zu betreiben:

• Einrichtung von Systemen ausschließlich mit den für den Betrieb notwendigen Funktionen (Härtung).
• Deaktivierung oder Entfernung nicht benötigter Dienste, Schnittstellen und Benutzerkonten.
• Umsetzung von Sicherheitsrichtlinien, einschließlich der Änderung von Standardkonfigurationen und Standardpasswörtern.

Änderungsmanagement/Reparatur/Wartung

Gemäß der Anforderung müssen zur Gewährleistung der -Sicherheit Änderungen an Systemen kontrolliert geplant, durchgeführt und dokumentiert werden:

• Planung, Bewertung und Freigabe sicherheitsrelevanter Änderungen vor der Umsetzung.
• Dokumentation aller Änderungen, Reparaturen und Wartungsarbeiten an -Systemen.
• Vermeidung ungewollter Sicherheitsrisiken durch strukturierte Tests und Rückfallkonzepte.

Sicherheitsprüfung

Gemäß der Anforderung sind regelmäßige Sicherheitsprüfungen durchzuführen, um Schwachstellen frühzeitig zu erkennen:

• Durchführung regelmäßiger selbstdurchgeführter oder durch Dritte durchgeführte Sicherheitsprüfungen.
• Überprüfung der Wirksamkeit umgesetzter technischer und organisatorischer Maßnahmen.
• Dokumentation und Nachverfolgung identifizierter Sicherheitsmängel.

Patch- und Update-Management

Gemäß der Anforderung sind zur Aufrechterhaltung eines angemessenen Sicherheitsniveaus geeignete Patch- und Update-Maßnahmen umzusetzen:

• Regelmäßige Installation von Updates und Sicherheits-Patches auf allen relevanten Systemen.
• Priorisierte Behandlung sicherheitskritischer Schwachstellen.
• Schließung bekannter Schwachstellen vor einer möglichen Ausnutzung durch Angreifer (siehe Schwachstellenmanagement).

• Ausschließliche Nutzung sicherer Updatemechanismen, einschließlich Deaktivierung aller unsicheren Methoden.

Netzsicherheit/Netzsegmentierung

Gemäß der Anforderung sind Maßnahmen zur Absicherung von Netzwerken und zur Trennung von Systemen umzusetzen:

• Segmentierung von Netzwerken zur Begrenzung möglicher Schadensausbreitung.
• Einsatz geeigneter Sicherheitsmechanismen wie Firewalls oder Zugriffskontrollen.
• Einschränkung der Netzwerkkommunikation auf notwendige Verbindungen.
• Abschaltung dauerhafter Fernwartungsverbindungen.
• Monitoring des Netzwerkverkehrs.
• Begrenzung des Zugriffs durch Fernwartungsverbindungen.

Schutz gegen Schadsoftware und nicht genehmigte Software

Gemäß der Anforderung sind zur Abwehr von Schadsoftware und unerlaubter Software angemessene Schutzmaßnahmen umzusetzen:

• Einsatz aktueller Schutzlösungen gegen Schadsoftware auf allen relevanten Systemen.
• Einschränkung der Installation und Ausführung nicht genehmigter Software.
• Regelmäßige Aktualisierung von Signaturen und Schutzmechanismen.

Schutz vor physischen Bedrohungen und Bedrohungen des Umfelds

Gemäß der Anforderung sind auch physische und umgebungsbedingte Risiken angemessen zu berücksichtigen:

• Schutz von -Systemen vor unbefugtem physischem Zugriff.
• Berücksichtigung von Umweltfaktoren wie Brand, Wasser oder Stromausfall.
• Umsetzung geeigneter Zutritts- und Überwachungsmaßnahmen.

Weitere Informationen hierzu, insb. zu Zugriffskontrolle, können Einrichtungen auch dem Infopaket "Personalsicherheit, Zugriffskontrolle, Assetmanagement" entnehmen.

Management und Offenlegung von Schwachstellen

Trotz implementierter Sicherheitsmaßnahmen bei Erwerb, Entwicklung, Betrieb und Wartung werden Einrichtungen immer wieder mit Schwachstellen konfrontiert sein. Daher ist es wichtig, dass sich Einrichtungen bereits im Vorfeld mit dem Umgang, also dem Management und der Offenlegung, eben solcher Schwachstellen auseinandersetzen. Die Berücksichtigung der folgenden Punkte wird empfohlen (Auswahl):

Schwachstellenmanagement

• Regelmäßiges Scannen von Systemen auf bekannte Sicherheitslücken und Bewertung der Kritikalität. Für OT-Geräte kann diese außerhalb der Produktionsumgebung erfolgen.

Exkurs:
Das Common Security Advisory Framework () kann beim automatisierten Schwachstellenmanagement unterstützen, da der menschliche Aufwand für das Auffinden und Abrufen von aktuellen Sicherheitsinformationen von Softwareprodukten entfällt. Der Abgleich gegen die eigene Inventardatenbank auf Betreiberseite kann ebenfalls weitestgehend automatisiert werden. Weitere Infos zum

• Behebung von Schwachstellen durch Patches, Konfigurationsänderungen oder andere Gegenmaßnahmen ( "Betrieb/Wartung").
• Priorisierung der Schwachstellen nach Risiko und Einfluss auf Geschäftsprozesse. Dokumentation aller gefundenen Schwachstellen und der umgesetzten Maßnahmen, um Nachvollziehbarkeit und kontinuierliche Verbesserung sicherzustellen.
• Einrichtung eines Meldeprozesses, damit entdeckte Schwachstellen schnell an das zuständige Team gemeldet werden können. Koordination der Kommunikation, um Risiken zu minimieren und Verantwortlichkeiten klar zu regeln.
• Veröffentlichung von Meldemöglichkeiten. Die Einrichtungen sollten öffentlich benennen, an wen sich Sicherheitsforschende melden können, wenn sie Schwachstellen bei dem Unternehmen finden. Hierzu sollte z. B. eine Security.txt (gemäß RFC 9116) auf der Webseite angelegt werden. Weitere Informationen gibt es auf der Website der Allianz für Cybersicherheit.

Offenlegung von Schwachstellen

• Zeitnahe Mitteilung kritischer Schwachstelle(n) an betroffene interne Stellen, externe Partner oder die Öffentlichkeit, wenn erforderlich, insbesondere um Dritte zu schützen.
• Meldung der Schwachstelle(n) an die zuständige Aufsichtsbehörde gemäß gesetzlichen Vorgaben (bspw. gemäß Cyber Resilience Act, wenn zutreffend).
• Übergabe in einen geeigneten koordinierten Schwachstellenoffenlegungsprozess, wenn auch Dritte von einer Schwachstelle betroffen sein könnten und der Hersteller nicht reagiert.
• Freiwillige Meldung der Schwachstelle(n) an das . Eine Schwachstelle kann dem - auch anonym - über das zentrale -Portal gemeldet werden.

Dokumentation

Gemäß der Anforderung müssen Einrichtungen die getroffenen Maßnahmen und Konzepte geeignet und vollständig dokumentieren. Die Berücksichtigung der folgenden Punkte wird empfohlen (Auswahl):

• Dokumentation von Prozessen, Sicherheitsmaßnahmen, Systemänderungen und Wartungsarbeiten.
• Sicherstellung von Nachvollziehbarkeit und langfristiger Systemsicherheit.

Welche Standards gibt es bereits?

Übersicht ausgewählter Standards

Spezifizierung gemäß -Durchführungs- verordnung 2024/2690*	27001:2022	(Trusted Information Security Assessment Exchange)	RUN**	Cyber Risiko Check ()
Sicherheitsmaßnahmen bei Erwerb von -Produkten oder -Produkten	A.5.21, A.5.23	1.2.3, 1.2.4, 1.3.4, 5.2.1, 5.2.4, 5.2.5, 5.2.6, 5.3.1, 5.3.2, 5.3.3, 5.3.4	OrgM - Dienstleister- und Lieferantenmanagement	15-1, 15-2, 16, 17-1, 17-2, 18, 19-1, 19-2, 20-1, 20-2, 21, 22-1, 22-2, 23, 24-1, 25-1, 25-4, 26-1, 26-2, 27
Sicherer Entwicklungszyklus	A.8.25, A.8.31		TecM - Sichere Entwicklung
Konfigurationsmanagement	A.8.9		TecM - Härtung
Änderungsmanagement, Reparatur, Wartung	6.3, 8.1, A.7.13, A.8.32		OrgM - Änderungsmanagement
Sicherheitsprüfung	A.8.29, A.8.33, A.8.34		TecM - Netzwerksicherheit TecM - Härtung TecM - Kernsysteme der Branchen (branchenspezifische /OT) TecM - Vulnerability Scans und Penetrationstests (Technik)
Sicherheitspatch-Management	A.8.31, A.8.32		TecM - Patchmanagement
Netzsicherheit	A.8.16, A.8.20		TecM - Netzwerksicherheit TecM - Fernzugriff
Netzsegmentierung	A.8.22		TecM - Netzwerksicherheit
Schutz gegen Schadsoftware und nicht genehmigte Software	A.5.32, A.8.7		TecM - Schutz vor Schadprogrammen
Behandlung und Offenlegung von Schwachstellen	A.8.8		OrgM - Schwachstellenmanagement TecM - Vulnerability Scans und Penetrationstests (Technik)
Schutz vor physischen Bedrohungen und Bedrohungen des Umfelds	A.7.3, A.7.5		PhyM - Physischer Zutritt PhyM - Bauliche Maßnahmen

Hinweise/Disclaimer:

*Die Durchführungsverordnung spezifiziert die Anforderungen nur für einen ausgewählten Teil der verpflichteten Einrichtungen. Die Spezifizierung dient der verbesserten Darstellung des Mappings.

**Die Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung (RUN) hinterlegt die Reifegrade für die Prüfungen bei mit festgelegten Kriterien und hat nur Relevanz für Betreiber kritischer Anlagen.

Die Tabelle bietet lediglich einen Überblick über ausgewählte bestehende Standards mit Anforderungen zum Thema "Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen und Schwachstellenmanagement". Die Umsetzung gemäß diesen Standards bedeutet, dass Einrichtungen dadurch automatisch die Anforderungen gemäß § 30 vollständig erfüllen.

Der CyberRisikoCheck () dient lediglich als Ersteinschätzung zur eigenen -Sicherheit. Allein durch die Umsetzung der Anforderungen aus dem können Einrichtungen keine -Konformität erreichen, da der aktuell mehrere Anforderungen aus § 30 nicht abgedeckt.

Wie unterstützt das ?

Einkauf/Erwerb

• #nis2know-Infopaket "Sichere Lieferkette"
  Weitere Informationen zum Thema "Sicherheitsmaßnahmen beim Erwerb" können Sie dem Infopaket entnehmen.
• Informationen aus der UP
  Der Themenarbeitskreis "Anforderungen an Lieferanten und Hersteller" hat das Anforderungspapier Best-Practice-Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in Kritischen Infrastrukturen erstellt.
• Technische Richtlinie "Common Security Advisory Framework ()"
  Die Technische Richtlinie -03191 des können Einrichtungen nutzen, um Lieferanten vertraglich zur Bereitstellung von Sicherheitsinformationen gemäß zu verpflichten. Die Technische Richtlinie sorgt für eine einfache Einbindung in Verträge und eine einheitliche Umsetzung, was Kosten auf beiden Seiten minimiert.

Entwicklung

• Informationen des und Partnerbehörden zu "security-by-design"
  Das hat zusammen mit einigen internationalen Partnerbehörden in 2023 eine Handreichung mit Empfehlungen zu "security-by-design" und "security-by-default" veröffentlicht.

Betrieb/Wartung

• und Broschüre zum Thema "Schadprogramme"
  Auf der -Website befinden sich zum Thema "Schadprogramme". Darüber hinaus hat das , zusammen mit der Verbraucherzentrale NRW und dem NRW, eine Broschüre zu dem Thema veröffentlicht.
• Checkliste für den Ernstfall: Infektion mit Schadprogrammen
  In dieser Checkliste erfahren Betroffene, wie sie auf eine (vermutete) Infektion mit Schadprogrammen reagieren sollten und wie sie sich in Zukunft vor Schadprogrammen schützen können.
• Informationen zu Virenschutz und Firewall
  Auf den Webseiten des finden sich Informationen zu den Themen Virenschutz und Firewalls.
• Informationen zu Software- und Sicherheitsupdates
  Auf den Webseiten des finden sich Informationen zum Thema Software- und Sicherheitsupdates. Hier ist auch eine Schritt-für-Schritt Anleitung für automatische Updates abrufbar.
• Broschüre "Cybersicherheit für "
  Die Broschüre bietet einen leicht verständlichen Einstieg, um ihr Cybersicherheitsniveau zu verbessern, denn Informationssicherheit ist die Voraussetzung für eine sichere Digitalisierung.

OT-Systeme

• -Security-Kompendium
  Das ICS-Security-Kompendium richtet sich an Betreiber, Integratoren, Maschinenbauer und Hersteller von industriellen Steuerungsanlagen und Komponenten. Es werden einige allgemeine Grundlagen der Automation erläutert, sowie auf Besonderheiten und Standards in diesem Bereich aufmerksam gemacht. Abgerundet wird das Thema durch eine Sammlung von Maßnahmen und einer Vorgehensweise, um die Umsetzung zu prüfen.
• Supply Chain Security Dokumentenreihe
  Die Dokumente ermöglichen Synergien in der Lieferkette, spezifizieren VDMA-Mindestanforderungen an Cybersecurity, erlauben eine einheitliche Lieferantenqualifizierung und geben Handlungsvorschläge für die Umsetzung von Cybersecurity-Anforderungen und deren Abnahme.
• -Einheitsblatt 24774 -Sicherheit in der Gebäudeautomation
  Das VDMA-Einheitsblatt soll Planer, Errichter und Betreiber dabei unterstützen, Maßnahmen für -Sicherheit von neuen und schon errichteten GA-Systemen umzusetzen. Dies betrifft den gesamten Lebenszyklus inklusive Wartung, Service und Rückbau.
• AMEV-Empfehlung 169 - Gebäudeautomation
  Hinweise für Planung, Ausführung und Betrieb der Gebäudeautomation in öffentlichen Gebäuden.

Schwachstellenmanagement

• Informationen zum
  Auf den Webseiten des finden sich weitere Informationen zum Common Security Advisory Framework (). Auch die entsprechende technische Richtlinie -03191 ist hier abrufbar.
• Management Blitzlicht "Automatisiertes Schwachstellenmanagement mit dem Common Security Advisory Framework"
  Das Common Security Advisory Framework () ermöglicht die standardisierte und automatisierte Bereitstellung, Verteilung und den Abruf von Sicherheitsinformationen. Das Management Blitzlicht empfiehlt Unternehmen den Einsatz von , um schneller auf Bedrohungen zu reagieren, Risiken gezielt zu reduzieren und ihre -Resilienz nachhaltig zu erhöhen.
• Schwachstellenmanagement mit
  Auf den Webseiten des finden sich Informationen zum OpenSource Schwachstellenscanner .
• Einstiegshilfe für Schwachstellenanalysen von Webportalen
  Die Broschüre bietet Verantwortlichen von Verwaltungsportalen einen leichten Einstieg in die Thematik rund um die Planung und Durchführung von Schwachstellenanalysen.