So erfüllen KRITIS-Betreiber die Auflagen

Betreiber Kritischer Infrastrukturen und Energieversorgungsnetze steht eine Zäsur bevor. Das IT-SiG 2.0 sieht vor, dass die Betreiber bis zum 1. Mai über ganzheitliche Systeme zur Angriffserkennung nach dem neuesten Stand der Technik verfügen. Für viele gleicht das einer Herkules-Aufgabe.

Der Artikel liefert unter anderem Antworten auf folgende Fragen:

• IT-SiG 2.0 – warum es eine weichere Deadline gebraucht hätte?
• Wie KRITIS-Betreiber die richtigen Prioritäten setzen?
• Welche Punkte laut BSI bis zum 1. Mai 2023 erfüllt werden müssen?
• Wie wählen KRITIS-Betreiber die passende Technologie?

Das neue IT-Sicherheitsgesetz (IT-SiG 2.0) trat bereits zum 28. Mai 2021 in Kraft, die einzuhaltende Frist galt also nahezu zwei Jahre. Zwar hat die Thematik Cybersicherheit in der letzten Zeit zusätzlich an Brisanz gewonnen. So rechnen laut einer Bitkom-Studie 85 Prozent aller Betreiber mit einem Anstieg an Cyber-Angriffen. Deswegen hat die Umsetzungsbereitschaft noch einmal erheblich zugenommen. Die letzten Jahre sind aber an KRITIS-Betreibern nicht spurlos vorbeigegangen. Viele mussten erhebliche finanzielle Einbußen hinnehmen, die noch lange nicht ausgeglichen sind. Erschwerend kommt hinzu, dass die Vorgaben an ein System zur zentralen Angriffserkennung durch das BSI erst im September 2022 final als Orientierungshilfe veröffentlicht wurden und somit ein gutes halbes Jahr vor Fristende.

Des Weiteren gilt es zu berücksichtigen, dass die Auftragsvergabe bei Betrieben der Kritischen Infrastruktur und von Energieversorgungsnetzen um einiges komplizierter vonstattengeht als die Ausschreibung von Unternehmen in der Privatwirtschaft. Damit Betrug und Korruption vermieden werden, ist das öffentliche Beschaffungswesen bis zu einem gewissen Grad durch die Länder geregelt. Eine Vergabe kann – je nach Komplexität der Thematik – mehrere Monate in Anspruch nehmen. Das macht es aber umso schwerer, denn: Die Anforderungen des IT-SiG 2.0 sind derart vage gehalten, dass viele Fragen offenbleiben.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Die richtigen Prioritäten setzen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im vergangenen September eine Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung veröffentlicht, die KRITIS-Betreibern den Einstieg auf ganzheitliche Angriffserkennungssysteme erleichtern soll. Darin wird das Modell zum Umsetzungsgrad in drei Stufen kategorisiert: MUSS-, SOLL- und KANN-Anforderungen. Im Angesicht der knappen Zeit bis zur Umsetzungsdeadline müssen Betreiber sich jetzt vor allem auf die MUSS-Anforderungen fokussieren.

Um eine Umsetzung forcieren zu können, gilt es, Informationssicherheitsvorfälle zu definieren und in den Betrieb zu implementieren. Dabei sind neben Governance-Aspekten, die Prozesse und Verantwortlichkeiten für Sicherheitsvorfälle reglementieren, Systeme und Methoden zur systematischen Auswertung dieser Vorfälle ebenso zu beachten wie regelmäßige Penetrationstests und der Umgang mit aufgedeckten Schwachstellen. Das Problem dabei ist jedoch, dass besonders bei KRITIS-Betrieben des Mittelstands nur selten die Kapazitäten besitzen, alle Ressourcen – finanziell wie personell – gebündelt zu verwalten.

Das BSI hat für das Erreichen der Sicherheitsstufe 3 (MUSS-Kriterien) fünf Punkte vorgegeben, die bis zum 1. Mai 2023 erfüllt sein müssen:

• Milestone-Planung: KRITIS-Betreiber müssen ihre Implementierung so gestalten, dass eine angemessene Sichtbarkeit in einer angebrachten Zeitspanne erzielt werden kann.
• Dokumentation: Die komplette Planungsphase sei laut BSI adäquat und nachvollziehbar zu dokumentieren. Dabei müssen alle Netzbereiche sowie sämtliche Protokollierungsquellen und deren Beziehungen untereinander umspannen. Die Dokumentation muss zudem den kompletten Datenfluss aller Protokollierungsereignisse umfassen und erfassen, für welches System oder welche Systemgruppe die Protokollierung aufgezeichnet wurde.
• Vollständige Analyse: Sämtliche Daten müssen von den Betreibern oder deren Partnern sicher gespeichert und zur Auswertung bereitgestellt werden, damit sicherheitsrelevante Ereignisse erkannt und entsprechend beurteilt werden können. Des Weiteren seien alle Systeme deren Nutzung für den Betrieb der kritischen Infrastruktur erforderlich ist und diejenigen, auf denen die Daten gespeichert werden, zu identifizieren und zu analysieren.
• Datenschutz: Bei allen durchgeführten Maßnahmen zur Sicherung der Cyberstruktur gilt es, die abgespeicherten Daten DSGVO-konform zu verwahren.
• Change Management: Das System muss so dynamisch ausgerichtet sein, dass zu jeder Änderung im Anwendungsbereich ein entsprechender Change-Prozess implementiert ist.

Besonders unter Berücksichtigung mangelnder Ressourcen ist die Erfassung eines Status quo essenziell. Dafür ist es in einem ersten Schritt notwendig, eine Risikobetrachtung durchzuführen und den eigenen Scope zu analysieren. Gegebenenfalls muss dieser zur Einführung eines Systems zur Angriffserkennung (SzA) erweitert werden. Dabei müssen Betreiber Kritischer Infrastrukturen und Energieversorgungsnetze zeitnah analysieren, welche Vorgänge im Unternehmen überwacht werden können und was sie besser an externe Partner vergeben. Gerade die Dokumentation sämtlicher Daten sowie deren Erfolgsmessung und die Einhaltung des Datenschutzes sind Schritte, die ohne Weiteres von einem externen Partner abgebildet werden können.

Technologie: Die Qual der Wahl

Je nachdem, welche Schritte intern abgefangen und welche an externe Partner vergeben werden, fällt die Wahl des entsprechenden Systems zur Angriffserkennung aus. Der Markt gibt diesbezüglich viele verschiedenen Alternativen, die jedoch nicht alle den besonderen Anforderungen von KRITIS-Unternehmen vollumfänglich entsprechen. Für KRITIS-Betriebe der öffentlichen Hand gilt dabei eine weitere Regel: Die Auftragsvergabe ist eine öffentliche Ausschreibung. Jedes interessierte Unternehmen bei einer kann ein Angebot abgeben. Den Auftrag erhält das wirtschaftlichste Angebot.

Zur Wirtschaftlichkeit eines Angebots zählt in diesem Fall jedoch auch, welche Services abgedeckt werden. Hier gilt es zu beachten, ob die im Angebot abgedeckten Dienste den Anforderungen eines Betriebes möglichst vollumfänglich entsprechen – oder zumindest die Auflagen der MUSS-Stufe erfüllen. Um dabei nicht den Überblick zu verlieren, kann es helfen, sich an einen externen Partner zu wenden. Dieser kann sowohl die grundlegenden Needs eines KRITIS-Unternehmens identifizieren und auf dieser Basis die Angebote nach dem Aspekt der Wirtschaftlichkeit analysieren.

Bei Verlautbarung des neuen IT-Sicherheitsgesetzes erklärte das BSI, dass zur Erfüllung der Sicherheitsstufe 3 mindestens ein SIEM (Security Information and Event Management) implementiert werden sollte. Über ein solches System werden Daten aus unterschiedlichen Quellen analysiert, bewertet und klassifiziert. Durch diese Risikoeinschätzung können Anomalien bereits in einem frühen Stadium erkannt werden und Betriebe so früher reagieren. Zudem können durch die IT-Sicherheitsfachkräfte auch präventive Szenarien aufgestellt und vorbeugende Maßnahmen ergriffen werden, um die eigene Cybersicherheit bestmöglich aufzustellen.

Des Weiteren sollten Betreiber bereits in diesem Stadium darüber nachdenken, ein ISMS (Informationssicherheitsmanagementsystem) zu implementieren. Dieses besteht aus einer Reihe von Vorgaben und Richtlinien, die sowohl einheitliche Standards für die Informationssicherheit festlegen als auch die Einhaltung von Compliance-Regeln gewährleisten. Ein ISMS setzt auf standardisierte Testverfahren und sorgt so dafür, dass KRITIS-Unternehmen die Sicherheit der eigenen Infrastruktur besser im Blick behalten können – egal ob Risikoanalyse oder Schwachstellenmanagement.

Harte Deadline macht es zur Mammutaufgabe

Unabhängig vom aktuellen Status quo der individuellen Sicherheitsstrategie eines Betriebs der kritischen Infrastruktur und von Energieversorgungsnetzen steht die harte Deadline zum Erreichen der dritten Sicherheitsstufe unweigerlich bevor. Statt zu hadern, müssen die Unternehmen jetzt schnellstmöglich handeln. Sind die eigenen Anforderungen analysiert, sollte die Auftragsvergabe umgehend angegangen werden. Um den MUSS-Kriterien zu entsprechen, muss das gewählte System zur Angriffserkennung bis zum 1. Mai auch implementiert sein. Eine Mammutaufgabe, die durch eine weichere Deadline hätte verhindert werden können.

Simeon Mussler, COO bei Bosch Cyber Compare

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Privatsphäre? Fehlanzeige!

Gericht in NRW erlaubt versteckte Kamera in WG-Zimmer

Hybride Arbeitswelt

Meetingraum-Systeme as a Service

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Weitere Artikel zu IoT-Security

Qualcomm kooperiert mit Advantech

KI für IoT-Anwendungen vorantreiben

Meilenstein

Vodafone vernetzt das 200-millionste IoT-Gerät

ROI trifft Realisierbarkeit

Die Vorteile schlüsselfertiger IoT-Lösungen

Fünf Schritte zur sicheren Vorbereitung

NIS2: Trotz Verzögerung müssen Unternehmen jetzt handeln

Embedded Security made in Germany

Systemabsicherung aus sich selbst heraus

Weitere Artikel zu Managed Security

Security Operations in Frankfurt

Arctic Wolf stärkt DACH-Präsenz mit SOC und Partnernetz

Secureworks, Services, Sales AI

Sophos zeigt auf Roadshow, wohin die Reise geht

Stärkung des MSP-Geschäfts

Proofpoint übernimmt Hornetsecurity

MSP Elevate

Sophos erweitert Partnerprogramm für MSPs

Cyber Protection für die Industrie

Acronis setzt auf Partner- statt Punktlösungen