Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 01.06.2022 einen ersten Entwurf der Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung gem. § 8a (1a) BSIG und § 11 (1d) EnWG veröffentlicht. Bis zum 08.07.2022 hat die Öffentlichkeit nun Zeit, Kommentierungen und Änderungen einzureichen (vgl. Meldung des BSI vom 13.06.2022 und Orientierungshilfe des BSI (Entwurf – Stand 01.06.2022)).

Gesetzliche Einordnung

Seit der Veröffentlichung des IT-Sicherheitsgesetzes 2.0 im Mai 2021 wird von Betreibern Kritischer Infrastrukturen die Einführung und Planung von Systemen zur automatischen Angriffserkennung gefordert. Die Umsetzung muss erstmalig zum 01.05.2023 nachgewiesen werden. Der vorliegende Entwurf der Orientierungshilfe soll nun eine Konkretisierung darstellen, wie diese Anforderung umzusetzen ist.

Das BSIG (vom 14.08.2009 (BGBl. I S. 2821), zuletzt geändert durch Art. 12 des Gesetzes vom 23.06.2021 (BGBl. I S. 1982)) stellt eine Definition von Systemen zur automatischen Angriffserkennung in § 2 Abs. 9b BSIG bereit. In dieser heißt es:

„Systeme zur Angriffserkennung im Sinne dieses Gesetzes sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten.“

Wie oben bereits beschrieben, müssen Betreiber Kritischer Infrastrukturen gem. § 8a (3) Satz 1 BSIG die Umsetzung der Anforderungen aus § 8a BSIG alle zwei Jahre nachweisen. Hierzu zählt seit 2021 neu der § 8a Abs. 1a BSIG. In diesem heißt es:

„Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“

Gem. § 8d Abs. 2 BSIG wird definiert, welche Unternehmen von der Nachweispflicht zur Umsetzung des § 8a BSIG ausgeschlossen sind. Hierzu zählen u. a. die Unternehmen, die durch das EnWG reguliert werden. Nun könnten Energienetz- oder Kraftwerksbetreiber aufatmen, aber leider heißt es in § 11 (1d) EnWG (vom 07.07.2005 (BGBl. I S. 1970, 3621), zuletzt geändert durch Art. 2 G v. 23.05.2022 I 747):

„Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes als Kritische Infrastruktur bestimmt wurden, haben spätestens ab dem 1. Mai 2023 in ihren informationstechnischen Systemen, Komponenten oder Prozessen, die für die Funktionsfähigkeit der von ihnen betriebenen Energieversorgungsnetze oder Energieanlagen maßgeblich sind, in angemessener Weise Systeme zur Angriffserkennung einzusetzen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen. Dabei soll der Stand der Technik eingehalten werden. Der Einsatz von Systemen zur Angriffserkennung ist angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den möglichen Folgen eines Ausfalls oder einer Beeinträchtigung des betroffenen Energieversorgungsnetzes oder der betroffenen Energieanlage steht.“

Folglich müssen Energienetz- und Kraftwerksbetreiber ebenfalls ein System zur automatischen Angriffserkennung betreiben. Die Anforderungen hierfür werden in der oben genannten Orientierungshilfe festgelegt sein.

Systeme zur Angriffserkennung und deren Einführung

Entsprechend müssen nun Betreiber Kritischer Infrastrukturen, die durch das BSIG und EnWG reguliert werden, folglich zum 01.05.2023 ein entsprechendes System zur Angriffserkennung einführen.

Was darunter genau zu verstehen ist, lässt nach obiger Definition noch viel Raum für Spekulationen. Im Namen des BSI wird nun eine Konkretisierung in der oben genannten Orientierungshilfe gegeben. In dieser wird der Betrieb und die Einführung in drei Phasen unterteilt:

  1. Planung
  2. Detektion
  3. Reaktion

Unternehmen sind entsprechend dazu angehalten, zunächst ein umfangreiches Protokollierungskonzept zu erstellen. Hierbei sei auf innere Abhängigkeiten, Kritikalität und Notwendigkeit zur Funktionsfähigkeit der kritischen Dienstleistung zu achten. Es ist festzulegen, auf welchen Systemen/Maschinen welche Informationen zu protokollieren sind. Anforderungen aus dem Datenschutz und weiteren Gesetzen sind zu beachten.

Die Protokollinformationen müssen gefiltert, normalisiert, aggregiert und korreliert sein. Eine maschinenauswertbare Form muss hergestellt werden. Dabei ist auf hinreichende technische, finanzielle und personelle Ressourcen zu achten. Anfallende Protokolldaten müssen vorab prognostiziert werden, um eine hinreichende Protokollinfrastruktur zu etablieren. Je nach Notwendigkeit und Sinnhaftigkeit sind zentrale Protokollierungsserver einzuführen.

Die Protokollinformationen sind sodann automatisiert auszuwerten. Hierbei muss auf maschinen-, bedrohungs- und branchenspezifische Ereignisse geachtet werden. Die Überwachung der Protokollinformationen muss kontinuierlich erfolgen. Eine Automatisierung der Auswertung kann vorgenommen werden. Auch ist auf Schadcodedetektionssysteme zu achten. Übergänge zwischen Netzen müssen um netzbasierte Intrusion Detection Systeme ergänzt werden. Auch ist auf eine einheitliche Systemzeit auf allen Komponenten zu achten. Insbesondere müssen die zentralen Protokollierungsserver zeitlich synchronisiert sein, um Protokollierungsdaten korrelieren und abgleichen zu können.

Werden Sicherheitsvorfälle erkannt, müssen diese gem. der firmeneigenen Richtlinie zur Erkennung und Behandlung von Informationssicherheitsvorfällen bearbeitet werden. Hierzu kann sich am Baustein DER.2.1 „Behandlung von Sicherheitsvorfällen“ des IT-Grundschutz Kompendiums (Edition 2022) orientiert werden.

Die Systeme zur Angriffserkennung sollten automatisiert Maßnahmen zur Vermeidung und Beseitigung von angriffsbedingten Störungen ergreifen können. Hierdurch darf die kritische Dienstleistung jedoch nicht beeinträchtigt werden.

Fazit

Nach obigen Ausführungen sollte eine Kritische Infrastruktur in drei Schritten vorgehen:

  • Inventarisierung und Datenflussprüfung
  • Erstellung eines Protokollierungskonzepts
  • Einführung einer Protokollierungsinfrastruktur

Als Protokollierungsinfrastruktur hat sich ein zweistufiges Konzept bereits gut bewährt. Auf einem zentralen Server wird eine SIEM (Security Information and Event Management) betrieben. Die SIEM bekommt aus allen Netzsegmenten von sog. Datakollektoren die Protokollinhalte über einen Ende-zu-Ende verschlüsselten Datenstrom. Die Protoinformationen müssen während der Speicherung und während des Transfers vor Manipulation geschützt sein. Die SIEM führt dann die notwendigen Schritte bis hin zur Auswertung durch.

An die SIEM schließt sich ein SOC (Security Operations Center) an. Dieses reagiert auf die erkannten Angriffsszenarien unmittelbar. Eine Automatisierung von Maßnahmen über eine weitere IPS (Intrusion Prevention System) kann ebenfalls erfolgen.

Wir halten Sie über die weiteren Entwicklungen zu dieser Orientierungshilfe hier im Blog auf dem Laufenden.