Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung
Die Betreiber Kritischer Infrastrukturen sowie Betreiber von Energieversorgungsnetzen sind in Deutschland dazu verpflichtet, Angriffserkennung zu leisten, um ihre Informationssysteme zu schützen. Nach einer Neuerung im BSIG und im EnWG müssen Systeme zur Angriffserkennung (SzA) Bestandteil der Nachweise gegenüber dem BSI sein.
KRITIS-Betreiber müssen
- angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen und
- eine systematische Bewertung der getroffenen Maßnahmen unter Verwendung eines Umsetzungsgradmodells nachweisen.
Orientierungshilfe SzA des BSI
Eine Orientierungshilfe SzA des BSI beschreibt die Vorstellung des BSI, welche Anforderungen Betreiber Kritischer Infrastrukturen und Betreiber von Energieversorgungsnetzen für SzA erfüllen sollen. Dabei wird davon ausgegangen, dass unabhängig von der Art und Ausrichtung einer Institution überall versorgungsrelevante Informationen sicher verarbeitet werden müssen, gängige IT-Systeme eingesetzt werden und ähnliche Umfelder existieren.
Gesetzlicher Hintergrund
Wann müssen Betreiber Kritischer Infrastrukturen (KRITIS) Systeme zur Angriffserkennung einsetzen?
Gemäß § 8a Absatz 1a BSIG sind Betreiber Kritischer Infrastrukturen ab dem 1. Mai 2023 verpflichtet, solche Systeme zur Angriffserkennung als Teil der angemessenen Vorkehrungen nach Absatz 1 einzusetzen, um Störungen der von ihnen betriebenen Kritischen Infrastruktur zu vermeiden. Dabei soll der Stand der Technik eingehalten und der ordnungsgemäße Einsatz der Angriffserkennungssysteme mit dem Nachweis nach § 8a Absatz 3 BSIG ebenfalls nachgewiesen werden.
Wann müssen Betreiber von Energieversorgungsnetzen und Energieanlagen Systeme zur Angriffserkennung einsetzen?
Für Betreiber von Energieversorgungsnetzen und Energieanlagen, die nach § 8d BSIG von der KRITIS-Regulierung gemäß BSIG ausgenommen sind, gelten die Neuerungen für „Systeme zur Angriffserkennung“ parallel gemäß § 11 Absatz 1e und 1f EnWG. Der Nachweis des ordnungsgemäßen Einsatzes der Systeme zur Angriffserkennung ist ebenfalls gegenüber dem BSI vorzulegen. Dies umfasst ebenfalls die Übermittlung der Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen der Systeme zur Angriffserkennung einschließlich der dabei aufgedeckten Sicherheitsmängel.
Sicherheitsstandards zum Nachweis von SzA
BSI IT-Grundschutz Bausteine
Weitere Orientierung zum Thema Angriffserkennung bietet der IT-Grundschutz des BSI, dort unter anderem folgende Bausteine des BSI IT-Grundschutz des BSI, dort unter anderem die Bausteine
- OPS.1.1.4 Schutz vor Schadprogrammen
- OPS.1.1.5 Protokollierung
- NET.1.2 Netzmanagement
- NET.3.2 Firewall
- DER.1 Detektion von sicherheitsrelevanten Ereignissen
- DER.2.1: Behandlung von Sicherheitsvorfällen
Der Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen macht verbindliche SzA Vorgaben für die Bundesverwaltung.
ISO/IEC 2700x-Reihe
In der ISO/IEC 2700x-Reihe und der Norm IEC 62443 werden ebenfalls Anforderungen an Detektion und Reaktion formuliert.
NIST
Auch der „The Standard of Good Practice for Information Security“ des Information Security Forum (ISF) sowie die Special Publication 800-61 Revision 2 und 800-83 Revision 1 des National Institute of Standards and Technology (NIST) enthalten Empfehlungen zu Detektion und Reaktion.
Die Orientierungshilfe des BSI gibt keinen allgemeinen Überblick über das IT-Sicherheitsgesetz bzw. die Rechte und Pflichten der Betreiber Kritischer Infrastrukturen. Die hier aufgeführten Informationen zur weiteren Lektüre erheben keinen Anspruch auf Vollständigkeit.
Anforderungen an Systeme zur Angriffserkennung
Die technische Funktionalität eines Systems zur Angriffserkennung basiert im Wesentlichen auf Abläufen, die sich den Bereichen
- Protokollierung (Fortlaufende Auswertung der gesammelten Information),
- Detektion (Erkennung der sicherheitsrelevanten Ereignisse anhand der gesammelten Informationen) und
- Reaktion (Implementierung von Maßnahmen, um Störungen infolge von Angriffen zu verhindern oder auf sie zu reagieren)
zuordnen lassen.
Die Anforderungen für diese Funktionsbereiche haben - differenziert nach der Planung und Umsetzung adäquater Maßnahmen - wiederum drei verschiedene Anforderungsausprägungen, die sich in der geforderten Verbindlichkeit der Umsetzung unterscheiden (Muss, Sollte, Kann).

Umsetzungsgradmodell
Die Qualität der eingesetzten Systeme gemäß § 8a Absatz 1a BSIG bzw. nach § 11 Absatz 1e EnWG lässt sich mit Hilfe eines Umsetzungsgradmodells bewerten. Dieses können Auditoren und Prüfer nutzen, um zu beurteilen, wie weit die organisatorischen und technischen Maßnahmen in der geprüften Kritischen Infrastruktur fortgeschritten sind. Das Modell in fuentis ISMS orientiert sich hierbei an den oben formulierten Anforderungen und somit am IT-Grundschutz des BSI.
Nachweiserbringung zu SzA
Nach dem BSIG regulierte Betreiber müssen dem BSI alle zwei Jahre ihre Nachweise gemäß § 8a Absatz 3 BSIG einreichen. Nachweise, die dem BSI ab dem 1. Mai 2023 vorgelegt werden, müssen auch Aussagen zur Umsetzung des § 8a Absatz 1a BSIG, also zum Einsatz von Angriffserkennungssystemen, enthalten.
Betreiber von Energieversorgungsnetzen und solchen Energieanlagen, die nach der Rechtsverordnung gemäß § 10 Absatz 1 BSIG als Kritische Infrastruktur gelten, haben gemäß § 11 Absatz 1f EnWG dem Bundesamt für Sicherheit in der Informationstechnik erstmalig am 1. Mai 2023 und danach alle zwei Jahre die Erfüllung der Anforderungen nach § 11 Absatz 1e EnWG nachzuweisen.
Die fuentis AG unterstützt Sie mit der fuentis ISMS bei Ihrer Nachweiserbringung zu SzA.
Kontaktieren Sie uns gerne für weitere Informationen hierzu.