B3S Beratung

KRITIS-Betreiber oder die mit ihnen verbundenen Branchen können einen „branchenspezifischen Sicherheitsstandard“ (B3S) konkretisieren, um höchste Anforderungen zu erfüllen, die dann zur Bewertung an das BSI geschickt werden. Dies ist nicht verpflichtend, gibt aber Fachleuten die Möglichkeit, ihre eigenen Spezifikationen mit Hilfe von Fachwissen zu formulieren und bietet Rechtssicherheit, wenn sie gegen anerkannte B3S Standards geprüft werden.

Vorteile durch die Umsetzung von B3S

  • Wettbewerbsvorteile gegenüber nicht zertifizierten Unternehmen
  • Schutz vor unbefugtem Zugriff auf sensible Daten
  • Bedingung für Betreiber einer Branche
  • B3S Standard ist ein einheitlicher Standard, der von Partnerunternehmen anerkannt wird
  • B3S kann als Vorbereitung für eine ISO 27001 Zertifizierung genutzt werden
Sie wollen Ihre IT-Sicherheit mit dem B3S Standard umsetzen, dann sprechen Sie unverbindlich mit uns.

IT-Sicherheit im Gesundheitswesen

Krankenhäuser stehen unter enormem Druck, um zu beweisen, dass ihre IT-Systeme und -Prozesse den höchsten Sicherheitsstandards entsprechen, wie vom Bundesamt für Sicherheit in der Informationstechnik vorgeschrieben. Um den Betrieb kritischer Infrastrukturen vor Cyberangriffen zu schützen, müssen Krankenhäuser bei der Abwehr potenzieller Bedrohungen wachsam bleiben.

B3S führt ein Information Security Management System (ISMS) ein, um einen transparenten Sicherheitsstandard zu schaffen. Dieses System basiert auf den Standards des deutschen Bundesamts für Sicherheit in der Informationstechnik und orientiert sich an globalen Protokollen wie ISO 27001 und 27799, was den Kunden die Gewissheit gibt, dass ihre Daten sicher bleiben.

Vorteile des B3S Sicherheitsstandard

Betreiber kritischer Infrastrukturen und ihre Branchenverbände haben die Möglichkeit zu zeigen, dass sie die Bestimmungen von § 8a (1) BSIG proaktiv einhalten. Eine solche Einhaltung hat zahlreiche Vorteile:

  1. ein geringeres operatives Risiko,
  2. ein größeres Vertrauen der Interessengruppen,
  3. B3S hilft, eine geeignete Methode zur Umsetzung von IT-Sicherheitsmaßnahmen zu finden,
  4. Berücksichtigung branchenspezifischer Anforderungen an IT-Sicherheit,
  5. Verwendung von Best Practices in der branchenspezifischer IT-Sicherheit.

Nachweis der Umsetzung des B3S Sicherheitsstandard

Damit Unternehmen die Sicherheitsanforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfüllen können, bieten wir einen umfassenden zweistufigen Prozess an, der auf anerkannten Standards wie ISO 27001 und B3S sowie auf unseren Erfahrungen aus anderen KRITIS-Sektoren wie Wasser, Energie und Verkehr basiert.

In Stufe 1 werden Bewertungen vorgenommen, während Stufe 2 weitere Schritte einschließlich Tests umfasst. Nach Abschluss des Verfahrens erhalten Sie den Nachweis (§ 8a BSIG), dass Ihr Unternehmen alle relevanten Anforderungen des BSI-Auditleitfadens erfüllt.

Warum Sie mit uns arbeiten sollten

Leistungen

  • Stellung eines externen Informationssicherheitsbeauftragten (ISB) zur Erfüllung operativer Aufgaben im Aufbau eines ISMS,
  • Bestandsaufnahme des derzeitigen Stands der Informationssicherheit in Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit,
  • Einführung und Umsetzung der grundlegenden ISMS Prozesse,
  • Verteilung von Zuständigkeiten sowie Abgrenzung des Geltungsbereichs des ISMS,
  • Etablierung eines Risiko-Managementsystems in ihrem Unternehmen sowie Durchführung von Risikoanalysen und deren Behandlung,
  • Aufbau eines internen Kontrollsystems, das sich fortlaufend um die Überwachung und Verbesserung ihres ISMS kümmert,
  • Planung und Durchführung von internen Audits zur Informationssicherheit,
  • Vorbereitung und Begleitung externer Audits (z.B.: ISO27001 oder B3S) von Zertifizierungsstellen wie TÜV, Dekra oder durch Kunden,
  • Verteilung von Zuständigkeiten sowie Abgrenzung des Geltungsbereichs des ISMS,
  • Etablierung eines Risiko-Managementsystems in Ihrem Unternehmen.
    der Aufbau eines internen Kontrollsystems, das sich fortlaufend um die Überwachung und Verbesserung Ihres ISMS kümmert.

Ablauf einer B3S Beratung

Unsere erfahrenen IT-Sicherheitsberater sind mit den Risiken, Chancen und Compliance-Anforderungen von KMUs, Unternehmen und Behörden bestens vertraut. Nutzen Sie unsere spezialisierte Beratung, um sicherzustellen, dass Ihr Unternehmen von einem optimalen Schutz vor potenziellen Bedrohungen profitiert.

Setup

Unser Expertenteam bietet eine maßgeschneiderte Sicherheitsstrategie, um sicherzustellen, dass Ihr Unternehmen gegen alle Risiken geschützt ist. Unsere Lösungen maximieren die Konformität mit den Anforderungen der Branche, dem B3S-Standard und sind gleichzeitig auf die Ziele Ihres Unternehmens abgestimmt.

Analyse

Unser erfahrenes technisches Team untersucht Ihre IT, Ihre Infrastruktur und Ihre Schnittstellen eingehend, um die notwendigen Sicherheitsanforderungen zu ermitteln. Wir gehen über die traditionellen Maßnahmen zur Überprüfung der Einhaltung von IT-Compliance Vorschriften hinaus und geben Ihnen die Gewissheit, dass eine umfassende Risikobewertung auf der Grundlage der besten Praktiken der Branche vorliegt.

Konzept

Auf Basis Ihrer Anforderungen erstellen wir ein IT-Sicherheitskonzept. Wir entwickeln ein umfassendes Konzept, das geeignete Optionen für die Umsetzung aufzeigt. Das letzte Wort haben Sie!

Lösung

Alle notwendigen Maßnahmen werden – von kurzfristigen bis hin zu langfristigen Sicherheitsmaßnahmen – entwickelt und sorgfältig umgesetzt. Technische Aspekte werden nahtlos mit organisatorischen, personellen und infrastrukturellen Überlegungen kombiniert, um einen maximalen Schutz vor den identifizierten Risiken zu gewährleisten.

Reporting

Unser erfahrenes Team sorgt dafür, dass Sie bei der Umstellung auf einen produktiven Betrieb die beste Unterstützung erhalten – für den Erfolg aller Beteiligten! Darüber hinaus bieten wir regelmäßige Berichte mit entsprechender Dokumentation sowie spezielle Kommunikationskanäle wie Statusberichte, damit Schwachstellen schnell behoben werden können und Sie immer auf dem aktuellen Stand sind.

Beratung

Mit einem kontinuierlichen Verbesserungsprozess (KVP) sorgt die Überwachung im laufenden Betrieb dafür, dass das IT-Sicherheitskonzept stets auf dem neuesten Stand ist. Die regelmäßige Analyse der Umsetzung und der festgelegten Leistungskennzahlen (KPIs) ermöglicht es uns, auf Schwachstellen zu reagieren oder neu erkannte Sicherheitslücken für weitere Optimierungen zu nutzen.

Wir bieten Ihnen umfassende strategische End-to-End-Unterstützung im Bereich der Informationssicherheit – von der ersten Planung bis zur erfolgreichen Implementierung. Unser Team steht Ihnen dabei als zuverlässiger Partner und Berater zur Seite.

Ziele

Profitieren Sie von unserer Zusammenarbeit

Vertraulichkeit, Integrität und Verfügbarkeit der Informationen in ihrem Unternehmen gewährleisten.

Sicherheitslösung so zu in die Betriebsstrukturen integrieren, dass sie den Betriebsalltag nicht beeinträchtigen und die Geschäftsziele unterstützen.

Für das Management transparente und klare ISMS-Strukturen schaffen, die einen echten Mehrwert im Verhältnis zum Aufwand bringen.

Ihre Ansprechpartner

Zukunftsorientierte IT-Sicherheit für langfristigen Geschäftserfolg.

Dr. Michael Gorski

Als Experten für IT-Sicherheit im Gesundheitswesen sind wir an Ihrer Seite. Kontaktieren Sie uns.

Gerne beantworten wir Ihre Fragen und erstellen Ihnen ein individuelles Angebot.

Mehr über B3S in unseren Videos

ISMS Was ist das? (Information Security Management System)

ISO 27001 und Security Monitoring (So erfüllt Ihr SOC die ISO 27001)

ISO 27001 und Security Monitoring (So erfüllt Ihr SOC die ISO 27001)

Häufig gestellte Fragen

zum Thema B3S Beratung

Die Sicherheitsanforderungen und Maßnahmen zur Einhaltung von Abschnitt 8a (1) BSIG können je nach Branche unterschiedlich sein. B3S, die in der Regel nicht von Normungsorganisationen verfasst werden, sondern durch kollektive Bemühungen von Branchenvertretern konzeptionell aufgebaut werden, bieten eine Möglichkeit, diese Kriterien zu erfüllen. Es ist zwar möglich, dass es in einem Sektor mehrere solcher Dokumente gibt, einschließlich solcher, die auf bestimmte Umgebungen oder Situationen zugeschnitten sind, aber es besteht weder eine gesetzliche Verpflichtung, ein B3S zu entwickeln, noch müssen sich CRITIS-Betreiber an ein solches Dokument halten, selbst wenn es für ihren jeweiligen Bereich verfügbar ist.

Jeder Betreiber ist dafür verantwortlich, ein B3S zu verwenden, das seinen individuellen Bedürfnissen entspricht. Die gewählten Maßnahmen müssen wirksam und zuverlässig sein, um den Anforderungen an die Sicherheit zu genügen; eine Verpflichtung, die allein dem Betreiber obliegt.

Branchenspezifischen Sicherheitsstandards existierten für folgende Sektoren:

  • Energie
  • Wasser
  • Ernährung
  • IT und Telekommunikation
  • Gesundheit
  • Finanz- und Versicherungswesen
  • Transport und Verkehr

Unser Team hat große Erfahrung in der Durchführung von Sicherheitsaudits, Tests und Zertifizierungen für KRITIS-Betreiber. Wir stellen sicher, dass alle Prozesse den hohen Standards des BSI entsprechen – von den Anforderungen der ISO 27001 bis hin zu speziellen Prüfverfahren, die speziell für KRITIS-Sektoren wie Wasserlieferungen oder Transportsysteme entwickelt wurden. Aufgrund unserer bewährten Methoden sind wir vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als akkreditierte Zertifizierungsstelle mit voller Kompetenz anerkannt worden.

Ein B3S muss alle zwei Jahre überprüft werden, um sicherzustellen, dass er noch auf dem neuesten Stand der Sicherheitsbedrohungen und der für einen optimalen Schutz erforderlichen Maßnahmen ist. 

Wenn eine Bewertung eines B3S nicht mehr den aktuellen Standards entspricht, behält sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Recht vor, die Zulassung zu widerrufen. Dies geschieht jedoch nicht automatisch – wenn Änderungen erforderlich sind, müssen beide Seiten aktiv werden. Es sind auch keine Übergangsfristen erforderlich, um die Eignung im Hinblick auf die Zertifizierungsanforderungen des IT-Grundschutzes zu prüfen.

Um die zweijährige Eignungsprüfung des BSI zu bestehen, müssen Unternehmen kontinuierlich nachweisen, dass ihre im Baseline Security Standard (B3S) beschriebenen Sicherheitsmaßnahmen modernen Standards entsprechen. Gemäß § 8a der BSIG-Gesetz müssen Unternehmen regelmäßig überprüfen, ob diese Maßnahmen zur IT-Sicherheit aktuell und auf dem neuesten Stand sind.

Die Umsetzung eines B3S ist nicht verpflichtend, bietet Unternehmen jedoch den ultimativen Schutz, wenn es um die Einhaltung aktueller Sicherheitsstandards geht. Durch den Einsatz dieses Systems können Unternehmen sicherstellen, dass sie die Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfüllen und Rechtssicherheit in ihren jeweiligen Bereichen genießen. So können sie sich beruhigt zurücklehnen und ihre Daten vor unbefugtem Zugriff oder anderen bösartigen Aktivitäten schützen.

Der Betreiber einer kritischen Infrastruktur, wie sie von der BSIG definiert wird, ist letztendlich für die Einhaltung von Abschnitt 8a (1) in Bezug auf seinen eigenen Betrieb verantwortlich. Wenn er sich stattdessen dafür entscheidet, Teile dieser Arbeit auszulagern, wird empfohlen, die Anforderungen an die Umsetzung in den entsprechenden Verträgen mit Dritten klar zu formulieren. Das Gleiche gilt, wenn die Auslagerung von IT-Dienstleistungen auch für den Betrieb kritischer Infrastrukturen erforderlich ist. Allerdings sind Beschaffungen für andere öffentliche Dienstleistungen ausgenommen, es sei denn, sie stehen in direktem Zusammenhang mit der Kerndienstleistung selbst.

Der Begriff „Stand der Technik“ beschreibt den neuesten Stand der Entwicklung in einem Gerät, einem Bereich oder einer Technik. Es ist ein häufig verwendeter Begriff, der bedeutet, dass ein Produkt mit den zum jeweiligen Zeitpunkt verfügbaren modernen Technologien und Methoden innovativ hergestellt wurde.

Durch die Entwicklung eines B3S erhalten die Betreiber einen organisierten Leitfaden zur Ermittlung der notwendigen Schutzziele und Risiken. Diese Anforderungen können von technischen Spezifikationen bis hin zur Verwendung bestimmter Methoden oder Verfahren reichen. Dieser Ansatz ist über mehrere IT-Rahmenwerke hinweg anwendbar und ermöglicht eine größere Autonomie bei der Umsetzung durch auf Sicherheitsumgebungen spezialisierte Betreiber.

In einer Branche können mehrere B3S zulässig sein, wenn bestimmte Bereiche des Systems spezielle Sicherheitsprotokolle erfordern. Außerdem behält jeder Autor das Eigentum an seinen jeweiligen Entwürfen, während Betreiber in diesem Bereich möglicherweise nicht auf alle verfügbaren Modelle zugreifen können.