Systeme zur Angriffserkennung werden zur Pflicht

• System zur Angriffserkennung – was ist das?
• Nachweispflicht – allgemeine Anforderungen
• Bewertungsbasis für den Nachweis: das Umsetzungsgradmodell
• Wer kann BSI-konforme Nachweise ausstellen?
• Befreit ein Zertifikat nach ISO 27001 von der Nachweispflicht?
• Systeme zur Angriffserkennung als Pflicht – Fazit

Betreiber Kritischer Infrastrukturen müssen durch das Inkrafttreten des IT-Sicherheitsgesetz 2.0 (IT-SiG) ab dem 1. Mai 2023 Angriffserkennungssysteme nach dem Stand der Technik einsetzen und anwenden. Der Nachweis darüber ist zukünftig zusammen mit den obligatorischen Nachweisen gemäß § 8a Absatz 3 BSIG zu leisten. Aus § 8a Absatz 1a BSIG folgt, dass die im Zweijahresrhythmus abzugebenden Meldungen als unvollständig betrachtet werden, wenn sie nicht auch den Nachweis über den Betrieb eines Systems zur Angriffserkennung enthalten.

Alle Betreiber von Energieversorgungsnetzen und Energieanlagen sind als Kritische Infrastruktur nach dem EnWG reguliert und haben gemäß § 11 Absatz 1f EnWG erstmalig am 1. Mai 2023 dem BSI und danach alle zwei Jahre den SzA-Prüfnachweis einzureichen. Die Erfüllung der Anforderungen nach § 11 Absatz 1e EnWG zum Einsatz von SzA gilt auch bei einer Betriebsführung durch Dritte, da ausschließlich der Genehmigungsinhaber nachweispflichtig ist. Das betriebsführende Unternehmen muss den betriebsgeführten Genehmigungsinhaber bei der Nachweisführung zum Einsatz von SzA unterstützen.

System zur Angriffserkennung – was ist das?

Im IT-SiG 2.0 wird der § 2 Abs. 9b BSIG um die Definition von „Systemen zur Angriffserkennung“ ergänzt. SzA sind „durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme“.

Die Systeme zur Angriffserkennung müssen im laufenden Betrieb der IT-Systeme relevante Daten protokollieren, um musterbasiert mögliche Angriffe zu detektieren. Ziel ist es, fortwährend Bedrohungen zu identifizieren und zu vermeiden oder auf eventuell eingetretene Beeinträchtigungen angemessen zu reagieren.

Der Einsatz von SzA muss die informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind, abdecken. Das betrifft alle Bereiche: IT, Operational Technology (OT), Rechenzentren, Embedded Systems und weitere. Die Struktur der Vorgehensweise ist dabei immer festzulegen, was protokolliert werden muss, um anschließend diese Protokollierungsdaten auf sicherheitsrelevanten Ereignissen (SRE) auszuwerten bzw. diese zu detektieren und eine angemessene Reaktion einzuleiten.

Nachweispflicht – allgemeine Anforderungen

Um eine reibungslose Einbindung von Systemen zur Angriffserkennung in Bereiche wie IT, OT, Embedded Systems zu erleichtern, ist die Implementierung eines Informationssicherheits-Managementsystems (ISMS) eine naheliegende Voraussetzung – auch mit Blick auf die geforderte Nachweiserbringung. Als Grundlage kann ein ISMS gemäß ISO 27001 hilfreich sein.

Das in das ISMS integrierte Angriffserkennungssystem muss mit Blick auf die Anforderungen an Protokollierung, Detektion und Reaktion mindestens Folgendes bieten:

• geeignete technische, organisatorische und personelle Rahmenbedingung
• kontinuierliche Lieferung von Informationen zu Angriffsmustern
• fortlaufende Aktualisierung der Hard- und Software zur Angriffserkennung
• Sicherstellen der Aktualität der Signaturen von Detektionssystemen
• geeignete Konfiguration aller relevanten Systeme, um Versuche zur Ausnutzung von Schwachstellen zu erkennen

Bewertungsbasis für den Nachweis: das Umsetzungsgradmodell

Die vom BSI veröffentlichte Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (Version 1.0 vom 26.09.2022) gibt den Betreibern Kritischer Infrastrukturen sowie den prüfenden Stellen einen Anhaltspunkt für die individuelle Umsetzung und Prüfung der Vorkehrungen.

Zur Bestimmung, wie stark die Prozesse und Angriffserkennungssysteme im Unternehmen verankert sind, werden als Bewertungsgrundlage die jeweiligen Anforderungen an SzA bzw. deren Umsetzungsgrad verwendet. Dazu sind die Anforderungen an die systematische Angriffserkennung in MUSS-, SOLLTE- und KANN-Anforderungen untergliedert. Die Nachweiserbringung kann anhand eines sechsstufigen Umsetzungsgradmodells (Stufe 0 bis 5) erfolgen, das beauftragten Prüfern oder Auditoren die Möglichkeit gibt, den Stand der Umsetzung der Anforderungen einheitlich zu bewerten.

Die einzelnen Stufen dieses Modells sind:

1. keine MUSS-Maßnahmen umgesetzt, keine Planung zur Umsetzung der Anforderungen
2. keine MUSS-Maßnahmen umgesetzt, Planungen zur Umsetzung nur in Teilen vorhanden
3. Umsetzung von MUSS-Maßnahmen in Arbeit, aber noch nicht abgeschlossen
4. alle MUSS-Anforderungen sind erfüllt, SOLLTE-Anforderungen sind auf Umsetzbarkeit geprüft, ein Prozess zur fortlaufenden Verbesserung (KVP) ist etabliert oder wenigstens geplant
5. zusätzlich zu Stufe 3 sind alle SOLLTE-Anforderungen erfüllt, der kontinuierliche Verbesserungsprozess ist etabliert
6. zusätzlich zu Stufe 4 sind auch alle KANN-Anforderungen erfüllt, weitere sinnvolle Maßnahmen wurden als Folge einer Risikoanalyse bzw. Schutzbedarfsfeststellung identifiziert und umgesetzt

Wer kann BSI-konforme Nachweise ausstellen?

Die Betreiber kritischer Infrastrukturen müssen einen Nachweis über den Einsatz von Systemen zur Angriffserkennung an das BSI liefern. Für den geforderten Nachweis wird von einer unabhängigen Prüfstelle wie der DQS in einem Audit nach dem oben genannten Umsetzungsgrad-Modell ermittelt, ob die Anforderungen der o.g. Orientierungshilfe umgesetzt sind.

Dies ist dann der Fall, wenn mindestens alle für Stufe 4 geforderten Anforderungen erfüllt sind, also alle MUSS- und SOLLTE-Anforderungen sowie die Implementierung und Anwendung eines entsprechenden kontinuierlichen Verbesserungsprozesses.

Da der SzA-Prüfnachweis vor allem EnWG‑regulierten Betreibern sehr kurzfristig zum 1. Mai 2023 erbracht werden muss, wird im ersten Nachweiszyklus auch ein Umsetzungsgrad der Stufe 3 vom BSI als ausreichend akzeptiert. Grundsätzlich sollte ein Umsetzungsgrad auf Stufe 4 erreicht werden, also inklusive der Erfüllung aller SOLLTE-Anforderungen.

Befreit ein Zertifikat nach ISO 27001 von der Nachweispflicht?

Ein zertifiziertes Informationssicherheits-Managementsystem gemäß ISO 27001 befreit nicht von der Nachweispflicht. Es erleichtert aber den Prüfnachweis zum Einsatz eines Systems zur Angriffserkennung zu erbringen.

Vor allem die neue ISO/IEC 27001:2022 enthält im Anhang A bereits entsprechende Anforderungen für ein mögliches Mapping auf die SzA-Anforderungen

Systeme zur Angriffserkennung als Pflicht – Fazit

Betreiber von Energieversorgungsnetzen und Energieanlagen müssen dem BSI gegenüber erstmalig bis zum 1. Mai 2023 (und danach alle zwei Jahre) die Erfüllung der Anforderungen gemäß § 11 Absatz 1e EnWG nachweisen. Der Nachweis erfolgt über das dafür vom BSI vorgesehene Nachweisdokument P*.

Ab dem 1. Mai 2023 müssen die Nachweise von Betreibern kritischer Infrastrukturen gemäß § 8a Absatz 3 BSIG auch Aussagen zum Einsatz eines Angriffserkennungssystems gemäß § 8a Absatz 1a BSIG enthalten. Der Nachweis ist zwingend zusammen mit den bereits im Zweijahresturnus abzugebenden Meldungen nach § 8a Absatz 1 BSIG zum nächstfälligen Termin abzugeben. Fehlt der SzA-Nachweis, gilt die Meldung als unvollständig im Sinne des § 8a Absatz 3 BSIG. Die Nachweisformulare P des BSI wurden mit dem Abschnitt PE.3 entsprechend ergänzt.

Die DQS erfüllt die Anforderungen des BSI an prüfende Stellen. Unsere Experten stehen Ihnen gerne bei der Bewertung und Auditierung Ihrer Systeme zur Angriffserkennung zur Seite – und helfen Ihnen so, die Weichen für die zuverlässige Einhaltung aller gesetzlichen Bestimmungen zu stellen.

Expertise und Vertrauen

Bitte beachten Sie: Unsere Beiträge und Materialien werden ausschließlich von unseren hausinternen Experten für Managementsysteme und langjährigen Auditoren verfasst. Sollten Sie Fragen an unsere Autoren zu den Inhalten haben, nehmen Sie bitte Kontakt mit uns auf. Wir freuen uns auf das Gespräch mit Ihnen: willkommen@dqs.de.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.