KRITIS: Systeme zur Angriffserkennung gemäß IT-SiG 2.0 bald Pflicht

Am 1. Mai 2023 ist es so weit: KRITIS-Betreiber müssen die Anforderungen des IT-Sicherheitsgesetzes 2.0 (IT-SiG2.0) hinsichtlich eines Systems zur Angriffserkennung nachweislich umgesetzt haben.

Was heißt das konkret für Sie und Ihr Unternehmen? Was verbirgt sich hinter den geforderten Systemen zur Angriffserkennung? Wir übersetzen einige der technologiebezogenen Anforderungen der BSI-Orientierungshilfe für Sie in konkrete Lösungen.

Mit Mindestanforderungen das IT-SiG 2.0 zeitnah umsetzen

Dem Gesetzgeber ist bewusst, dass Unternehmen die geforderten Systeme zur Angriffserkennung nicht von heute auf morgen einführen können. Dieser Schritt muss gut durchdacht und professionell umgesetzt werden.

Deshalb akzeptiert das BSI im ersten Nachweiszyklus einen Umsetzungsgrad der Stufe 3 hinsichtlich der Erfüllung der Anforderungen nach § 8a Absatz 1a BSIG bzw. § 11 Absatz 1e EnWG. Fehlende Maßnahmen, die den Stufen 1-2 entsprechen, müssen begründet werden und werden nur in Ausnahmefällen akzeptiert. Langfristig muss die Stufe 4 erreicht und nachgewiesen werden.

Fazit: Es müssen alle MUSS-Anforderungen hinsichtlich des Systems zur Angriffserkennung bis zum 01.05.2023 erfüllt sein.

Besser spät als nie: Auch wenn Sie die erste Umsetzungsfrist nicht einhalten können – setzen Sie die Mindestanforderungen des IT-SiG2.0 möglichst zeitnah um!

Die Umsetzungsgrade gemäß der Orientierungshilfe vom BSI

Es sind bisher keine Maßnahmen zur Erfüllung der Anforderungen umgesetzt und es bestehen auch keine Planungen zur Umsetzung von Maßnahmen.

Es bestehen Planungen zur Umsetzung von Maßnahmen zur Erfüllung der Anforderungen, jedoch für mindestens einen Bereich noch keine konkreten Umsetzungen.

In allen Bereichen wurde mit der Umsetzung von Maßnahmen zur Erfüllung der Anforderungen begonnen. Es sind noch nicht alle MUSS-Anforderungen erfüllt worden.

Alle MUSS-Anforderungen wurden für alle Bereiche erfüllt. Idealerweise wurden SOLLTE-Anforderungen hinsichtlich ihrer Notwendigkeit und Umsetzbarkeit geprüft. Ein kontinuierlicher Verbesserungsprozess wurde etabliert oder ist in Planung.

Alle MUSS- Anforderungen wurden für alle Bereiche erfüllt. Alle SOLLTE-Anforderungen wurden erfüllt, außer sie wurden stichhaltig und nachvollziehbar begründet ausgeschlossen. Ein kontinuierlicher Verbesserungsprozess wurde etabliert.

Alle MUSS-Anforderungen wurden für alle Bereiche erfüllt. Alle SOLLTE-Anforderungen und KANN-Anforderungen wurden für alle Bereiche erfüllt, außer sie wurden stichhaltig und nachvollziehbar begründet Für alle Bereiche wurden sinnvolle zusätzliche Maßnahmen entsprechend der Risikoanalyse / Schutzbedarfsfeststellung identifiziert und umgesetzt. Ein kontinuierlicher Verbesserungsprozess wurde etabliert.

Mit den richtigen Mitteln zum Ziel – Die Technologien hinter den Anforderungen

Anhand einiger ausgewählter Beispiele von MUSS-Anforderungen aus der Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung [externer Link] zeigen wir, mit welchen Technologien und Lösungen Sie die technischen Rahmenbedingungen für ein wirksames System zur Angriffserkennung schaffen.

 

Anforderung aus IT-SiG2.0

Technische Lösung

  • Es muss durchgängig alle zur effektiven Angriffserkennung erforderliche Hard- und Software auf einem aktuellen Stand gehalten werden.
  • Ein SOC kann rund um die Uhr die nötigen Aktualisierungen und das Patch-Management vornehmen.

Anforderung aus IT-SiG2.0 Technische Lösung
  • Der Betreiber MUSS alle zur wirksamen Angriffserkennung auf System- bzw. Netzebene notwendigen Protokoll- und Protokollierungsdaten (siehe Glossar gemäß § 2 Absatz 8 und 8a BSIG) erheben, speichern und für die Auswertung bereitstellen, um sicherheitsrelevante Ereignisse (SRE) erkennen und bewerten zu können.
  • Ein SIEM-System deckt diese Aufgaben komplett ab.
  • Sofern betriebs- und sicherheitsrelevante Ereignisse nicht auf einem IT-System protokolliert werden können, müssen weitere IT-Systeme zur Protokollierung (z. B. von Ereignissen auf Netzebene) integriert werden.
  • Diese Anforderung ist vor allem im Off- & OT-Bereich relevant und sehr personal- und aufwandsintensiv. Ein SIEM-System ist eine effizientere und kostengünstigere Lösung.
  • Die gesammelten Protokoll- und Protokollierungsdaten müssen gefiltert, normalisiert, aggregiert und korreliert werden.
  • Ein SIEM-System deckt diese Aufgaben komplett ab.

Anforderung aus IT-SiG2.0

Technische Lösung

  • Bei der Auswahl und dem Einsatz von Detektionsmaßnahmen muss eine umfassende und effiziente Abdeckung der Bedrohungslandschaft erzielt werden.
  • Ein SOC deckt mit der Erfahrung und Expertise seiner IT-Sicherheitsexperten diese Aufgaben komplett ab..
  • Alle Protokolldaten müssen möglichst kontinuierlich überwacht und ausgewertet werden.
  • Ein SIEM-System generiert die Daten, die Mitarbeiter vom SOC werten sie aus.
  • Es müssen Schadcodedetektionssysteme eingesetzt und zentral verwaltet werden.
  • Hier genügen eine Firewall und ein EDR-System.
  • Es müssen zentrale Komponenten eingesetzt werden, um sicherheitsrelevante Ereignisse zu erkennen und auszuwerten.
  • Ein SIEM-System erfüllt die Anforderungen der genannten zentralen Komponente.
  • Zentrale automatisierte Analysen mit Softwaremitteln müssen dazu eingesetzt werden, um alle in der Systemumgebung anfallenden Protokoll- und Protokollierungsdaten aufzuzeichnen, in Bezug zueinander zu setzen und sicherheitsrelevante Vorgänge sichtbar zu machen.
  • Ein SIEM-System deckt diese Aufgaben komplett ab.
  • Es müssen fortlaufend Meldungen der Hersteller (Hard- und Software), von Behörden, den Medien und weiterer relevanter Stellen geprüft werden und in dokumentierte Prozesse des Schwachstellenmanagements einfließen.
  • Ein SOC kann rund um die Uhr die Meldungen prüfen und ihnen mit Hilfe eines Schwachstellenscanners nachkommen.
  • Die SRE müssen überprüft und dahingehend bewertet werden, ob sie auf einen Sicherheitsvorfall (qualifizierter SRE) hindeuten.
  • Diese Bewertung ist eine klassische SOC-Dienstleistung.

Anforderung aus IT-SiG2.0

Technische Lösung

  • Es müssen alle erforderlichen Daten gesichert werden, die Aufschluss über die Art und Ursache des Problems geben könnten.
  • Diese Aufgabe wird am besten mit einem Verbund aus SIEM-System und SOC bewältigt.
  • Auf allen betroffenen Komponenten müssen das Betriebssystem und alle Applikationen auf Veränderungen untersucht werden.
  • Ein SOC deckt mit der Erfahrung und Expertise seiner IT-Sicherheitsexperten diese Aufgaben komplett ab.
  • In Netzen, wo die kritische Dienstleistung durch die Umsetzung nicht gefährdet wird, muss es möglich sein, automatisch in den Datenstrom einzugreifen, um einen möglichen Sicherheitsvorfall zu unterbinden.
  • Mit einer Firewall kann die Verbindung unterbrochen werden. Ein EDR unterstützt die Sicherheitsmaßnahmen.
  • Sollte eine automatische Reaktion nicht möglich sein, muss über manuelle Prozesse sichergestellt werden, dass der mögliche Sicherheitsvorfall unterbunden wird.
  • Ein SOC kann diese manuellen Prozesse effektiv durchführen.
  • Bei einem sicherheitsrelevanten Ereignis müssen die eingesetzten Detektionssysteme das Ereignis automatisch melden und in Netzen, wo durch die automatische Reaktion die kritische Dienstleistung nicht gefährdet wird, mit geeigneten Schutzmaßnahmen reagieren.
  • Ein SIEM-System deckt diese Aufgaben komplett ab.

Unser Fazit: Mit einem SOC und einem SIEM-System kommen Sie den technischen Anforderungen des IT-SiG2.0 hinsichtlich eines ganzheitlichen Systems zur Angriffserkennung (SzA) wirksam nach.

Unsere Empfehlung: SOC-Application as a Service

Mit SOC – Application as a Service machen Sie keine halben Sachen:
Sie entscheiden sich vielmehr für vollumfängliche IT-Sicherheit bei größtmöglicher Flexibilität und Ressourceneinsparung.

Ihre Vorteile eines externen Security Operations Centers

Voraussetzungen zum Betreiben eines SOC

  • Hardware und Software (inkl. Updates, Wartungen etc.)
  • Personal (inkl. Redundanzen, evtl. Qualifizierungen und Weiterbildungen) für eine 24/7-Verfügbarkeit
  • Know-how und aktuelles Wissen über technologische und regulatorische Entwicklungen
  • Räumlichkeiten und Arbeitsplätze für das SOC-Team

Ihre Vorteile eines WBS-SOC

  • Diese Leistungen werden von WBS ausgeführt. Das bedeutet weniger Aufwand und Ausgaben für Sie.
  • Personal: Sparen Sie sich langwierige Recruitingprozesse und hohe Personalentwicklungskosten.
  • Know-how: Cybersecurity ist unser Metier. Profitieren Sie von unserer tagesaktuellen Expertise und langjährigen Erfahrung.
  • Nutzen Sie Ihre Ressourcen für Ihr Tagesgeschäft und Ihre Kernkompetenzen.

Wollen Sie zeitnah ein effizientes und ressourcensparendes System zur Angriffserkennung einführen?

Vereinbaren Sie noch heute einen Termin mit einem unserer IT-Security-Experten. Gemeinsam finden wir heraus, wo Ihr Unternehmen im Hinblick auf IT-Sicherheit und Einhaltung des IT-SiG2.0 steht und wie Sie am meisten von unseren SOC- und SIEM-Dienstleistungen profitieren.

Exkurs Energiewirtschaft

Für die KRITIS-Branche gelten zusätzliche Regelungen

Auch Be­trei­ber von En­er­gie­ver­sor­gungs­net­zen und En­er­gie­an­la­gen, die nach § 8d BSIG von der KRI­TIS-Re­gu­lie­rung gemäß BSIG aus­ge­nom­men sind, müssen nun Systeme zur Angriffserkennung gemäß § 11 Ab­satz 1e und 1f EnWG vorweisen können.

Be­trei­ber von En­er­gie­ver­sor­gungs­net­zen und sol­chen En­er­gie­an­la­gen, die nach § 10 Ab­satz 1 BSIG als Kri­ti­sche In­fra­struk­tur gel­ten, ha­ben un­abhängig vom nächs­ten fälli­gen Nach­weis gemäß § 11 Ab­satz 1f EnWG be­reits am 01.05.2023 ein System zur Angriffserkennung gegenüber dem BSI nach­zu­wei­sen. Da­nach muss der Nachweis über die Erfüllung der An­for­de­run­gen nach § 11 Ab­satz 1e EnWG alle zwei Jahre erbracht werden.

Warum ist WBS IT-Service der richtige Partner für die Umsetzung des IT-SiG2.0?

  1. Wir arbeiten seit vielen Jahren mit Betreibern Kritischer Infrastrukturen zusammen und kennen deren besondere Anforderungen und Bedingungen.
  2. Unsere Erfahrungen im IT-Sicherheitsbereich umfassen

Vertrauen Sie unserer Expertise aus 30 Jahren Erfahrung in IT-Sicherheit und vereinbaren Sie einen Termin mit unseren IT-Sicherheitsexperten.

Zurück