Zum Inhalte springen
Kritische Infrastrukturen

Kritische Infrastrukturen

Systeme zur Angriffserkennung – gesetzliche Neuerungen

Das eigene Unternehmen gegen Angriffe aus dem Internet und dem Cyberraum zu schützen, ist eine noch immer vernachlässigte Notwendigkeit, wenn Schutzmaßnahmen diskutiert werden. Nun werden einige Unternehmen verpflichtet, ab dem 1. Mai 2023 ganzheitliche Systeme zur Angriffserkennung (SzA) nach Stand der Technik einzusetzen und gegenüber dem BSI nachzuweisen (§ 8a Abs. 1a BSIG).

Das eigene Unternehmen gegen Angriffe aus dem Internet und dem Cyberraum zu schützen, ist eine noch immer vernachlässigte Notwendigkeit, wenn Schutzmaßnahmen diskutiert werden. Daher wurden neue gesetzliche Regeln geschaffen, die in erster Linie Betreiber Kritischer Infrastrukturen (KRITIS) betreffen, die mit Ihren Dienstleistungen einen essentiellen Beitrag zur Versorgung des Gemeinwesens leisten. Darüber hinaus sind die Maßnahmen auch für Unternehmen relevant, die keine kritische Infrastruktur darstellen, aber ebenfalls den vielschichtigen Gefahren ausgesetzt sind und ihre eigene Attraktivität für Cyberangriffe noch häufig unterschätzen. Zudem können auch mittelständische Unternehmen zu den KRITIS-Unternehmen zählen und somit direkt von der Regulierung betroffen sein. Betroffene Unternehmen müssen ab dem 1. Mai 2023 ganzheitliche Systeme zur Angriffserkennung (SzA) nach Stand der Technik verpflichtend einsetzen und gegenüber dem BSI nachweisen (§ 8a Abs. 1a BSIG).

Aktuelle Lage und Risiken von Cyberangriffen

Die Gefahr von Cyberangriffen nimmt stetig zu, da sich die Methoden der Hacker sowie ihre Schadsoftware-Varianten ständig weiterentwickeln. Beispielsweise hat die Anzahl neuer Schadprogramm-Varianten im Berichtszeitraum des BSI Lagebericht 2022 um rund 116,6 Millionen zugenommen[1]. Diese Angriffsfläche wird sowohl von Wirtschaftskriminellen als auch durch staatliche oder von Staaten beauftragte Akteure genutzt. Für letzte bieten sich durch gezielte Angriffe auf Regierungsinstitutionen und relevante Infrastrukturen neue Formen von Einflussmöglichkeiten. In dieser Kategorie spielen finanzielle Interessen bei Angriffen auf kritische Infrastrukturen eine untergeordnete Rolle. Das Ziel, einen möglichst großen Schaden im Sinne eigener gesellschaftspolitischer Ziele anzurichten, steht im Vordergrund, weshalb solche Angriffe gesamtgesellschaftlich betrachtet noch gefährlicher sind.

Am 28.05.2021 trat das IT-Sicherheitsgesetz 2.0 (IT-SiG) in Kraft und damit auch zusätzliche Pflichten, u. a. für Betreiber Kritischer Infrastrukturen. Die Betreiber Kritischer Infrastrukturen sowie Betreiber von Energieversorgungsnetzen sind in Deutschland dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen, um ihre Informationssysteme zu schützen.

Was sind Systeme zur Angriffserkennung?

Der Begriff „Systeme zur Angriffserkennung“ (SzA) bezieht sich auf eine große Bandbreite an technischen und organisatorischen Maßnahmen, die zur Angriffserkennung dienen. Diese überwachen die informationstechnischen Systeme des laufenden Betriebs, um jegliche Auffälligkeiten, die auf Cyber-Angriffe hindeuten, schnellstmöglich identifizieren zu können.

Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) gibt dafür die gesetzliche Grundlage vor. Die Definition im BSI-Gesetz lautet:

„Systeme zur Angriffserkennung im Sinne dieses Gesetzes sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten.“ (§ 2 Absatz 9b BSIG)

Wozu benötigen Sie Systeme zur Angriffserkennung?

Systeme zur Angriffserkennung (SzA) sollen ein (frühzeitiges) Erkennen von Cyberangriffen und dadurch auch eine bessere Reaktion auf diese ermöglichen. Sie wirken daher präventiv und reaktiv in den Bereichen der Schadensreduktion und Schadensvermeidung.

Die technische Funktionalität eines Systems zur Angriffserkennung basiert im Wesentlichen auf Abläufen der Protokollierung, Detektion und Reaktion.

Systeme zur Angriffserkennung müssen in der Lage sein, Muster, die auf Angriffe hindeuten können, zu erkennen, Bedrohungen zu identifizieren und Beseitigungsmaßnamen für Störungen vorzusehen. Durch das fortlaufende Sammeln von Informationen (Protokollierung) und die Analyse dieser, um sicherheitsrelevante Ereignisse zu erkennen (Detektion), können Maßnahmen implementiert werden, um Störungen infolge von Angriffen zu verhindern oder auf sie zu reagieren (Reaktion).

Was bedeutet das für Sie in der Praxis?

Wenn Sie unter die regulierten Unternehmen im Sinne des BSI-Gesetzes fallen, müssen Sie ab dem 1. Mai 2023 ganzheitliche Systeme zur Angriffserkennung (SzA) nach Stand der Technik verpflichtend einsetzen und gegenüber dem BSI nachweisen (§ 8a Abs. 1a BSIG).

Bis dahin müssen Sie

  • technische Werkzeuge zur automatischen und kontinuierlichen Protokollierung und Auswertung einführen,
  • die Angriffserkennung in die Sicherheitsorganisation Ihres Unternehmens einbinden,
  • technische und organisatorische Prozesse zur Detektion sicherheitsrelevanter Ereignisse etablieren und
  • technische und organisatorische Maßnahmen zur Reaktion auf Störungen und Angriffe definieren und implementieren.

Wie können Systeme zur Angriffserkennung etabliert werden?

Zuerst müssen Sie den aktuellen Status der Angriffserkennung in Ihrem Unternehmen erfassen, um zielgerichtet Maßnahmen zu etablieren und um künftig gesetzeskonform aufgestellt zu sein. Es empfiehlt sich eine aktuelle Einschätzung des Reifegrads Ihrer Systeme zur Angriffserkennung aus Sicht eines Auditors als Vorbereitung für Ihre nächste Nachweisprüfung einzuholen.

Zusätzlich bedarf es einer Reihe organisatorischer Voraussetzungen, damit die KRITIS-konforme Angriffserkennung auf Basis Ihrer technischen, personellen und organisatorischen Ressourcen implementiert werden kann. Dabei sollten Mehraufwand und parallele Strukturen bestenfalls durch die Harmonisierung der Systeme zur Angriffserkennung mit der bestehenden Sicherheitsorganisation und den etablierten KRITIS-Prozessen vermieden werden.

Bei der Implementierung ist stets relevant, dass das Vorgehen zur Implementierung von Maßnahmen in den Bereichen Protokollierung, Reaktion und Detektion auf Sie und die Bedürfnisse Ihres Unternehmens zugeschnitten ist.

Das BSI hat bereits eine Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung veröffentlicht ( > Link >) , die für Unternehmen und Prüfer erste Anhaltspunkte zu einer möglichen Individuellen Umsetzung bietet. Es kann jedoch eine Herausforderung sein, die einzelnen Anforderungen und deren Umsetzung zu prüfen, da die Zuständigkeiten in gewachsenen Strukturen auch verteilt über verschiedene Organisationseinheiten gestreut sein können.

Wir unterstützen Sie gerne!

Die RST Informationssicherheit GmbH unterstützt Sie gerne bei der Umsetzung – modular, oder auch während des gesamten Prozesses. Profitieren Sie von unserer jahrelangen KRITIS- und Auditerfahrung, während wir Ihnen bei allen Teilschritten beratend zur Seite stehen:

  • Wir bewerten Ihre aktuellen Systeme zur Angriffserkennung anhand der BSI-Anforderungen.
  • Ergebnis: Schnelle Erhebung des IST-Stands der Angriffserkennung Ihres Unternehmens zur Ermittlung von Optimierungspotenzialen
  • Mehrwert: Sie kennen den aktuellen Status und können zielgerichtet nachbessern, um zukünftig gesetzeskonform aufgestellt zu sein.
  • Wir beraten Sie zu den notwendigen und geeigneten organisatorischen Voraussetzungen für die KRITIS-konforme Angriffserkennung auf Basis Ihrer Risikobewertung und der technischen und personellen Ressourcen.
  • Ergebnis: Schaffung der notwendigen organisatorischen Voraussetzungen auf Basis Ihrer technischen, personellen und organisatorischen Ressourcen
  • Mehrwert: Maßnahmen, die Sie etablieren, basieren auf gesetzlichen Grundlagen und Anforderungen.
  • Wir helfen Ihnen, die neuen Anforderungen in Ihre bestehende Sicherheitsorganisation und bereits etablierte KRITIS-Prozesse zu Integrieren und parallele Strukturen zu vermieden.
  • Ergebnis: Harmonisierung der Systeme zur Angriffserkennung mit der bestehenden Sicherheitsorganisation und den etablierten KRITIS-Prozessen Ihres Unternehmens
  • Mehrwehrt: Durch abgestimmte Prozesse nutzen Sie Synergieeffekte und vermeiden unnötigen Mehraufwand und parallele Strukturen.
  • Wir entwickeln für Sie ein auf Ihren Geltungsbereich zugeschnittenes Vorgehen zur Implementierung von Maßnahmen in den Bereichen Protokollierung, Reaktion und Detektion basierend auf unserer jahrelangen KRITIS-Erfahrung.
  • Ergebnis: Auf Sie und Ihre Bedürfnisse zugeschnittenes Vorgehen zur Implementierung von Maßnahmen in den Bereichen Protokollierung, Reaktion und Detektion
  • Mehrwert: Sie erhalten Handlungsempfehlungen für ein kosten- und zeiteffektives Vorgehen zur Implementierung basierend auf unserer jahrelangen KRITIS-Erfahrung.
  • Wir geben Ihnen eine professionelle Einschätzung zum Reifegrad Ihrer Systeme zur Angriffserkennung aus Sicht eines Auditors als Vorbereitung für Ihre nächste §8a (3) BSIG-Nachweisprüfung.
  • Ergebnis: Prüfung der KRITIS-Konformität Ihrer Systeme zur Angriffserkennung Ihres Unternehmens aus Sicht eines Auditors
  • Mehrwert: Sie erhalten eine aktuelle, unabhängige Einschätzung des Reifegrads Ihrer Systeme zur Angriffserkennung als Vorbereitung für Ihre nächste Nachweisprüfung.

Damit Systeme zur Angriffserkennung reibungslos und effektiv mit vorhandenen Systemen und Prozessen arbeiten, empfiehlt sich die Implementierung eines ganzheitlichen Informationssicherheitsmanagementsystems (ISMS). Gerne beraten wir Sie auch diesbezüglich, um das optimale Vorgehen für Ihren Bedarfsfall zu ermitteln und gesetzeskonform umzusetzen.

[1]BSI: „Bericht zur Lage der IT-Sicherheit in Deutschland 2022“, Oktober 2022, Seite 13

Haben Sie noch Fragen?

Dann kontaktieren Sie gerne unsere RST-Ansprechpartner oder senden Sie uns eine Anfrage über das Kontaktformular:

Kontaktformular

 

Das könnte Sie auch interessieren:

Informationssicherheit - unsere Leistungen │ Schutzziele der Informationssicherheit  │  Kritische Infrastrukturen │ Digitalisierung │ Familienunternehmen │ Öffentliche Unternehmen │ Unternehmensberatung