Definitionen Was ist B3S?

Autor / Redakteur: zeroshope / Manfred Klein

Dem Namen nach meint B3S einen Sicherheitsstandard für IT-Infrastrukturen. Tatsächlich handelt es sich jedoch um eine Richtlinie, die beispielsweise Kliniken helfen soll, den Vorschriften zu genügen, die das IT-Sicherheitsgesetz vorgibt.

B3S: Richtlinie für IT-Sicherheit kritischer Infrastrukturen
B3S: Richtlinie für IT-Sicherheit kritischer Infrastrukturen
(© aga7ta - Fotolia)

Das IT-Sicherheitsgesetz schreibt vor, dass kritische Infrastrukturen (KRITIS) im Bereich der Informations­technologie „nach dem Stand der Technik“ abgesichert sein müssen. Die Betreiber sind verpflichtet, dies regelmäßig gegenüber dem BSI als zuständigem Bundesamt nachzuweisen.

Seit 2019 werden beispielsweise auch Krankenhäuser in diese Regelung einbezogen, die mindestens 30.000 vollstationäre Behandlungsfälle pro Jahr verzeichnen. Sie werden entsprechend als „KRITIS-Kliniken“ bezeichnet. B3S ist eine branchenspezifische Richtlinie, um Betreibern solcher Infrastrukturen zu helfen, diese gesetzeskonform zu sichern.

Über B3S – von Betreibern kritischer Infrastrukturen und zuständigen Verbänden geschrieben

B3S steht als Kurzform für Branchen-Spezifische-Sicherheits-Standards. Statt BSSS haben die Schöpfer die windschnittigere Variante B3S erdacht. In folgender Weise wird eine entsprechende Richtlinie geschrieben:

  • 1. Das BSI macht generelle Vorgaben, welche Inhalte eine B3S-Richtlinie haben muss.
  • 3. Die zuständigen Branchenverbände prüfen, welche ihrer Mitglieder von den Vorgaben erfasst werden.
  • 4. Die Verbände bestimmen Experten (oft in der Form einer AG oder eines Ausschusses), um die eigene Richtlinie zu verfassen.
  • 5. Die Experten laden Betreiber kritischer Infrastrukturen dazu ein, sich an der Arbeit zu beteiligen.
  • 6. Das Ergebnis wird vom Branchenverband bestätigt und dem BSI zur Prüfung vorgelegt.
  • 7. Dieses akzeptiert die Richtlinie entweder oder gibt diese mit der Bitte um Verbesserungen an den jeweiligen Verband zurück.

B3S-Prüfplan am Beispiel Krankenhaus

Eine B3S-Richtlinie schreibt einen Prüfplan vor, um die eigenen Sicherheitsvorgaben zu testen. Letztere lassen sich nicht verallgemeinern, da es branchenspezifisch zu große Unterschiede gibt, wie eine kritische Infrastruktur abzusichern ist. Dagegen ist der Prüfplan für KRITIS-Krankenhäuser geeignet, um einen allgemeinen Eindruck zu vermitteln. Zuerst wird die Dokumente in Augenschein genommen, die alle Sicherheitsmaßnahmen beschreiben. Anschließend kommt es zu einer Vorort-Prüfung. Hier können zum Beispiel Angriffe simuliert werden. In einer Nachbereitung werden die Ergebnisse analysiert und abschließend in einem Prüfbericht dargestellt. Dieser enthält in der Regel auch Empfehlungen, um etwaige Schwachstellen zu beseitigen.

(ID:47022236)