KRITIS

Question 1

Welche Pflichten hat eine kritische Infrastruktur (8)?

Answer 1

Identifikation
* Analyse KRITIS-Anlagen und eigene Betroffenheit (jährlich)

Registrierung
* Meldung KRITIS-Anlagen, Registrierung beim BSI

Geltungsbereich
* KRITIS-Anlagen definieren, Scope im Unternehmen

Meldungen
* Meldung Angriffe und Vorfälle ans BSI (unverzüglich)

Komponenten
* Kritische Komponenten identifizieren & melden (vor Einsatz)

Cyber Security
* Maßnahmen umsetzen nach Stand der Technik

Prüfungen
* Nachweis Cyber Security in KRITIS-Anlagen (zweijährlich)

Bußgelder
* Sanktionen bei Verstößen gegen das BSIG

Question 2

Welche kritischen Infrastrukturen gibt es?

Answer 2

• Energie
• Wasser
• Ernährung
• Gesundheit
• Transport
• Medizin
• Informationstechnik
• Finanzwesen

Question 3

Welche Vorfälle gab es im Energiesektor?

Answer 3

• Übertragungsnetzbetreiber 50Hz mit DDOS-Angriff attackiert
• Netzwerktechnik sabotiert Systeme seines Arbeitgebers EnerVest
• Schadsoftware in japanischen Kernkraftwerken

Question 4

Vorfälle im Gesundheitssektor?

Answer 4

• Computerwurm zwingt 3 Londoner KHs Computernetze abzuschalten
• Virenbefall auf den Servern bringt die IT eines KHs zum Erliegen
• Chinesische Hacker erhalten über einen Server Angriff Zugriff auf 400.000 Patientendaten

Question 5

Vorfälle in der IT?

Answer 5

• Virenbefall zentraler Komponenten eines Datennetzes
• Angriff auf Glasfaserleitungen und Transformatoren
• Teilausfall des Name Services für .de Domains

Question 6

Vorfälle in der Logistik?

Answer 6

• Sicherheitslücke in Sendungsverfolgung von DHL
• FBI beschuldigt Sicherheitsleute, ein Flugzeug gehackt zu haben
• Cyberattacke gegen das System der Polnischen Airline LOT

Question 7

Sektor Gesundheit - Welche Sicherheitsstandards gibt es im KH?

Answer 7

• Risikomanagement in der Informationssicherheit
• Definition Geltungsbereich
• Branchenspezifische Gefährdungslage
• Anforderungen und Maßnahmenempfehlungen zur Umsetzung

Question 8

Was ist ein Branchenspezifischer Standard (BJS)?

Answer 8

Branchen können selber entscheiden welche Standards für sie sinnvoll und notwendig sind. Sie können alle nötigen Sicherheitsvorkehrungen und Maßnahmen zusammenfassen.

Question 9

Welche Normen und Standards gibt es?

Answer 9

• DIN ISO 27001 - IT-Sicherheitsverfahren
• DIN EN ISO 27799 - Medizinische Informatik
• ISO 22301 - Betriebliches Kontinuitätsmanagement System (BKMS)
• DIN EN 80001, DIN 66399, DIN 13080

Question 10

Welche Teilprozesse gibt es im Standard Risikomanagement Prozessmodell?

Answer 10

1. Informationswerte und Verantwortliche ermitteln
2. Kritikalität der Informationswerte festlegen
3. Risikokriterien festlegen
4. Bedrohungen und Schwachstellen identifizieren
5. Risiken bewerten
6. Risiko behandeln
7. Risiken kommunizieren und überwachen

Question 11

Welche Notwendigen Risikobewertungen gibt es in der IT?

Answer 11

• Arbeitsplatzsysteme
• Serversysteme
• IP-Netzwerke
• Storagesysteme

Question 12

Welche Notwendigen Risikobewertungen gibt es in der Kommunikationstechnik (KT)?

Answer 12

• Rufsysteme
• Fax
• Telefon
• Warnsysteme

Question 13

Welche Notwendigen Risikobewertungen gibt es in der Medizintechnik (MT)?

Answer 13

• Patientendatenmanagementsystem
• Telemedizinische Systeme
• Patientengebundene Alarmsysteme

Question 14

Welche Notwendigen Risikobewertungen gibt es in der Versorungstechnik (VT)?

Answer 14

• Energieversorgung
• Klimatisierung
• Zufahrts- und Schrankensysteme

Question 15

Kritische Branchenspezifische Anwendungssysteme?

Answer 15

• Krankenhausinformationssysteme
• Labor-IS
• Radiologie-IS
• OP-Planungssystem

Question 16

Welche IT-Spezifischen BED Bedrohungen gibt es?

Answer 16

• BED 7: Hacking
• BED 8: Ransomware
• BED 9: Systemmissbrauch
• BED 10: gezielte Störung
• BED 11: Social Engineering
• BED 12: Identitätsmissbrauch
• BED 13: APT
• BED 14: E-Mail-Account Übernahme

Question 17

Welche Arten von SWS Schwachstellen gibt es?

Answer 17

• SWS 1: Organisatorische Mängel
• SWS 2: Technische Schwachstellen in Software, Firmware, Hardware
• SWS 3: Versagen von IT-Systemen
• SWS 4: Menschliche Fehlerhandlungen
• SWS 5: Infrastrukturelle Mängel
• SWS 6: Verwendung ungeeigneter Netze
• SWS 7: Verkoppelung von Diensten

Question 18

Wie wird die Kritikalität eines Systems bewertet?

Answer 18

• Bewertung der Kritikalität erfolgt auf Grundlage der Zeitspanne, in der nach Ausfall des Systems noch keine relevante Einschränkung der medizinischen Leistungserbringung zu erwarten ist
• KH muss über geeignete organisatorische Maßnahmen verfügen um Störungen zu überbrücken
• Erstellung von Notfallpläne nötig
• Dadurch wird die Aufrechterhaltung des IT-Supports sichergestellt

Question 19

Was sind Systeme in Klasse 1?

Answer 19

Organisation kann Systeme über einen kurzen Störungszeitraum ohne relevante Einschränkungen beherrschen

Question 20

Was sind Systeme in Klasse 2?

Answer 20

Organisation kann Systeme über einen mittleren Störungszeitraum ohne relevante Einschränkungen beherrschen

Question 21

Was sind Systeme in Klasse 3?

Answer 21

Organisation kann Systeme über einen langen Störungszeitraum ohne relevante Einschränkungen beherrschen