Stichtag 1. Mai 2023
BSI legt aktuellen Entwurf einer Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung vor
Cyberkriminelle nehmen immer häufiger Betreiber kritischer Infrastrukturen (KRITIS) ins Visier. Im schlimmsten Fall ist die Gefährdung der öffentlichen Sicherheit die Folge. Die deutsche Bundesregierung hat 2021 mit dem IT-Sicherheitsgesetz 2.0 auf die Gefahr reagiert und das bestehende Gesetz rund um das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun um weitere Punkte ergänzt. Auf EU-Ebene wird man mit einer zweiten Netzwerk- und Informationssicherheitsrichtlinie (NIS 2) nachziehen.
Damit einhergehend wurde der Kreis der kritischen Infrastrukturen um weitere Sektoren erweitert. Neben den traditionellen KRITIS-Betreibern müssen nun künftig auch Unternehmen im sogenannten „besonderen öffentlichen Interesse“, wie etwa Rüstungshersteller, Abfallentsorger oder Unternehmen mit besonderer volkswirtschaftlicher Bedeutung, bestimmte IT-Sicherheitsmaßnahmen umsetzen. Mehr als 250 zusätzliche Betriebe in Deutschland sind davon betroffen.
IT-Sicherheitsgesetz 2.0: Neue Auflagen im Überblick
KRITIS-Betreiber müssen spätestens bis zum 1. Mai 2023 Systeme zur Angriffserkennung implementiert haben.
KRITIS-Betreiber müssen den geplanten erstmaligen Einsatz kritischer Komponenten dem Bundesinnenministerium anzeigen, etwa wenn der Hersteller von einem Drittstaat kontrolliert wird oder sicherheitspolitischen Zielen der deutschen Bundesregierung, EU oder NATO widerspricht.
Kritische Versorger und „Unternehmen im besonderen öffentlichen Interesse“ werden zur regelmäßigen Abgabe einer Selbsterklärung verpflichtet. Sie müssen durchgeführte Zertifizierungen im Bereich der IT-Sicherheit der letzten zwei Jahre sowie die Art der Absicherung ihrer Systeme darlegen.
Maßnahmen zum Schutz kritischer Infrastrukturen
KRITIS-Betreiber und Unternehmen, die ihre IT und Leittechnik vor Cyberangriffen schützen müssen, benötigen integrierte Lösungen, die im Einklang mit dem IT-Sicherheitsgesetz 2.0, dem BSI-Gesetz sowie der ISO-Norm 27001 zur Informationssicherheit stehen. Dafür sollte sowohl automatisierte Security Detection eingesetzt werden als auch standardisierte Analyse durch Expert:innen.
Für eine den Gesetzesvorgaben angemessene Security Detection sollten folgende Module in Betracht gezogen werden:
Log-Daten-Analyse (LDA) oder auch SIEM (Security Information und Event Management) genannt
Vulnerability Management & Compliance (VMC) für eine umfassende Schwachstellenüberprüfung
Network Behavior Analytics (NBA) für die Netzwerkdatenstromanalyse
Endpoint Detection & Response für die Anzeige sicherheitsrelevanter Ereignisse mit unterschiedlicher Kritikalität
Die ausgeworfenen Ereignisse aus diesen Modulen werden in einer Correlation Engine weitergehend analysiert, bewertet und aussortiert und in der Folge durch eine SOC-Expertin oder einem -experten weiterverarbeitet. Analyst:innen bewerten und priorisieren die automatisiert gewonnenen Erkenntnisse aus einer großen Datensammlung, um die richtigen Gegenmaßnahmen durch Fachpersonal aus Incident Response und IT-Abteilung einzuleiten.
Orientierungshilfe 1: Sicherheit Made in Europe
Die Ausstattung eines Cyber Defense Centers (CDC) durch die professionelle Erfahrung von RADAR Cyber Security ermöglicht es KRITIS-Betreibern und Unternehmen alle oben genannten Punkte effektiv umzusetzen, um ein durchgängiges, integriertes Sicherheitskonzept für ihre IT- und OT-Infrastruktur zu implementieren. Ein von RADAR ausgerüstetetes CDC umfasst Technologien, Prozesse und Knowhow (Wissensdatenbank), die die Überwachung, Analyse und Aufrechterhaltung der Informationssicherheit ermöglichen sollen. Auf Basis der in Echtzeit gesammelten Daten aus den Netzwerken, Servern, Endpunkten und anderen digitalen Ressourcen zusammen mit intelligenter Automatisierung, ist eine Absicherung vor potenziellen Bedrohungen der Cybersicherheit rund um die Uhr gewährleistet.
Zudem ist die Verwendung europäischer Sicherheitstechnologien wie durch RADAR als Software-Hersteller für KRITIS-Betreiber und Unternehmen im besonderen öffentlichen Interesse empfehlenswert. Hierdurch können EU-Datenschutzvorgaben einfach erfüllt werden. Hierzu zählen etwa die Anforderungen der Datenschutzgrundverordnung (DSGVO) sowie die Forderung des BSI-Gesetzes nach einem geeigneten Nachweis ihrer Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind.
Der Einsatz europäischer Sicherheitstechnologie wie sie RADAR bereitstellt, erleichtert zudem die Prüfung kritischer Komponenten durch das BSI, um sicherzugehen, dass der EU-datenschutzwidrige Zugriff auf sensible Informationen durch Drittstaaten-Akteure zu keiner Zeit gelingen kann. Das ist umso wichtiger in Zeiten einer inaktiven Privacy Act-Vereinbarung zwischen USA und Europa.
Orientierungshilfe 2: BSI-Leitfaden
Aktuell hat das BSI das Dokument „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ für Unternehmen in kritischen Sektoren vorgelegt. Ziel dieses Leitfadens ist es, KRITIS sowie prüfenden Stellen einen Anhaltspunkt für die individuelle Umsetzung und Prüfung der Vorkehrungen zu geben.