Das Bundesamt für die Sicherheit der nuklearen Entsorgung (BASE) erteilt Genehmigungen für den Transport von Großquellen nach §§ 27 und 29 des Strahlenschutzgesetzes (StrlSchG). Voraussetzung für die Erteilung einer solchen Genehmigung ist u.a., dass der erforderliche Schutz gegen Störmaßnahmen oder sonstige Einwirkungen Dritter (kurz SEWD) gewährleistet ist. Darunter fallen z.B. Terror- und Sabotageakte mit dem Ziel einer Freisetzung radioaktiver Stoffe oder der Versuch, radioaktives Material zu entwenden.

„SEWD-Richtlinie sonstige radioaktive Stoffe“ fordert IT-Sicherheit

Ob der Schutz gegen SEWD sichergestellt ist, prüft das BASE anhand der „Richtlinie für den Schutz gegen Störmaßnahmen oder sonstige Einwirkungen Dritter beim Umgang mit und bei der Beförderung von sonstigen radioaktiven Stoffen (SEWD-Richtlinie sonstige radioaktive Stoffe)“. Sie gilt seit dem 01.01.2021 und gibt vor, welche sicherungstechnischen Maßnahmen durch den Antragsteller/ Genehmigungsinhaber bei Großquellentransporten umzusetzen sind.

Zusätzlich zu den konventionellen sicherungstechnischen Maßnahmen schreibt diese SEWD-Richtlinie Anforderungen und Maßnahmen zur Sicherung der eingesetzten Informationstechnik vor. So ist mindestens ein Sicherungsniveau zu gewährleisten, das den Standardsicherungsmaßnahmen des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entspricht.

Anforderungskatalog für die IT-Sicherheit erstellt

Da der IT-Grundschutz des BSI jedoch für Behörden und Unternehmen jeder Größenordnung und branchenunabhängig entwickelt wurde, sind nicht alle, sondern nur einzelne Teile davon relevant für die IT-Sicherheit bei der Beförderung von Großquellen. Deshalb hat das BASE in Zusammenarbeit mit der Sachverständigenorganisation TÜV Süd Industrie Service GmbH eine Konkretisierung der Standardmaßnahmen des BSI-Grundschutzes erarbeitet. Die Ergebnisse dieser Arbeiten sind in einem Anforderungskatalog zusammenfassend dargestellt:

Anforderungskatalog zum Nachweis der IT-Sicherheit bei der Beförderung von Großquellen (PDF, 448KB, nicht barrierefrei)

In einem gesonderten Teil des Anforderungskatalogs wird für ein beispielhaft gewähltes IT-System die Umsetzung der Maßnahmen des IT-Grundschutzes exemplarisch dargestellt. Auf Grund der Inhalte dieses sog. Anwendungsbeispiels unterliegt dieser Teil des Anforderungskatalogs der Geheimhaltung. Er kann von Antragstellern bei Bedarf beim BASE angefordert werden, um die Erstellung der notwendigen IT-spezifischen Nachweisunterlagen zu erleichtern.

Umsetzung des Anforderungskatalogs in den Nachweisen durch die Antragsteller

Unter Rückgriff auf den Anforderungskatalog haben die Antragsteller zum Nachweis der IT-Sicherheit bei den beantragten Großquellentransporten ein sogenanntes IT-Sicherheitskonzept erstellt, das sowohl Aspekte des Informationssicherheitsmanagements, wie z.B. Etablierung einer IT-Sicherheitsorganisation, als auch verschiedene Schutzthemen und -aspekte, wie z.B. sichere Installation und Modifikation sowie Überwachung von IT-Systemen, in den Blick nimmt.

Für die Prüfung dieses IT-Sicherheitskonzepts sind hochgradig spezialisierte Kompetenzen im Bereich der IT-Sicherheit erforderlich. Das BASE bedient sich daher einer Sachverständigenorganisation. In Abhängigkeit von der Qualität des vorgelegten IT-Sicherheitskonzepts kann die vollständige Prüfung des Konzepts mehrere Monate in Anspruch nehmen.