IT-Sicherheit bei der Beförderung von Großquellen

Jährlich werden in Deutschland etwa 10 bis 20 Transporte von Großquellen realisiert. Bei den zu befördernden Großquellen handelt es sich in der Regel um Kobalt-60-Quellen, die u.a. in der Medizin zum Einsatz kommen, zum Beispiel zur Sterilisation von medizinischen Produkten. Die Beförderung dieser Quellen innerhalb Deutschlands wird gegenwärtig von zwei inländischen Unternehmen durchgeführt.

Das Bundesamt für die Sicherheit der nuklearen Entsorgung (BASE) ist zuständig für die Erteilung von Genehmigungen für die Beförderung von Großquellen nach §§ 27 und 29 StrlSchG.

Voraussetzung für die Erteilung einer solchen Genehmigung ist u.a., dass der erforderliche Schutz gegen Störmaßnahmen oder sonstige Einwirkungen Dritter (kurz SEWD) gewährleistet ist. Darunter fallen z.B. Terror- und Sabotageakte mit dem Ziel einer Freisetzung radioaktiver Stoffe oder der Versuch, radioaktives Material zu entwenden.

"SEWD-Richtlinie sonstige radioaktive Stoffe" fordert IT-Sicherheit

Ob der Schutz gegen SEWD sichergestellt ist, prüft das BASE anhand der „Richtlinie für den Schutz gegen Störmaßnahmen oder sonstige Einwirkungen Dritter beim Umgang mit und bei der Beförderung von sonstigen radioaktiven Stoffen (SEWD-Richtlinie sonstige radioaktive Stoffe)“. Sie gilt seit dem 01.01.2021 und gibt vor, welche sicherungstechnischen Maßnahmen durch den Antragsteller/ Genehmigungsinhaber bei der Beförderung von Großquellen umzusetzen sind.

Zusätzlich zu den konventionellen sicherungstechnischen Maßnahmen schreibt diese SEWD-Richtlinie Anforderungen und Maßnahmen zur Sicherung der eingesetzten Informationstechnik vor. So ist mindestens ein Sicherungsniveau zu gewährleisten, das den Standardsicherungsmaßnahmen des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entspricht.

Anforderungskatalog für die IT-Sicherheit erstellt

Da der IT-Grundschutz des BSI jedoch für Behörden und Unternehmen jeder Größenordnung und branchenunabhängig entwickelt wurde, sind nicht alle, sondern nur einzelne Teile davon relevant für die IT-Sicherheit bei der Beförderung von Großquellen. Deshalb hat das BASE in Zusammenarbeit mit der Sachverständigenorganisation TÜV Süd Industrie Service GmbH eine Konkretisierung der Standardmaßnahmen des BSI-Grundschutzes erarbeitet. Die Ergebnisse dieser Arbeiten sind in einem Anforderungskatalog zusammenfassend dargestellt:

Anforderungskatalog zum Nachweis der IT-Sicherheit bei der Beförderung von Großquellen (PDF, 448 KB, Datei ist barrierefrei⁄barrierearm)

In einem gesonderten Teil des Anforderungskatalogs wird für ein beispielhaft gewähltes IT-System die Umsetzung der Maßnahmen des IT-Grundschutzes exemplarisch dargestellt. Auf Grund der Inhalte dieses sog. Anwendungsbeispiels unterliegt dieser Teil des Anforderungskatalogs der Geheimhaltung. Er kann von Antragstellern bei Bedarf beim BASE angefordert werden, um die Erstellung der notwendigen IT-spezifischen Nachweisunterlagen zu erleichtern.

Umsetzung des Anforderungskatalogs in den Nachweisen durch die Antragsteller

Unter Rückgriff auf den Anforderungskatalog haben die Antragsteller zum Nachweis der IT-Sicherheit bei den beantragten Beförderungen von Großquellen ein sogenanntes IT-Sicherheitskonzept erstellt, das sowohl Aspekte des Informationssicherheitsmanagements, wie z.B. Etablierung einer IT-Sicherheitsorganisation, als auch verschiedene Schutzthemen und -aspekte, wie z.B. sichere Installation und Modifikation sowie Überwachung von IT-Systemen, in den Blick nimmt.

Für die Prüfung dieses IT-Sicherheitskonzepts sind hochgradig spezialisierte Kompetenzen im Bereich der IT-Sicherheit erforderlich. Das BASE bedient sich daher dabei einer Sachverständigenorganisation. In Abhängigkeit von der Qualität des vorgelegten IT-Sicherheitskonzepts kann die vollständige Prüfung des Konzepts mehrere Monate in Anspruch nehmen.

Beide Unternehmen, welche Großquellentransporte in Deutschland realisieren, haben zwischenzeitlich den Nachweis der Sicherheit ihrer bei der Beförderung von Großquellen eingesetzten Informationstechnik gegenüber dem BASE vollumfänglich erbracht.