Erfolgreiche Sicherheitsstrategien im digitalen Raum sind entscheidend für das moderne Internet und eine zuverlässige Infrastruktur ist das A und O, damit uns das Netz mit all seinen Funktionalitäten jederzeit zur Verfügung steht. Als verantwortlicher Betreiber dieser kritischen Infrastruktur stellt sich DENIC kontinuierlich den Herausforderungen, die das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) und das IT-Sicherheitsgesetz mit sich bringen. In diesem Beitrag beleuchten wir, wie die DENIC ihre führende Rolle in der Verwaltung von autoritativen DNS-Servern und der Top-Level-Domain-Name-Registry für .de meistert und damit die Sicherheit und Stabilität des Internets in Deutschland garantiert.
DENIC als Betreiber einer kritischen Infrastruktur
Seit 2016 zählen Teile der von DENIC betriebenen Infrastruktur zu den „Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen“. Als Betreiber einer solchen kritischen Infrastruktur muss DENIC die strengen Vorgaben des BSI-Gesetzes erfüllen, die durch das IT-Sicherheitsgesetz 2015 noch erweitert wurden. Wir haben u.a. eine Kontaktstelle eingerichtet und einen Prozess etabliert, wie erhebliche IT-Störungen innerhalb des kleinen vorgeschriebenen Zeitfensters an das BSI (Bundesamt für Sicherheit in der Informationstechnik) gemeldet werden können.
Audits im 2-Jahres-Rhythmus
Um den hohen Sicherheitsstandards gerecht zu werden, muss DENIC zudem alle zwei Jahre nachweisen, dass ihre technischen und organisatorischen Maßnahmen zur Vermeidung von Störungen auf dem neuesten Stand sind . Es gilt die Grundwerte der Informationssicherheit einzuhalten: Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität.
Prüfer und Prüfpunkte
Eine unabhängige Prüfungsstelle, wie das TÜVIT-Team, übernimmt dabei die Rolle des neutralen Überprüfers, um sicherzustellen, dass alle gesetzlichen Anforderungen korrekt und wirksam umgesetzt sind. Hat DENIC den BSI-Geltungsbereich richtig festgelegt? Wurde eine Risikoanalyse durchgeführt und gibt es einen gesetzeskonformen Prozess zur Risikobehandlung? Sind die vorgelegten Zertifikate, wie z.B. ISO/IEC 27001, ISO/IEC 22301, relevant und aussagekräftig?
Ergänzt wird die Prüfung dieser Dokumente durch eine Vor-Ort-Prüfung nach dem 4-Augen-Prinzip. Seit 2022 gehört zum Audit auch die Prüfung die Anlagenkategorie "Top-Level-Domain-Name-Registry", die mit der BSI-KritisV Änderungsverordnung neu eingeführt wurde.
Das Audit 2024
Mittlerweile sind die Audits für DENIC fast Routine. Denn nach erfolgreichen Nachweisen in den Jahren 2018, 2020 und 2022 stand die Prüfung im Januar 2024 bereits zum vierten Mal an. Allerdings entwickeln sich die Vorgaben des BSI stetig weiter, so dass in der umfassenden Vorbereitung einiges zu beachten war, insbesondere für die neu zu prüfende Kategorie und die seit Mai 2023 verbindlich zu etablierenden "Systeme zur Angriffserkennung".
Das Ergebnis 2024
DENIC hat die Herausforderung erfolgreich gemeistert. Während des zweitägigen Vor-Ort-Audits überzeugten die technischen Teams das TÜVIT-Prüfteam mit ihrer kompetenten und effektiven Umsetzung der KRITIS-Anforderungen. Das erfreuliche Ergebnis: Es gab ein paar Hinweise zur kontinuierlichen Verbesserung, größere Mängel wurden nicht festgestellt. DENIC erwartet nun den finalen Prüfbericht, der die erfolgreiche Erfüllung der gesetzlichen Anforderungen nach §8a (3) BSIG attestiert.
DENIC steht für Sicherheit
DENIC bestätigt mit ihrem jüngsten Erfolg erneut ihre Rolle als verlässlicher Pionier in der Sicherheit kritischer Infrastrukturen. Durch ihre Anpassungsfähigkeit an dynamische Sicherheitsanforderungen und ihr Engagement für strenge Standards, stärkt sie das Vertrauen in ein sicheres und stabiles Internet in Deutschland.