Systeme zur Angriffserkennung - Orientierungshilfe des BSI zur Umsetzung
Am 28.5.2021 trat das IT-Sicherheitsgesetz 2.0 (IT-SiG) in Kraft. Wie bereits das IT-SiG 1.0, bedingte auch die 2.0 als Artikelgesetz weitreichende Änderungen in einer ganzen Reihe von Einzelgesetzen (neben dem BSI-Gesetz – BSIG – u. a. das Energiewirtschaftsgesetz (EnWG) und das Telekommunikationsgesetz). Das IT-SiG 2.0 geht insbesondere mit zusätzlichen Pflichten, u. a. für Betreiber kritischer Infrastrukturen (KRITIS-Betreiber), einher. Diese sind z. B. verpflichtet, ab dem 1. Mai 2023 ganzheitliche Systeme zur Angriffserkennung (SzA) nach dem geltenden Stand der Technik einzusetzen und dies gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen (§ 8a Abs. 1a BSIG). KRITIS-Betreiber müssen den Einsatz der SzA ab dem 1.5.2023 mit dem nächsten fälligen Nachweis gemäß § 8a Abs. 3 BSIG nachweisen.
Gesetzliche Anforderungen
Ausgehend von der Definition aus § 2 Abs. 9b Satz 1 BSIG handelt es sich bei SzA um Prozesse, die „durch technische Werkzeuge und organisatorische Einbindung“ (BSI, Orientierungshilfe, 2022, S.6) unterstützt werden. SzA als ganzheitliche Systeme sind so definiert, dass sie „geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten“ (BSI, Orientierungshilfe, 2022, S.6) müssen und „dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen“ (§ 8a Abs. 1a BSIG – BSI, Orientierungshilfe, 2022, S.6). Weiter heißt es in BSIG §2 Abs. 9b: „Systeme zur Angriffserkennung im Sinne dieses Gesetzes sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten“ (BSI, Orientierungshilfe, 2022, S.6)
Zusammengefasst heißt dies also: Neben technische Maßnahmen, sind insbesondere auch organisatorische Maßnahmen erforderlich.
Zur Unterstützung der Umsetzung dieser neuen Anforderungen hat das BSI Anfang Juni 2022 eine Entwurfsfassung für eine Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung veröffentlicht. Nachfolgend stellen wir dar, wie diese Unternehmen im Hinblick auf die SzA unterstützen kann.
Exkurs: Cyberangriffe <-> KRITIS?
Die Motive für Cyberangriffe können unterschiedlich sein - beginnend bei finanziellen Interessen über persönliche motivierte Interessen bis hin zu gesellschaftspolitischen Interessen. Die Motive vereinen, dass es Versuche sind, durch unbefugten Zugriff auf die Informationssysteme Informationen/Daten zu erhalten, die - je nach Prämisse - gestohlen, geändert, gelöscht oder offengelegt werden sollen. Der Erfolg eines jeden Angriffs besteht darin, dass das Eindringen oder der Schadcode für eine möglichst lange Zeit unentdeckt bleibt, damit der Angreifer sich möglichst weit im Netzwerk ausbreiten kann. Das Vorgehen kann dabei auch variieren - dies zeigte bspw. der Angriff auf die Stadt Witten im Südosten des Ruhrgebietes, wo der Angriff zwar entdeckt, aufgrund der Schnelle aber nicht mehr dagegen gesteuert werden konnte. Dies führte dazu, dass die gesamte Daten-Organisation verschlüsselt war, Sicherungsfestplatten gelöscht und die Stadt Witten nach dem Angriff nur noch eine Handvoll Magnetbänder hatte und seitdem die komplette IT neu aufbauen musste. Die bestmögliche Maßnahme bei einem solchen Vorfall ist schnelles Gegensteuern und die Isolation der kompromittierten Netzbereiche.
Eine zentrale Möglichkeit des bereits frühzeitigen Gegensteuerns ist die Erkennung von Abweichungen aus bekannten Mustern, somit Anomalien. Ein Beispiel kann der Login-Zeitpunkt eines Nutzers sein. Das solche Anomalien nicht zwangsweise Cyberangriffe darstellen, ist die eine Sache - allerdings geht es darum, dass diese Anomalien von SzA überhaupt erkannt und analysiert werden können, um Maßnahmen einzuleiten. Auch bei technischen Störungen kann es zu anhaltenden Problemen kommen, denen entgegengewirkt werden kann.
Orientierungshilfe des BSI
Mittels der Orientierungshilfe möchte das BSI Möglichkeiten zur individuellen Umsetzung und Prüfung solcher SzA geben. Dazu differenziert das BSI neben allgemeingültigen, grundlegend geltenden Anforderungen, drei Bereiche innerhalb der Funktionalität von SzA:
- Protokollierung: Fortlaufende Auswertung der gesammelten Information
- Detektion: Erkennung der sicherheitsrelevanten Ereignisse anhand der gesammelten Informationen
- Reaktion: Implementierung von Maßnahmen, um Störungen infolge von Angriffen zu verhindern oder auf sie zu reagieren
Diese Bereiche haben - differenziert nach der Planung und Umsetzung adäquater Maßnahmen - wiederum drei verschiedene Anforderungsmöglichkeiten (Muss, Sollte, Kann). Gemäß IT-Grundschutzkompendium ist die Abgrenzung zwischen Muss und Sollte:
- „Muss: Dieser Ausdruck bedeutet, dass es sich um eine Anforderung handelt, die unbedingt erfüllt werden muss (uneingeschränkte Anforderung).
- Sollte: Dieser Ausdruck bedeutet, dass eine Anforderung normalerweise erfüllt werden muss, es aber Gründe geben kann, dies doch nicht zu tun. Dies muss aber sorgfältig abgewogen und stichhaltig begründet werden. (BSI, IT-Grundschutzkompendium, Stand Februar 2022, S. 5/6)
Die grundsätzlichen Anforderungen für alle Bereiche sind, dass
- „die notwendigen technischen, organisatorischen und personellen Rahmenbedingungen geschaffen werden müssen,
- Informationen zu aktuellen Angriffsmustern für technische Vulnerabilitäten fortlaufend für die im Anwendungsbereich eingesetzten Systeme eingeholt werden müssen,
- durchgängig alle zur effektiven Angriffserkennung erforderliche Hard- und Software auf einem aktuellen Stand gehalten werden muss,
- die Signaturen von Detektionssystemen immer aktuell sein müssen,
- alle relevanten Systeme so konfiguriert sein müssen, dass bekannte Möglichkeiten der Schwachstellenerkennung genutzt werden, sofern keine schwerwiegenden Gründe dagegensprechen.“ (BSI, Orientierungshilfe, 2022, S.8)
Zusätzlich verweist das BSI auf Bausteine aus dem IT-Grundschutz des BSI, wobei die kursiv markierten von wesentlicher Bedeutung in der Planung und Umsetzung sind.
- 1.1.4 Schutz vor Schadprogrammen
- 1.1.5 Protokollierung
- 1.2 Netzmanagement
- 3.2 Firewall
- 1 Detektion von sicherheitsrelevanten Ereignissen
- 2.1: Behandlung von Sicherheitsvorfällen
Jeder dieser Bausteine umfasst - analog der Orientierungshilfe - Anforderungen, die für den jeweiligen Baustein erfüllt werden müssen. Außerdem wird der Mindeststand zur Protokollierung und Detektion von Cyberangriffen des BSI sowie die ISO/IEC 2700x-Reihe und die Norm IEC 62443 referenziert.
Nachfolgend stellen wir Ihnen ausführlicher dar, welche Mindestanforderungen das BSI zur Umsetzung für die drei Bereiche Protokollierung, Detektion und Reaktion sieht.
Protokollierung
Im Rahmen der Planungsphase werden durch das BSI folgende Muss-Anforderungen gestellt:
- Milestone-Planung: Die Schritte der Implementierung sind so zu wählen, dass eine angemessene Sichtbarkeit während einer adäquaten Zeit erzielt wird.
- Dokumentation: Der gesamte Prozess der Planungsphase ist in geeigneter, nachvollziehbarer Form zu dokumentieren und muss alle „Netzbereiche, die Protokollierungsquellen, deren Beziehungen untereinander und den Datenfluss der Protokollierungsereignisse im Anwendungsbereich umfassen“ (BSI, Orientierungshilfe, 2022, S.9). Gleichzeitig muss für jedes Systeme/Systemgruppen dokumentiert werden, welche Ereignisse protokolliert werden.
- Vollständige Analyse: Es müssen alle zur wirksamen Angriffserkennung notwendigen Protokollierungsdaten auf System- und Netzebene erhoben, gespeichert und für die Auswertung bereitgestellt werden, um sicherheitsrelevante Ereignisse (SRE) zu erkennen und beurteilen zu können. Darüber hinaus sind alle Systeme zu identifizieren und analysieren, die zum Betrieb der kritischen Infrastruktur notwendig sind sowie diejenigen Systeme, die zur Speicherung notwendigen Systemen und deren IT-Sicherheitsvorkehrungen.
- Datenschutz: Aufgrund von ggf. personenbezogenen Datensätzen, muss der Datenschutz mit einbezogen werden.
- Change-Management: Bei Änderungen im Anwendungsbereich muss sichergestellt werden, dass entsprechend ein Change-Prozess implementiert ist.
Im Rahmen der Umsetzungsphase sieht das BSI als Mindestanforderung den Aufbau einer zentralen Protokollierungsinfrastruktur sowie die Bereitstellung von Protokollierungsdaten für die Auswertung. Um die gesammelten Protokollierungsdaten in größeren Informationsverbunden an den für den jeweiligen Netzbereich zentralen Stelle (im Sinne der Netzarchitektur) speichern zu können, muss die Infrastruktur ausreichend dimensioniert sein (Verfügbarkeit von technischen, finanziellen und personellen Ressourcen). Im Rahmen der Bereitstellung muss sichergestellt werden, dass die Daten gefiltert, normalisiert, aggregiert und korreliert sowie geeignet verfügbar gemacht werden können, um diese auswerten zu können.
Darüber hinaus verweist das BSI darauf, dass alle Basisanforderungen von OPS.1.1.5 Protokollierung aus dem Grundschutz erfüllt werden müssen. Dies bedeutet:
- Sicherheitsrichtlinie für die Protokollierung (OPS.1.1.5.A1): Es muss eine eigenständige, spezifische Richtlinie existieren, in der Anforderungen und Vorgaben nachvollziehbar beschrieben sind, wie die Protokollierung sicher geplant, aufgebaut sowie betrieben und wie, wo und was protokolliert werden soll. Die Richtlinie, die vom Informationssicherheitsbeauftragten und den Fachverantwortlichen erstellt werden und allen involvierten Mitarbeitenden bekannt gemacht werden muss, ist regelmäßig auf Aktualität zu prüfen, Änderungen mit dem ISB abzustimmen und zu dokumentieren. Ebenso müssen die Ergebnisse dokumentiert werden.
- Konfiguration der Protokollierung auf System- und Netzebene (OPS.1.1.5.A3): Alle sicherheitsrelevanten Ereignisse von IT-Systemen und Anwendungen müssen protokolliert werden. Dabei sind verpflichtend die Protokollierungsfunktionalitäten der in der Richtlinie benannten IT-Systeme und Anwendungen zu nutzen (sofern dies systemseitig vorhanden ist). Bei der Einrichtung sind jeweils die Herstellervorgaben zu beachten. Darüber hinaus müssen Abstände für die Überprüfung der Funktionalität der Protokollierung in der Richtlinie definiert sowie stichprobenartig überprüft werden.
- Zeitsynchronisation der IT-Systeme (OPS.1.1.A4): Die Systemzeit aller protokollierenden IT-Systeme und Anwendungen muss immer synchron sein und das Datums- und Zeitformat der Protokolldateien einheitlich sein.
- Einhaltung rechtlicher Rahmenbedingungen (OPS.1.1.5.A5): Die jeweils geltenden Bundes- und Landesdatenschutzbestimmungen sowie weitere, relevante gesetzliche Bestimmungen müssen eingehalten sowie Persönlichkeitsrechte bzw. Mitbestimmungsrechte der Mitarbeitervertretungen gewahrt werden. Protokollierungsdaten sind nach einem definierten Verfahren zu löschen, wobei das unkontrollierte Ändern oder Löschen von Protokollierungsdaten technisch verhindert werden muss.
Neben diesen teils umfangreichen Muss-Anforderungen, gibt es weitere sieben Sollte-Anforderungen sowie eine Kann-Anforderung. Bereits hier zeigt sich, dass ein bereits implementiertes Informationssicherheitsmanagementsystem (ISMS) hilfreich sein kann.
Detektion
Wenn sie ein SzA gemäß Anforderung umsetzen wollen, müssen Sie bei der Planung folgende Anforderung zur Sicherstellung der Detektion berücksichtigten, dass die Abdeckung der Bedrohungslandschaft vor dem Hintergrund der durchgeführten Risikoanalyse und der Größe sowie Struktur des Unternehmens bei der Auswahl und dem Einsatz von Detektionsmaßnahmen sicherzustellen ist und damit in der Planung zu berücksichtigen sind.
Im Rahmen der Umsetzungsphase der SzA werden folgende Mindestanforderungen definiert:
- Kontinuierliche Überwachung und Auswertung von Protokolldaten: Die Protokolldaten müssen möglichst kontinuierlich überwacht und ausgewertet werden. Dafür müssen ausreichend personelle Ressourcen zur Verfügung gestellt werden. Die verantwortlichen Mitarbeitenden des Unternehmens (bzw. bei Dienstleistern die jeweiligen Mitarbeitenden) sind namentlich zu benennen und müssen aktiv nach SRE suchen. Es müssen somit ausreichend personelle Ressourcen zur Verfügung stehen.
- Einsatz zusätzlicher Detektionssysteme: Schadcodedetektionssysteme müssen eingesetzt und zentral verwaltet werden, wobei anhand des Netzplans festgelegt werden muss, welche Segmente durch weitere Detektionssysteme geschützt werden sollen. Auch Übergänge zwischen internen und externen Netzen müssen um netzbasierte Intrusion Detection Systeme (NIDS) ergänzt werden
- Protokollierungsinfrastruktur: Nutzung einer zentralen, zeitlich synchronisierten Protokollierungsinfrastruktur für die Auswertung sicherheitsrelevanter Ereignisse. Die Auswertung auf Auffälligkeiten sämtlicher Ereignismeldungen muss regelmäßig erfolgen. Zusätzlich sind die Signaturen der jeweiligen Systeme stets auf dem gleichen Stand zu halten.
- Auswertung von Informationen aus externen Quellen: Externe, zuverlässige Quellen müssen genutzt und ausgewertet werden. Es ist sicherzustellen, dass den relevanten Mitarbeitern die Meldungen aus den externen Quellen auch vorliegen, so dass alle eingehenden Informationen dahingehend bewertet werden können, ob sie relevant für das Unternehmen ist und ob sich daraus ggf. ein Sicherheitsvorfall ergibt, der gemeldet/weiterverfolgt werden muss.
- Auswertung der Protokolldaten durch spezialisiertes Personal: Einerseits muss eine spezielle Beauftragung zur Auswertung der Protokolldaten vorliegen, andererseits muss der mit der Auswertung von Protokolldaten verantwortliche Personenkreis benannt werden. Dieser Personenkreis muss ausschließlich für die Thematik-Auswertung verantwortlich sein.
- Zentrale Detektion und Echtzeitüberprüfungen von Ereignismeldungen: Es müssen sowohl zentrale Komponenten eingesetzt werden als auch zentrale automatisierte Analysen, „um alle in der Systemumgebung anfallenden Protokollierungsereignisse aufzuzeichnen, in Bezug zueinander zu setzen und sicherheitsrelevante Vorgänge sichtbar zu machen (BSI, Orientierungshilfe, 2022, S.11).“ Die Protokollierungsdaten müssen lückenlos, einsehbar und auswertbar sein, permanent ausgewertet werden und bei Überschreitung definierter Schwellwerte, automatisch alarmieren. Diese Alarmierung muss durch ein fachlich geschultes Personal geprüft werden. Die definierten Parameter in der Analyse sind laufend auf Aktualität zu prüfen. Zusätzlich sind „bereits überprüfte Protokollierungsdaten regelmäßig hinsichtlich sicherheitsrelevanter Ereignisse automatisch (BSI, Orientierungshilfe, 2022, S.11)“ zu untersuchen.
- Automatische Reaktion auf sicherheitsrelevante Ereignisse: Die Detektionssysteme müssen (bei einem sicherheitsrelevanten Ereignis) u. a. automatisch melden und mit geeigneten Schutzmaßnahmen reagieren. Zudem muss der Ausschluss von Netzsegmenten oder ganzen Netzen nachvollziehbar begründet und dokumentiert werden.
Zudem ist sicherzustellen, dass laufend Informationen zu Angriffsmustern und u. a. Meldungen von Hard- und Softwareherstellern eingeholt werden müssen, um die Vollständigkeit möglicher Schwachstellen identifizieren zu können. Dementsprechend sind die Detektionssysteme regelmäßig zu überprüfen und anzupassen.
Zusätzlich sind die Basisanforderungen des Bausteins „DER.1 Detektion von sicherheitsrelevanten Ereignissen“ zu berücksichtigen sind.
Dies bedeutet:
- Erstellung einer Sicherheitsrichtlinie für die Detektion von sicherheitsrelevanten Ereignissen (Der.1.A1): Analog der Sicherheitsrichtlinie für die Protokollierung, ist eine spezifische Richtlinie für die Detektion zu erstellen, wo beschrieben ist, wie die Detektion geplant, aufgebaut und betrieben werden kann. Die Richtlinie, die allen verantwortlichen Mitarbeitenden bekannt gemacht werden muss, ist regelmäßig auf Aktualität zu prüfen, Änderungen mit dem ISB abzustimmen und zu dokumentieren. Ebenso müssen die Ergebnisse dokumentiert werden.
- Einhaltung rechtlicher Bedingungen bei der Auswertung von Protokolldaten (Der.1.A2): Die jeweils geltenden Bundes- und Landesdatenschutzbestimmungen sowie weitere, relevante gesetzliche Bestimmungen (wie das Telekommunikationsgesetz (TKG) müssen eingehalten sowie Persönlichkeitsrechte bzw. Mitbestimmungsrechte der Mitarbeitervertretungen gewahrt werden.
- Festlegung von Meldewegen für sicherheitsrelevante Ereignisse (Der.1.A3): Es muss ein Melde- und Alarmierungsplan definiert und dokumentiert werden, aus dem hervorgeht, welche Stellen wann zu informieren sind und wie die Personen der Stellen erreicht werden können. Dieser muss den Mitarbeitern ausgedruckt vorliegen. Je nach Kritikalität der Sicherheitsereignisses, sind unterschiedliche Kommunikationswege zu wählen.
- Sensibilisierung der Mitarbeiter (Der.1.A.44): Zur Sensibilisierung sind regelmäßig Schulungen durchzuführen, insb. dahingehend, dass Ereignismeldungen direkt an das Incident Management verpflichtend zu melden sind.
- Einsatz von mitgelieferten Systemfunktionen zur Detektion (Der.1.A.5)
Reaktion
Zentraler Baustein als Mindestanforderung nach BSI ist DER.2.1: Behandlung von Sicherheitsvorfällen. Die spezifischen Anforderungen sind somit über das Vorfallsmanagement sicherzustellen - dazu gehört neben der Meldung von Vorfällen, die die kritische Infrastruktur betreffen, an die Behörden, auch die Meldung von entsprechenden Sicherheitsvorfällen, die im Zusammenhang mit Angriffen stehen. Festgestellte Vorfälle aus Sicherheitsangriffen müssen behandelt werden. Dabei muss auch sichergestellt werden, dass Maßnahmen, die allein automatisiert ergriffen werden, nicht die kritische Infrastruktur beeinträchtigen dürfen.
Gemäß DER.2.1 zudem:
- Definition eines Sicherheitsvorfalls (Der.2.1.A.1)
- Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorfällen (Der.2.1.A2): Dazu gehört, dass Zweck und Ziel sowie Verhaltensregeln für die verschiedenen Arten von Sicherheitsvorfällen definiert werden, es zielgruppenorientierte Handlungsanweisungen gibt, die Richtlinie allen Mitarbeitern bekannt gemacht und von der Geschäftsführung verabschiedet sowie in regelmäßigen Abständen auf Aktualität überprüft wird.
- Festlegung von Verantwortlichkeiten und Ansprechpartnern bei Sicherheitsvorfällen (Der.2.1.A3): Dies besagt insbesondere, dass eindeutige Verantwortlichkeiten definiert, Aufgaben und Kompetenzen für alle Mitarbeiter festgelegt und die zentralen Ansprechpartner allen Mitarbeitern bekannt gemacht wurden.
- Benachrichtigung betroffener Stellen bei Sicherheitsvorfällen (Der.2.1.A4): Dies inkludiert auch die Prüfung dahingehend, ob alle internen und externen Stellen unmittelbar informiert werden, der Datenschutz sowie ggf. Betriebs- und Personalrat sowie Mitarbeiter aus dem Rechtsbereich hinzugezogen werden müssen und die übergeordneten Meldepflichten für Behörden und regulierte Branchen berücksichtigt sind.
- Behebung von Sicherheitsvorfällen (Der.2.1.A5): Es muss eine dokumentierte Ursachenanalyse durchgeführt werden auf Basis dessen die korrekte Maßnahme zur Behebung ausgewählt werden kann, die nach Freigabe durch den IT-Betriebsleiter umgesetzt wird. Dazu muss sowohl ein interner/externer Kommunikationsplan sowie eine Liste interner und externer Experten vorhanden sein.
- Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen (Der.2.1.A6): Im ersten Schritt müssen die betroffenen Komponenten isoliert, somit vom Netz getrennt werden. Aufbauend müssen Daten zur Ursachenanalyse gesichert und auf allen betroffenen Komponenten die Systeme und Applikationen geprüft werden.
„Exkurs“: Auswirkungen sowie Anpassungen im § 8a für die Energieversorgungsunternehmen - § 11 Absatz 1d EnWG
Neben KRITIS-Betreibern sind durch die Anpassung des Energiewirtschaftsgesetzes (EnWG) auch Betreiber von Energieversorgungsnetzen gemäß § 11 Abschnitt 1d des EnWG dazu verpflichtet „…in ihren informationstechnischen Systemen, Komponenten oder Prozessen, die für die Funktionsfähigkeit der von ihnen betriebenen Energieversorgungsnetze oder Energieanlagen maßgeblich sind, in angemessener Weise Systeme zur Angriffserkennung einzusetzen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen. Dabei soll der Stand der Technik eingehalten werden. Der Einsatz von Systemen zur Angriffserkennung ist angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den möglichen Folgen eines Ausfalls oder einer Beeinträchtigung des betroffenen Energieversorgungsnetzes oder der betroffenen Energieanlage steht“ (IT-Sicherheitsgesetz 2.0, Bundesgesetzblatt, 2021, Nr.25 vom 27.05.2021, Seite 1137).
Ein Großteil der Energieversorgungsunternehmen ist bereits nach der DIN EN ISO/IEC 27001:2017-06 zertifiziert, um den Anforderungen des IT-Sicherheitskatalogs gemäß § 11 Abs. 1a EnWG nachzukommen. Wie eingangs erwähnt, sind durch die Anpassungen im IT-SiG 2.0 nicht nur Betreiber kritischer Infrastrukturen betroffen. Dies hatte auch Auswirkungen auf weitere Gesetze, wie das EnWG. Im Rahmen dessen wurde definiert, dass SzA einzusetzen sind. Dies hat Auswirkungen dahingehend, da die SzA die Kommunikationstechnik möglichst umfassend schützen sollte, dass insb. die Netzleittechnik (zumeist zentraler Bestandteil des Geltungsbereichs beim IT-Sicherheitskatalog) und Fernwirktechnik betroffen sein werden.
Betreiber von Energieversorgungsnetzen und Energieanlagen, die gemäß § 10 Absatz 1 BSIG als KRITIS eingestuft werden, haben nach § 11 Absatz 1e EnWG dem BSI erstmalig am 1. Mai 2023 sowie im Anschluss im Turnus von zwei Jahren die Erfüllung der Anforderungen nach § 11 Absatz 1d EnWG nachzuweisen.
Reifegradmodell zur Bewertung des Grades der Umsetzung
Beim BSI müssen alle zwei Jahre Nachweise zur Umsetzung gemäß § 8a Absatz 3 BSIG eingereicht werden. Dabei ist zwingend zu beachten, dass Nachweise, die dem BSI ab dem 1. Mai 2023 vorgelegt werden, auch Aussagen zur Umsetzung des § 8a Absatz 1a BSIG, also zum Einsatz von Angriffserkennungssystemen, enthalten müssen. Für die Bewertung setzt das BSI analog der bereits bekannten Einschätzung zum ISMS und BCMS aus dem Nachweisdokument P, auf ein Reifegradmodell. Folgende Reifegrade sind vorgesehen:
- „0: Es sind bisher keine Anforderungen umgesetzt und es bestehen auch keine Planungen zur Umsetzung von Anforderungen.
- 1: Es bestehen Planungen zur Umsetzung von Anforderungen, jedoch für mindestens einen Bereich noch keine konkreten Umsetzungen.
- 2: In allen Bereichen wurde mit der Umsetzung von Anforderungen begonnen. Es sind noch nicht alle Muss-Anforderungen umgesetzt worden.
- 3: Alle Muss-Anforderungen wurden für alle Bereiche umgesetzt. Idealerweise wurden Sollte-Anforderungen hinsichtlich ihrer Notwendigkeit und Umsetzbarkeit geprüft. Ein kontinuierlicher Verbesserungsprozess wurde etabliert.
- 4: Alle Muss-Anforderungen wurden für alle Bereiche umgesetzt. Alle Sollte-Anforderungen wurden umgesetzt, außer sie wurden stichhaltig und nachvollziehbar begründet ausgeschlossen. Ein kontinuierlicher Verbesserungsprozess wurde etabliert.
- 5: Alle Muss-Anforderungen wurden für alle Bereiche umgesetzt. Alle Sollte-Anforderungen und Kann-Anforderungen wurden für alle Bereiche umgesetzt, außer sie wurden stichhaltig und nachvollziehbar begründet ausgeschlossen. Für alle Bereiche wurden sinnvolle zusätzliche Maßnahmen entsprechend der Risikoanalyse/Schutzbedarfsfeststellung identifiziert und umgesetzt. Ein kontinuierlicher Verbesserungsprozess wurde etabliert (BSI, Orientierungshilfe, 2022, S.13).“
Das BSI legt allerdings auch dar, dass - vor dem Hintergrund der Einführung von SzA - im ersten Nachweiszyklus ein Reifegrad der Stufe 3 ausreichend ist, langfristig allerdings mindestens die Stufe 4 erreicht werden müsste. Abweichungen nach unten müssten begründet werden.
Nachweiserfüllung
Die Erfüllung von § 8a Absatz 1a BSIG (SzA) ist - ab dem 1. Mai 2023 - gemeinsam mit dem Nachweis nach § 8a Absatz 1 BSIG (grds. Anforderung zur Erfüllung für KRITIS-Betreiber) zu erbringen. Ab 1.5.2023 muss ein Nachweis nach § 8a Absatz 3 BSIG ab dem auch die Ergebnisse der Prüfung SzA enthalten, inklusive der aufgedeckten Sicherheitsmängel. Entsprechende Nachweisformulare werden durch das BSI angepasst bzw. für Betreiber von Energieversorgungsnetzen und Energieanlagen Neue erstellt.
Sinnvolle nächste Schritte
Unternehmen, welche noch keine Maßnahmen zur Anforderungserfüllung eingeleitet haben, sollten im ersten Schritt eine Risikobetrachtung durchführen. Es gibt spezifische Rahmenbedingungen sowie insbesondere auch branchenspezifische Anforderungen, die in der Orientierungshilfe selbst nicht spezifiziert werden. Achten Sie im ersten Schritt auf den zu betrachtenden Scope. KRITIS-Unternehmen kennen die relevanten Systeme ihrer kritischen Infrastruktur. Bei der Einführung von SzA macht es aber ggf. durchaus Sinn, den bereits bekannten Scope zu erweitern und eine ganzheitliche Betrachtung mehrerer oder aller Systeme umzusetzen. Ergänzend müssen auch personelle sowie organisatorische Voraussetzungen geschaffen und implementiert werden, da insbesondere auch die Auswertung der Sicherheitsvorfälle sowie der rein operative Betrieb sichergestellt werden muss. Ebenso hängt es davon ab, für welche Art von SzA sich entschieden wird. Sei es bspw. ein System, welches eine Überwachung/Analyse in Echtzeit vornimmt oder eines, welches dieses zeitversetzt durchführt und daher im ersten Schritt Daten sammelt. Systemseitig gibt es die verschiedensten Möglichkeiten zur Implementierung, wobei nicht alle vollumfänglich die Anforderung erfüllen.
Folgende beispielsweise:
- IDS (Intrusion Detection System): System zur Erkennung von Angriffen ohne Abwehr. Zumeist konzentriert sich dies auf den ein- und ausgehenden Internetverkehr.
- IPS (Intrusion Prevention System): System zur Erkennung von Angriffen mit automatischen Abwehrmaßnahmen.
- SIEM (Security Information and Event Management): Ein SIEM sammelt, analysiert, bewertet und klassifiziert Daten aus den verschiedensten Quellen, um Anomalien festzustellen. Im Gegensatz bspw. zu einem IDS, können in einem SIEM durch den Benutzer auch vorbeugende Maßnahmen ergriffen werden.
- SOC (Security Operations Center): Ein SOC geht über das SIEM hinaus und ist eine Zusammenstellung aus Menschen, Prozessen und Systemen, um sich mit den Vorfällen/Sicherheitsereignissen, die aus dem SIEM gemeldet werden, zu befassen.
- SOAR (Security Orchestration, Automation and Response): Ein SOAR hat grundsätzlich die identische Funktionalität wie ein SIEM, geht allerdings dahingehend noch darüber hinaus, dass ein SOAR beispielsweise zusätzliche Informationen aus externen Feeds bzw. allgemeinen Quellen von Drittanbietern heranzieht, um ein ganzheitliches Bild der Sicherheitslandschaft des Netzwerks, innen wie außen, zu erhalten. In einem SOAR ist es bspw. Möglich, spezifische Untersuchungsphase zu erstellen, die auf Basis eines Alarms verfolgt werden.
Bereits nach Veröffentlichung des IT-SiG 2.0 wurde auf die Frage zur Erfüllung eines SzAs zumeist geantwortet, dass idealerweise mindestens ein SIEM zu implementieren ist. Mit der Orientierungshilfe wurden nun durch das BSI konkret Anforderungen definiert, welche zu erfüllen sind.
Implementierung ISMS
Darüber hinaus empfiehlt es sich, kurz-, mittel- und langfristig ein ISMS im Unternehmen zu implementieren. Grundlage kann die internationale Norm DIN EN ISO/IEC 27001:2017-06 sein. Einige der in der Orientierungshilfe aufgeführten Aspekte, können über bestehende Prozesse in einem ISMS abgedeckt werden - beginnend bei der Risikoanalyse, über das Schwachstellenmanagement sowie Netzwerksicherheit bis hin zum Vorfallmanagement/Information Security Incident Management Prozess. Ein ISMS schafft u. a. Awareness, Informationssicherheit, Verantwortlichkeit, (Informationssicherheits-) Risikobewusstsein, Prozesse, Senkung von Risiken und Compliance - hier ist bspw. die Erfüllung Kundenanforderungen oder Wettbewerbsvorteile noch gar nicht benannt.
Ausblick
Nach Rücksprache mit dem BSI wird erwartet, dass die Orientierungshilfe noch in Q3/2022 finalisiert und veröffentlicht werden soll. Es wird darauf hinauslaufen, dass jedes Unternehmen für sich eine Strategie entwirft, wie man dies umsetzen möchte. Wir empfehlen, dies soweit möglich transparent darzustellen und die unterschiedlichen Interessensgruppen - bspw. Betriebsrat und Datenschutz - frühzeitig mit einzubeziehen. Der zentrale Faktor wird allerdings die „Zeit“ sein - bis zur notwendigen Umsetzung sind nur noch etwas mehr als ein halbes Jahr Zeit. Sofern noch nicht begonnen wurde, sollte daher umso schneller in die Planungsphase eingestiegen werden. Auch das BSI hat auf der Agenda, dass Unternehmen versuchen werden, Prüfungen soweit möglich vor dem 1.5.2023 abzuschließen, um zusätzlich Zeit zur Implementierung eines SzA zu gewinnen.
Haben Sie Fragen, so kontaktieren Sie uns gern.
Marc Alexander Luge | August 2022
Hinweis: Zur Vereinfachten Darstellung wurde beim Zitieren die Entwurfsfassung zur öffentlichen Kommentierung „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung inklusive Formulare für den Nachweis zu § 8a (1a) BSIG und § 11 (1d) ENWG“ (Stand 01.06.2022) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) abgekürzt mit „Orientierungshilfe“.