FAQ IT-Sicherheitsgesetz 2.0

Am 28. Mai 2021 ist das neue IT-Sicherheitsgesetz 2.0 in Kraft getreten. Es räumt KRITIS-Betreibern Spielraum bei der Umsetzung seiner Vorgaben ein. Der Vorteil liegt klar auf der Hand: Die IT-Sicherheitsstrategie kann individuell an die Unternehmensprozesse angepasst werden. Der Nachteil: Aufgrund der unkonkreten Formulierungen sind die gesetzlichen Anforderungen nicht auf den ersten Blick verständlich. Hierzu haben uns viele Unternehmen kontaktiert.

An dieser Stelle haben wir die häufigsten Fragen für Sie zusammengestellt, die uns zur Umsetzung des IT-Sicherheitsgesetzes 2.0 erreicht haben, und diese beantwortet. Ein besonderes Augenmerk soll hierbei auf dem geforderten System zur Angriffserkennung (SzA) liegen. [1]

Die Fragen im Überblick:

  1. Welche Konsequenzen drohen bei Nichteinhaltung des IT-Sicherheitsgesetzes 2.0?
  2. Was ist ein System zur Angriffserkennung?
  3. Ein Unternehmen hat noch kein System zur Angriffserkennung. Wie geht es am besten vor?
  4. Welche technischen Anforderungen gibt es?
  5. Welche organisatorischen Anforderungen gibt es?
  6. Wie viel Personal wird für eine ganzheitliche IT-Sicherheit benötigt?
  7. Wie kann WBS Unternehmen bei der Umsetzung des IT-SiG2.0 unterstützen?

[1] Bitte beachten Sie, dass wir an dieser Stelle wichtige Informationen mit Ihnen teilen möchten. Unsere Website kann jedoch keine umfassende Beratung ersetzen.

Die KRITIS-Sektoren

1. Welche Konsequenzen drohen bei Nichteinhaltung des IT-Sicherheitsgesetzes 2.0?

In erster Linie werden Unternehmen angreifbar und unnötig hohen Risiken ausgesetzt. Bei KRITIS-Unternehmen können die Folgen wesentlich drastischer ausfallen als bei nichtkritischen Infrastrukturen. Ein Cyberangriff kann unter anderem folgende Schäden verursachen:

  • Ausfall von IT-Systemen und technischen Anlagen
  • Kompromittierung von Informationen (zum Beispiel sensible oder andere schützenwerte Daten)
  • Lösegeld- oder Schutzgelderpressung (durch Ransomware)
  • Finanzielle Einbußen durch Ausfallzeiten
  • Imageverlust

Halten sich KRITIS-Betreiber nicht an die Vorgaben, drohen Bußgeldstrafen. Die folgenden Beispiele zeigen maximale Bußgeldhöhen gegen juristische Personen:

  • Bei Nichtumsetzung der Vorkehrungen nach § 8a Absatz 1 BSIG: bis zu 10 Mio. €
  • Bei Nichtregistrierung: bis zu 500.000 €
  • Bei Nichtmeldung von Störfällen: bis zu 500.000 €
  • Bei Nichterreichbarkeit der Kontaktstelle: bis zu 100.000 €
  • Bei Nachweisnichterbringung: bis zu 10 Mio. €
  • Bei Zuwiderhandlung gegen eine Anordnung des BSI auf Abstellung eines Sicherheitsmangels: bis zu 20 Mio. €

Fazit: Ein ganzheitliches IT-Sicherheitskonzept, das den Anforderungen des neuen IT-Sicherheitsgesetzes 2.0 genügt, ist zwingend notwendig. Die darin enthaltenen Sicherheitsmaßnahmen bedeuten zwar einen erhöhten Aufwand, jedoch bieten sie in erster Linie Schutz vor folgenschweren Beeinträchtigungen oder einem Ausfall des funktionierenden IT-Netzwerks.

2. Ab 1. Mai 2023 müssen Unternehmen Systeme zur Angriffserkennung (SzA) nachweisen können. Was ist darunter zu verstehen?

Das IT-SiG 2.0 definiert Angriffserkennungssysteme als „durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme“.

Das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) definiert die Anforderungen an die Angriffserkennungssysteme in § 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen wie folgt:

Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.

Fazit: Ein System zur Angriffserkennung ist ein Komplex aus organisatorischen und technischen Komponenten zum Schutz vor Cyberangriffen. Welche das sind, erfahren Sie in den folgenden Antworten.

3. Ein Unternehmen hat noch kein System zur Angriffserkennung. Wie geht es am besten vor?

Auf jeden Fall schnell und dennoch überlegt. Die Systeme zur Angriffserkennung müssen bis zum 1. Mai 2023 vollständig implementiert sein.

Der erste Schritt ist die Recherche, zum Beispiel auf der Internetseite des oder mittels einer Beratung durch IT-Sicherheitsexperten.

Danach sollten die Anforderungen des IT-SiG 2.0 mit dem Status Quo des eigenen Unternehmens abgeglichen werden: Welche Vorkehrungen bestehen bereits? Was muss ergänzt oder neu aufgestellt werden? Habe ich genügend Fachpersonal für die Erfüllung des Gesetzes?

Im nächsten Schritt werden die Lücken geschlossen. Sind bereits Sicherheitskomponenten wie Firewalls vorhanden, müssen gegebenenfalls nur noch die erforderlichen Funktionen wie IPS/IDS (siehe Punkt 4) vollumfänglich implementiert werden.

Die gute Nachricht: Sehr viele Unternehmen verfügen bereits über integrierte Security-Lösungen. Mit ihnen sind die Investitionen zur Erfüllung des IT-SiG gar nicht so hoch, wie vielleicht erwartet.  

Im Idealfall verfügen Sie über eine IT-Abteilung mit ausreichend IT-sicherheitsrelevanten Qualifikationen, die Sie nur noch aktivieren müssen.

Fazit: Schnelles Handeln ist gefragt. Wenn Sie nicht über ausreichende Ressourcen (Informationen, Mitarbeiter, Technik etc.) verfügen, ist es jetzt höchste Zeit, diese zu beschaffen. Ein IT-Security Check-up bringt Klarheit über bereits vorhandene IT-Sicherheitsvorkehrungen und mögliche Mängel, die noch behoben werden müssen.

4. Welche technischen Werkzeuge müssen eingesetzt werden, um die Anforderungen von IT-SiG2.0 zu erfüllen?

Das Fundament für ein effektives System zur Angriffserkennung bildet der IT-Grundschutz. Das BSI veröffentlicht jährlich ein umfassendes Kompendium des IT-Grundschutzes, in dem die einzelnen Bausteine beschrieben werden. Bei Fragen können Sie auch uns gern dazu kontaktieren.

Darauf basierend sollten unter anderem folgende Komponenten eingesetzt werden:

  • Intrusion Detection Systems/Intrusion Prevention Systems (IDS/IPS): Sie erkennen und verhindern Anomalien und Angriffe mittels Signaturen, Verhaltensmustern und Heuristischer Analyse innerhalb von sensiblen Netzwerken, aber auch an Schnittstellen nach außen. Sie sind oft Bestandteil von Next-Generation Firewalls.

  • Next-Generation Firewall (NGFW): Sie verfügt über Funktionen, die über jene bisheriger Firewalls hinausgehen. So ist die NGFW zum Beispiel in der Lage, übertragene Daten auf Anwendungsebene und in Netzwerkpaketen zu prüfen. Außerdem kann sie Malware blockieren, bevor diese ins Netzwerk gelangt.

  • Endpoint Detection & Response (EDR): Mit diesem Werkzeug sichern Sie Netzwerke auf den Endpunkten, auch Clients genannt. Dazu zählen PCs, Notebooks, Tablets oder Smartphones, aber auch Server. Das EDR protokolliert und analysiert das Verhalten der Endgeräte und entdeckt so verdächtige Abweichungen. Auf diese reagiert es automatisch, indem es zum Beispiel die Endgeräte isoliert.

  • Netzwerk-Detection-Response (NDR): Dieses Sicherheits-Tool erkennt und meldet Angriffe innerhalb eines Netzwerks. Im Unterschied zu IDS/IPS und EDR ist für die Verwendung eines NDR stets ein qualifizierter IT-Sicherheitsexperte erforderlich, da auf die jeweilige Meldung nicht automatisch reagiert wird.
  • Security Information and Event Management (SIEM): Die Software sammelt Meldungen und Logfiles verschiedener Sicherheitssysteme, korreliert diese miteinander und wertet sie in Echtzeit aus. So können Unternehmen Angriffe, ungewöhnliche Muster oder Trends erkennen und schnell auf sie reagieren.

Fazit: Systeme zur Angriffserkennung bestehen aus vielen einzelnen Komponenten, deren Aktualität und reibungsloses Zusammenspiel stets gewährleistet sein müssen.

Ein häufiges Missverständnis gilt es zu vermeiden: Die Implementierung der Werkzeuge bedeutet nicht, dass die Sicherheitsmaßnahmen von allein laufen. Viele Aufgaben – zum Beispiel das Priorisieren von Meldungen und das Treffen von Reaktionsmaßnahmen – müssen von qualifiziertem IT-Sicherheitspersonal durchgeführt werden.

5. Was zählt zu den organisatorischen Maßnahmen gemäß IT-SiG 2.0?

Es müssen Monitoring-, Detektions-, Analyse-, Alarmierungs- und Reaktionsprozesse aufgestellt und umgesetzt werden. Dies schließt eine aktive Überwachung der Events und Logfiles mit ein. Ein Security Operation System (SOC) erfüllt diese Aufgaben.

Unternehmen sollten verbindliche Standards für den Umgang mit Passwörtern und einen Maßnahmenplan für Notfälle nachweisen können. Ein weiterer wichtiger Punkt ist die Schulung und Sensibilisierung der Mitarbeiter hinsichtlich IT-Sicherheit.

Mit einem Disaster-Recovery-Plan (DRP) werden die Abläufe für die Wiederherstellung der Funktionsfähigkeit nach einem ungeplanten Zwischenfall beschrieben. Dabei sollten unterschiedliche Szenarien – beispielsweise der Ausfall von Anwendungen oder Katastrophen verschiedenen Ausmaßes – berücksichtigt werden.

Fazit: Das IT-Sicherheitsgesetz 2.0 beschränkt sich nicht auf technische Vorkehrungen. Unternehmen müssen ganzheitlich IT-Sicherheit leben, das heißt, auch interne Prozesse zum Schutz vor Angriff entsprechend gestalten und Maßnahmenpläne entwickeln.

6. Wie viele Mitarbeiter bzw. wie viele Personalkapazitäten benötigen Unternehmen, um die notwendigen Maßnahmen wirksam umzusetzen?

Der Personalbedarf ist nicht zu unterschätzen: Alle sicherheitsrelevanten Vorkommnisse müssen permanent gemonitort werden. Der Umfang der Aufgaben erhöht sich erheblich. Für die Unternehmen bedeutet dies den Einsatz von Fachpersonal rund um die Uhr. Wichtig: Im Schichtbetrieb müssen die Vorgaben des Arbeitsschutzes beachtet werden.

Basierend auf diesen Voraussetzungen empfehlen wir 8 bis 12 qualifizierte und auf IT-Sicherheit spezialisierte Mitarbeiter für ein KRITIS-Unternehmen mit durchschnittlicher Infrastruktur.

Eine gute und effiziente Alternative zu eigenen Angestellten ist die Beauftragung eines externen Dienstleisters, zum Beispiel in Form eines sogenannten Security Operation Centers (SOC).

Fazit: Am Personal für die eigene Cybersicherheit sollte nicht gespart werden. Neben den hohen Personalkosten ist die Verfügbarkeit von qualifiziertem Fachpersonal die größte Hürde für viele Unternehmen. Hier sind externe Dienstleister eine gute Lösung.

7. Wie kann WBS Unternehmen dabei helfen, das Gesetz in die Praxis umzusetzen?

WBS IT-Service hat sich unter anderem auf die IT-Sicherheit von KRITIS-Betreibern spezialisiert. Nutzen Sie unser Know-how für Ihr Unternehmen in Form von:

  • Beratung
  • Workshops
  • IT-Security Check-up
  • Aufbau von Prozessen
  • Implementierung von Tools
  • SOC-Beratung
  • SOC-Aufbau
  • Full-Service SOC

Für die unterschiedlichen KRITIS-Sektoren gibt es zusätzliche gesetzliche Bestimmungen. Wenn Sie Fragen dazu haben oder prüfen möchten, ob sie diese erfüllen, kontaktieren Sie uns.

Fazit: Evaluieren Sie zuerst Ihren Bedarf und lassen Sie sich von uns unterstützen – mit der Implementierung einzelner Tools wie SIEM, XDR, NDR etc. oder mit organisatorischen Maßnahmen. Eine ganzheitliche Lösung wäre der Einsatz eines Security Operation Centers.

Wenn Sie noch nicht wissen, was Sie für die Erfüllung des IT-SiG 2.0 zusätzlich zu Ihren eigenen Ressourcen benötigen, kontaktieren Sie uns. Gemeinsam prüfen wir, wie Sie die Anforderungen des neuen Gesetzes effektiv und kosteneffizient umsetzen können.

 

Sollten Fragen unbeantwortet geblieben oder bereits neue zum Thema IT-Sicherheitsgesetz 3.0 aufgekommen sein, kontaktieren Sie uns gern jederzeit. Vertrauen Sie unserer Expertise aus 30 Jahren Erfahrung in IT-Sicherheit.

 

Zurück