Systeme zur Angriffserkennung (SzA)

Systeme zur Angriffserkennung (SzA)

Mit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) fordern sowohl das BSIG in § 8a Abs. 1a als auch das EnWG in § 11 Abs. 1d von den Betreibern von KRITIS ab spätestens 01.05.2023 den Einsatz von Systemen zur Angriffserkennung. Wörtlich heißt es:
„Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten.
Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen.“



Source: BSI

Achtung: Die Anforderungen umfassen mehr als die reine Installation von Hard- und Software.

Das BSI führt hierzu weiter aus:

  • Das IT-SiG 2.0 definiert Angriffserkennungssysteme als „durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme“.
  • Wie in § 8 a Absatz 1a BSIG definiert, müssen die eingesetzten Systeme zur Angriffserkennung geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.
  • Der Begriff „Angriffserkennungssysteme“ bezieht sich damit auf eine große Bandbreite an technischen und organisatorischen Maßnahmen, die zur Angriffserkennung dienen. Das BSI wird zur Definition eine Orientierungshilfe herausgeben, welche allgemein und branchenübergreifend beschreibt, was unter einem System zur Angriffserkennung zu verstehen ist. Eventuell branchenspezifisch notwendige Definitionen des Stands der Technik plant das BSI, in Kooperation mit den Betreibern zu erarbeiten.

Die aktuell vom BSI veröffentlichte Orientierungshilfe: Der Einsatz von SzA muss die informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind, abdecken. Dies bezieht sowohl IT als auch OT sowie Rechenzentren oder Embedded Systems und schließt weitere Bereiche mit ein.

Inhalte der BSI Orientierungshilfe Systeme zur Angriffserkennung

  • Die BSI Orientierungshilfe Systeme zur Angriffserkennung (BSI-OH-SzA) umfasst aktuell insgesamt 100 umzusetzende Vorgaben, die sich in 72 Muss-, 20 Soll- und 8 Kann-Anforderungen gliedern. Es wird dabei auf ergänzend auf knapp 150 Maßnahmen aus dem IT-Grundschutz referenziert.
  • Ein Teil davon spezifiziert technische Kritieren, die die eingesetzte Hard- und Software erfüllen muss.
  • Der andere Teil umfasst zusätzlich umzusetzende organisatorischen und prozessurale Anforderungen, die von konkret für diese Aufgabenstellung abgestellte Personal-Ressourcen wahrzunehmen sind.
  • Es gilt dabei anzumerken, dass eine 24/7-Verfügbarkeit entsprechender Services zwar nirgends explizit vorgeschrieben wird, es jedoch fraglich ist, wie ansonsten Forderungen wie „unverzügliche Reaktion“ etc. erfüllt werden sollen.

Ein weiterer Abschnitt der BSI-OH-SzA beschäftigt sich mit der Art und Weise der Nachweiserbringung gegenüber dem BSI in Form einer Reifegradbeurteilung (Audit).
Bei der initialen Prüfung ist mindestens die Stufe 3 zu erreichen. Unsere Mitarbeiter stehen Ihnen hierfür gerne zur Verfügung:
Sie weisen durchgängig die für diese Aufgabenstellung erforderliche Prüfkompentenz nach BSIG § 8a auf.
Anmerkung: Der BDEW, der VKU und der deutsche Städtetag haben am 24.11.2022 in einem gemeinsamen Schreiben an das BSI – mit Verweis auf Komplexität der Aufgabenstellung und der Kürze der Umsetzungszeit – eine Absenkung des zum 01.05.2023 erstmalig zu erzielenden Reifegrades auf 2 gefordert.

Ausnahmeregelung vom § 11 Abs. 1e EnWG
Die gesetzlichen Vorgaben stellen auf die Angemessenheit der Einführung und des Betriebs von Systemen zur Angriffserkennung ab – § 11 Abs. 1e EnWG lautet diesbezüglich wie folgt:
Betreiber von Energieversorgungsnetzen […] haben spätestens ab dem 1. Mai 2023 in ihren informationstechnischen Systemen, Komponenten oder Prozessen, die für die Funktionsfähigkeit der von ihnen betriebenen Energieversorgungsnetze oder Energieanlagen maßgeblich sind, in angemessener Weise Systeme zur Angriffserkennung einzusetzen. […]
Für Unternehmen, die gegenüber der Bundesnetzagentur bereits den Nachweis zur Nichtanwendbarkeit des IT-Sicherheitskatalogs nach § 11 Abs. 1a EnWG erbringen konnten, besteht damit die Option, sich auch von der Verpflichtung zur Einführung von Systemen zur Angriffserkennung befreien zu lassen. Dies ist entsprechend gegenüber dem BSI zu begründen / nachzuweisen: Unsere Mitarbeiter unterstützen Sie gerne bei der entsprechenden Kommunikation mit dem BSI.

Checkliste für die Umsetzung der BSI-Anforderungen bezüglich Systeme zur Angriffserkennung (Checkliste BSI-OH-SzA)

Ja, ich interessiere mich für die Checkliste BSI-OH-SzA im Excel-Format, die man gegen eine einmalige Schutzgebühr von 549,95 EUR zzgl. der gesetzl. MwSt in Form einer Unternehmenslizenz erwerben kann: Ich bitte um Zusendung der entsprechenden Bestellunterlagen.

Strategie-Workshop zur Umsetzung der SzA-Anforderungen

Ja, ich interessiere mich für einen auf meine Bedürfnisse zugeschnittenen Strategie-Workshop zur Umsetzung der SzA-Anforderungen, den man für einen Betrag von 2.450,00 EUR zzgl. der gesetzl. MwSt buchen kann: Ich bitte um Zusendung weitergehender Informationen.

Durchführung der erforderlichen SzA-Reifegradprüfung (SzA-Audit)

Ja, ich interessiere mich für die SzA-Reifegradprüfung (Audit), die zur anforderungskonformen Nachweiserbringung gegenüber dem BSI zum 01.05.2023 erforderlich ist. Ich bitte um Zusendung weitergehender Informationen.

Unterstützung bei der Wahrnehmung der SzA-Ausnahmeregelung

Ja, ich interessiere mich für die Unterstützung zur Wahrnehmung der SzA-Ausnahmeregelung. Ich bitte um Zusendung weitergehender Informationen.

Umsetzungsunterstützung Systeme zur Angriffserkennung (SzA)

Kontaktieren Sie uns auch gerne falls Sie grundsätzliche Unterstützung bei der Konzeption und Einführung eines anforderungskonformen Systems zur Angrifferkennung (SzA) benötigen – Wir stehen Ihnen jederzeit gerne mit unserer Expertise und unseren umfassenden Erfahrungswerten zur Verfügung.