16.12.2022 / Fachbeitrag / Data Use for Control & Visualization

Countdown für Systeme der Angriffserkennung

Ab dem 1. Mai 2023 besteht die Verpflichtung zum Einsatz von Systemen zur Angriffserkennung gemäß dem Gesetzeswortlaut. Konkretere Anforderungen für Betreiber kritischer Infrastrukturen werden zurzeit durch das BSI erarbeitet und in Form einer Orientierungshilfe veröffentlicht. Doch was bedeutet das alles konkret für die Unternehmen und wie können oder sollten sie sich schon jetzt vorbereiten?

Das magische Datum 1. Mai 2023

Gemäß § 8a Abs. 1a BSI-Gesetz sind Betreiber kritischer Infrastrukturen ab dem 1. Mai 2023 auf den Einsatz von Systemen zur Angriffserkennung verpflichtet: „Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohung zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“

Gerade aufgrund der oben geschilderten positiven Erfahrung des BSI mit Angriffserkennungssystemen ist es eher unwahrscheinlich, dass das BSI hier über die Frist hinwegsehen wird, zumal diese Frist nicht in einer Verordnung, sondern in einem Bundesgesetz festgehalten wurde. Für Betreiber kritischer Infrastrukturen im Energiesektor ist neben § 8a Abs. 1a BSI-Gesetz auch noch § 11 (1d) EnWG zwingend zu beachten.

Gemäß § 8a (3) BSI-Gesetz müssen die Betreiber kritischer Infrastrukturen entsprechende Nachweise gegenüber dem BSI vorlegen. Bereits heute hat das BSI darauf hingewiesen, dass ab dem 1. Mai 2023 auch die Ergebnisse der Systeme zur Angriffserkennung inklusive der aufgedeckten Sicherheitsmängel vorzulegen sind. Für die meisten Betreiber kritischer Infrastrukturen aus dem Energiesektor ist hierfür § 11 (1e) die entsprechende Gesetzesgrundlage zur Umsetzung.

Theoretisch existiert bereits ein sehr guter Ansatz durch das BSI-Dokument: „Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen nach § 8 (1) 1 BSI-Gesetz“ (Version 1.0a vom 25. Februar 2021). Allerdings bezieht sich dieser 86-seitige Mindeststandard „nur“ auf die Informationstechnik des Bundes. Um den Wünschen der Betreiber kritischer Infrastrukturen entgegen zu kommen, hat das BSI ein separates Arbeitsdokument im Entwurfsstadium zum 1. Juni 2022 zur Verfügung gestellt: „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung inklusive Formulare für den Nachweis zu § 8a (1a) BSIG und § 11 (1d) EnWG.“ Selbst für den Fall, dass diese Orientierungshilfe nicht bis zum 1. Mai 2023 freigegeben sein sollte, wird dies die Betreiber kritischer Infrastrukturen nicht von ihrer Verpflichtung in Sachen Einsatz von Systemen zur Angriffserkennung entbinden. Diese Orientierungshilfe stellt im Übrigen keine verbindliche Vorgabe dar. Auf jeden Fall zu beachten sind die BSI Bausteine:

OPS.1.1.4 Schutz vor Schadprogrammen,
OPS.1.1.5 Protokollierung,
NET.1.2 Netzmanagement,
NET.3.2 Firewall,
DER.1 Detektion von sicherheitsrelevanten Ereignissen,
DER.2.1 Behandlung von Sicherheitsvorfällen sowie
Kapitel 2.2 und 2.3 des Mindeststandards des BSI zur Protokollierung und Detektion von Cyber-Angriffen nach § 8a (1) 1 BSIG.

In den Normenreihen der ISO/IEC 2700x sowie der IEC 62443 sind wichtige Anforderungen an Detektion und Reaktion formuliert. Gleichwohl reicht eine Zertifizierung nach einer dieser Normen (in der Regel) nicht aus, um einen entsprechenden Nachweis nach § 8a (1a) BSIG bzw. § 11 (1d) EnWG zu erbringen. Es empfiehlt sich hier stets eine zeitnahe Kontaktaufnahme zum BSI, die gerne bei Fragen weiterhelfen, was im Rahmen von bestehenden Zertifikaten „anerkannt“ werden kann. Unter Bezug auf § 2 (9) 1 BSIG sei darauf verwiesen, dass Systeme zur Angriffserkennung stets auch organisatorische Maßnahmen erfordern, welche bei der Planung der Ressourcenverteilung zu berücksichtigen sind.

Systeme zur Angriffserkennung beziehen sich sowohl auf die IT als auch auf die OT sowie auf weitere Bereiche, wie Rechenzentren oder Embedded-Systeme.

Für zukünftige Prüfungen im Rahmen der branchenspezifischen Sicherheitsstandards (B3S) sei auch darauf verwiesen, dass diese zukünftig Vorgaben für Systeme für Angriffserkennung abdecken müssen. Somit wird ab dem 1. Mai 2023 kein Weg mehr an Systemen zur Angriffserkennung vorbeiführen. Allgemeine Anforderungen gemäß des Entwurfs der Orientierungshilfe (OH) sind:

Signaturen von Detektionssystemen müssen immer aktuell sein,
Informationen zu aktuellen Angriffsmustern für technische Vulnerabilitäten müssen fortlaufend für die im Anwendungsbereich eingesetzten Systeme eingeholt werden,
alle zur Angriffserkennung erforderliche Hard- und Software muss auf einem aktuellen Stand gehalten werden,
alle notwendigen technischen, organisatorischen und personellen Rahmenbedingungen müssen geschaffen werden,
alle relevanten Systeme müssen so konfiguriert werden, dass bekannte Möglichkeiten der Schwachstellenerkennung genutzt werden.

Das magische Datum 1. Mai 2023

Ähnliche Beiträge

E-Magazin / Heftarchiv

Service

Sie haben noch Fragen?

Cookiename:	waconcookiemanagement
Laufzeit:	1 Jahr

Cookiename:	be_, fe_
Laufzeit:	24 Stunden

Cookiename:	energie_uxid
Laufzeit:	24 Stunden

Anbieter:	Google
Cookiename:	Google Maps API
Datenschutzlink:	https://www.google.com/intl/de_de/help/terms_maps/
Host:	https://developers.google.com

Das magische Datum 1. Mai 2023

Ähnliche Beiträge

Wir verwenden Cookies

Datenschutzeinstellungen

Notwendige Cookies

Cookies für Externe Inhalte