Systeme zur An­griffs­er­ken­nung werden zur Pflicht

Markus Jegelka

DQS-Ex­per­te & Auditor für In­for­ma­ti­ons­si­cher­heit
Apr. 24 , 2023
# Informationssicherheits Standards

Zur recht­zei­ti­gen Er­ken­nung von An­grif­fen auf in­for­ma­ti­ons­tech­ni­sche Systeme müssen die Be­trei­ber kri­ti­scher In­fra­struk­tu­ren in Deutsch­land ab dem 1. Mai 2023 den Nachweis er­brin­gen, ge­eig­ne­te Systeme zur An­griffs­er­ken­nung (SzA) an­zu­wen­den. En­er­gie­ver­sor­gungs­net­ze und En­er­gie­an­la­gen sind gemäß § 11 Abs. 1f En­er­gie­wirt­schafts­ge­setz (EnWG) als so­ge­nann­te EnWG-re­gu­lier­te Be­trei­ber bis zum 1. Mai in der Nach­weis­pflicht.

Die nach dem Gesetz über das Bun­des­amt für Si­cher­heit in der Informationstechnik (BSI-Gesetz - BSIG) re­gu­lier­ten Be­trei­ber kri­ti­scher In­fra­struk­tu­ren müssen dem BSI Nach­wei­se gemäß § 8a Absatz 3 BSIG ein­rei­chen, die ab dem 1. Mai gemäß § 8a Absatz 1a BSIG auch Aussagen zum Einsatz von SzA ent­hal­ten.

Was An­griffs­er­ken­nungs­sys­te­me leisten müssen und wie KRI­TIS-Be­trei­ber ihren Ver­pflich­tun­gen nach­kom­men können, erfahren Sie in diesem Bei­trag.

Betreiber Kritischer Infrastrukturen müssen durch das Inkrafttreten des IT-Sicherheitsgesetz 2.0 (IT-SiG) ab dem 1. Mai 2023 Angriffserkennungssysteme nach dem Stand der Technik einsetzen und anwenden. Der Nachweis darüber ist zukünftig zusammen mit den obligatorischen Nachweisen gemäß § 8a Absatz 3 BSIG zu leisten. Aus § 8a Absatz 1a BSIG folgt, dass die im Zweijahresrhythmus abzugebenden Meldungen als unvollständig betrachtet werden, wenn sie nicht auch den Nachweis über den Betrieb eines Systems zur Angriffserkennung enthalten.

Alle Betreiber von Energieversorgungsnetzen und Energieanlagen sind als Kritische Infrastruktur nach dem EnWG reguliert und haben gemäß § 11 Absatz 1f EnWG erstmalig am 1. Mai 2023 dem BSI und danach alle zwei Jahre den SzA-Prüfnachweis einzureichen. Die Erfüllung der Anforderungen nach § 11 Absatz 1e EnWG zum Einsatz von SzA gilt auch bei einer Betriebsführung durch Dritte, da ausschließlich der Genehmigungsinhaber nachweispflichtig ist. Das betriebsführende Unternehmen muss den betriebsgeführten Genehmigungsinhaber bei der Nachweisführung zum Einsatz von SzA unterstützen.

System zur Angriffserkennung – was ist das?

Im IT-SiG 2.0 wird der § 2 Abs. 9b BSIG um die Definition von „Systemen zur Angriffserkennung“ ergänzt. SzA sind „durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme“.

Die Systeme zur Angriffserkennung müssen im laufenden Betrieb der IT-Systeme relevante Daten protokollieren, um musterbasiert mögliche Angriffe zu detektieren. Ziel ist es, fortwährend Bedrohungen zu identifizieren und zu vermeiden oder auf eventuell eingetretene Beeinträchtigungen angemessen zu reagieren.

Der Einsatz von SzA muss die informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind, abdecken. Das betrifft alle Bereiche: IT, Operational Technology (OT), Rechenzentren, Embedded Systems und weitere. Die Struktur der Vorgehensweise ist dabei immer festzulegen, was protokolliert werden muss, um anschließend diese Protokollierungsdaten auf sicherheitsrelevanten Ereignissen (SRE) auszuwerten bzw. diese zu detektieren und eine angemessene Reaktion einzuleiten.

Cover sheet for german whitepaper iso 27001 new controls with pdf

ISO 27001:2022 – Controls im neuen Anhang A

Kos­ten­frei­es White­pa­per

Mit der überarbeiteten ISO/IEC 27001:2022 und den neuen, zeitgemäßen Informationssicherheitsmaßnahmen (Con­trols) im nor­ma­ti­ven Anhang A können Sie si­cher­stel­len, dass Ihre Or­ga­ni­sa­ti­on optimal gegen moderne Be­dro­hun­gen geschützt ist.

Pro­fi­tie­ren Sie von Know-how unserer Ex­per­ten. Erfahren Sie alles über die 11 neuen und 24 zusammengeführten Controls und was bei der Um­set­zung zu beachten ist.

Jetzt Gratis-Exemplar downloaden

Nachweispflicht – allgemeine Anforderungen

Um eine reibungslose Einbindung von Systemen zur Angriffserkennung in Bereiche wie IT, OT, Embedded Systems zu erleichtern, ist die Implementierung eines Informationssicherheits-Managementsystems (ISMS) eine naheliegende Voraussetzung – auch mit Blick auf die geforderte Nachweiserbringung. Als Grundlage kann ein ISMS gemäß ISO 27001 hilfreich sein.

Das in das ISMS integrierte Angriffserkennungssystem muss mit Blick auf die Anforderungen an Protokollierung, Detektion und Reaktion mindestens Folgendes bieten:

  • geeignete technische, organisatorische und personelle Rahmenbedingung
  • kontinuierliche Lieferung von Informationen zu Angriffsmustern
  • fortlaufende Aktualisierung der Hard- und Software zur Angriffserkennung
  • Sicherstellen der Aktualität der Signaturen von Detektionssystemen
  • geeignete Konfiguration aller relevanten Systeme, um Versuche zur Ausnutzung von Schwachstellen zu erkennen

 

Bewertungsbasis für den Nachweis: das Umsetzungsgradmodell

Die vom BSI veröffentlichte Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (Version 1.0 vom 26.09.2022) gibt den Betreibern Kritischer Infrastrukturen sowie den prüfenden Stellen einen Anhaltspunkt für die individuelle Umsetzung und Prüfung der Vorkehrungen.

Zur Bestimmung, wie stark die Prozesse und Angriffserkennungssysteme im Unternehmen verankert sind, werden als Bewertungsgrundlage die jeweiligen Anforderungen an SzA bzw. deren Umsetzungsgrad verwendet. Dazu sind die Anforderungen an die systematische Angriffserkennung in MUSS-, SOLLTE- und KANN-Anforderungen untergliedert. Die Nachweiserbringung kann anhand eines sechsstufigen Umsetzungsgradmodells (Stufe 0 bis 5) erfolgen, das beauftragten Prüfern oder Auditoren die Möglichkeit gibt, den Stand der Umsetzung der Anforderungen einheitlich zu bewerten.

Die einzelnen Stufen dieses Modells sind:

  1. keine MUSS-Maßnahmen umgesetzt, keine Planung zur Umsetzung der Anforderungen
  2. keine MUSS-Maßnahmen umgesetzt, Planungen zur Umsetzung nur in Teilen vorhanden
  3. Umsetzung von MUSS-Maßnahmen in Arbeit, aber noch nicht abgeschlossen
  4. alle MUSS-Anforderungen sind erfüllt, SOLLTE-Anforderungen sind auf Umsetzbarkeit geprüft, ein Prozess zur fortlaufenden Verbesserung (KVP) ist etabliert oder wenigstens geplant
  5. zusätzlich zu Stufe 3 sind alle SOLLTE-Anforderungen erfüllt, der kontinuierliche Verbesserungsprozess ist etabliert
  6. zusätzlich zu Stufe 4 sind auch alle KANN-Anforderungen erfüllt, weitere sinnvolle Maßnahmen wurden als Folge einer Risikoanalyse bzw. Schutzbedarfsfeststellung identifiziert und umgesetzt
dqs-webinar-teilnehmer-mann sitzt am laptop mit headset und nimmt an webinar teil

Web­i­nar­auf­zeich­nung

Systeme zur An­griffs­er­ken­nung

Genau die rich­ti­gen Informationen für alle, die die An­for­de­run­gen aus dem En­er­gie­wirt­schafts­ge­setz (§ 11 Absatz 1e EnWG) kennenlernen oder ihr Wissen ver­tie­fen möchten. Aus dem In­halt:

  • Nach­wei­ser­brin­gung gegenüber dem BSI 
  • Bewertung tech­ni­scher und or­ga­ni­sa­to­ri­scher Inhalte des Prüfverfahrens 
Jetzt kostenfrei anschauen!

Wer kann BSI-konforme Nachweise ausstellen?

Die Betreiber kritischer Infrastrukturen müssen einen Nachweis über den Einsatz von Systemen zur Angriffserkennung an das BSI liefern. Für den geforderten Nachweis wird von einer unabhängigen Prüfstelle wie der DQS in einem Audit nach dem oben genannten Umsetzungsgrad-Modell ermittelt, ob die Anforderungen der o.g. Orientierungshilfe umgesetzt sind.

Dies ist dann der Fall, wenn mindestens alle für Stufe 4 geforderten Anforderungen erfüllt sind, also alle MUSS- und SOLLTE-Anforderungen sowie die Implementierung und Anwendung eines entsprechenden kontinuierlichen Verbesserungsprozesses.

Da der SzA-Prüfnachweis vor allem EnWG‑regulierten Betreibern sehr kurzfristig zum 1. Mai 2023 erbracht werden muss, wird im ersten Nachweiszyklus auch ein Umsetzungsgrad der Stufe 3 vom BSI als ausreichend akzeptiert. Grundsätzlich sollte ein Umsetzungsgrad auf Stufe 4 erreicht werden, also inklusive der Erfüllung aller SOLLTE-Anforderungen.

 

Befreit ein Zertifikat nach ISO 27001 von der Nachweispflicht?

Ein zertifiziertes Informationssicherheits-Managementsystem gemäß ISO 27001 befreit nicht von der Nachweispflicht. Es erleichtert aber den Prüfnachweis zum Einsatz eines Systems zur Angriffserkennung zu erbringen.

Vor allem die neue ISO/IEC 27001:2022 enthält im Anhang A bereits entsprechende Anforderungen für ein mögliches Mapping auf die SzA-Anforderungen. 

 

NIS2: regulatorische Grundlage für Cybersicherheit 

Unter allen NIS2-Experten besteht Konsens, dass ein ISMS eine hervorragende Ausgangsbasis darstellt, um sich auf NIS2 vorbereiten zu können. Unabhängig vom zu verabschiedenden Gesetz kann damit bereits jetzt der Grundstein für die zukünftige Rechtskonformität gelegt werden.  Mit einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 sind sie hervorragend auf zukünftige gesetzliche Anforderungen vorbereitet.

Systeme zur Angriffserkennung als Pflicht – Fazit

Betreiber von Energieversorgungsnetzen und Energieanlagen müssen dem BSI gegenüber erstmalig bis zum 1. Mai 2023 (und danach alle zwei Jahre) die Erfüllung der Anforderungen gemäß § 11 Absatz 1e EnWG nachweisen. Der Nachweis erfolgt über das dafür vom BSI vorgesehene Nachweisdokument P*.

Ab dem 1. Mai 2023 müssen die Nachweise von Betreibern kritischer Infrastrukturen gemäß § 8a Absatz 3 BSIG auch Aussagen zum Einsatz eines Angriffserkennungssystems gemäß § 8a Absatz 1a BSIG enthalten. Der Nachweis ist zwingend zusammen mit den bereits im Zweijahresturnus abzugebenden Meldungen nach § 8a Absatz 1 BSIG zum nächstfälligen Termin abzugeben. Fehlt der SzA-Nachweis, gilt die Meldung als unvollständig im Sinne des § 8a Absatz 3 BSIG. Die Nachweisformulare P des BSI wurden mit dem Abschnitt PE.3 entsprechend ergänzt.

Die DQS erfüllt die Anforderungen des BSI an prüfende Stellen. Unsere Experten stehen Ihnen gerne bei der Bewertung und Auditierung Ihrer Systeme zur Angriffserkennung zur Seite – und helfen Ihnen so, die Weichen für die zuverlässige Einhaltung aller gesetzlichen Bestimmungen zu stellen.

 

SzA-Prüf­nach­weis mit der DQS

Mit welchem Aufwand müssen Sie rechnen, um Ihrer ge­setz­li­chen Pflicht gegenüber dem BSI gerecht zu werden? In­for­mie­ren Sie sich – ganz un­ver­bind­lich und kos­ten­frei.

Wir freuen uns über Ihre Anfrage

Expertise und Vertrauen

Bitte beachten Sie: Unsere Beiträge und Materialien werden ausschließlich von unseren hausinternen Experten für Managementsysteme und langjährigen Auditoren verfasst. Sollten Sie Fragen an unsere Autoren zu den Inhalten haben, nehmen Sie bitte Kontakt mit uns auf. Wir freuen uns auf das Gespräch mit Ihnen: willkommen@dqs.de.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor
Markus Jegelka

DQS-Fach­ex­per­te für In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me (ISMS), langjähriger Auditor für die Regelwerke ISO 9001, ISO/IEC 27001 und  IT-Sicherheitskataloge § 11 Abs. 1a/b EnWG mit Prüfverfahrenskompetenz für § 8a (3) BSIG

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns