Systeme zur Angriffserkennung

Haben Sie schonmal etwas von SzA gehört? Wikipedia listet neben einer US-amerikanischen R&B-Sängerin und dem IATA-Code eines Flughafens in Zaire ferner eine unangenehm erscheinende Krankheit (Sichelzellkrankheit) auf. Das, worum es hier geht, hat es also noch nicht in die weltweite Enzyklopädie von Wikipedia geschafft – nämlich Systeme zur Angriffserkennung, abgekürzt mit SzA.

Von wem stammt die Abkürzung? Die Ehre gebührt offenbar dem Bundesamt für Sicherheit in der Informationstechnik (BSI), denn hier taucht es in den Vorgaben auf.

Worum geht es denn nun aber?

Nun, der Gesetzgeber verpflichtet Betreiber Kritischer Infrastrukturen sowie Netz- und Kraftwerksbetreiber „Systeme zur Angriffserkennung“ einzuführen. Diese SzA müssen dabei „geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen“ (§8a Abs. 1a BSIG).

Relevant sind zwei Gesetze: Das BSI-Gesetz (BSIG) mit den Schwellwerten der KRITIS-Verordnung (KRITIS-VO) sowie das Energiewirtschaftsgesetz (EnWG):

8a Abs. 1 BSIG normiert zentral Vorkehrungen zur Informationssicherheit bei Betreibern von Kritischen Infrastrukturen; § 8a Abs. 1a BSIG ergänzt diese Vorgaben um Systeme zur Angriffserkennung.
Systeme zur Angriffserkennung werden in §2 Abs. 9b BSIG definiert.
In § 8a Abs. 3 BSIG finden sich die Vorgaben zur Nachweispflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
Strom- und Gasnetz- sowie Kraftwerksbetreiber – exakt Betreiber von Energieversorgungsnetzen und Energieanlagen – werden über §11 Abs. 1d EnWG einbezogen; die Nachweisfristen werden in §11 Abs. 1e EnWG definiert.

Zudem liegt mit der „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ des BSI eine Konkretisierung der gesetzlichen Vorgaben vor.

Für wen sind Systeme zur Angriffserkennung (SzA) interessant?

Diese gesetzliche Verpflichtung betrifft nicht nur KRITIS-Unternehmen gem. §8a BSIG, die die KRITIS-Schwellwerte überschreiten, sondern über §11 Abs. 1d EnWG auch alle Strom- und Gasnetzbetreiber sowie alle Kraftwerksbetreiber, die unter die KRITIS-VO fallen.

Wichtig: Es gilt eine gesetzliche Nachweispflicht mit Fristen. Neben der Einführung von Systemen zur Angriffserkennung ist eine Prüfung mit Nachweis der Umsetzung durch unabhängige Stellen gegenüber dem BSI vorgesehen. Vom Gesetzgeber sind ferner Fristen festgelegt worden:

Einführung von Systemen zur Angriffserkennung: bis 01.05.2023
Nachweis der Umsetzung gegenüber dem BSI:
- Netzbetreiber: erstmals am 01.05.2023, danach alle zwei Jahre
- Kraftwerksbetreiber, die unter KRITIS fallen: erstmals am 01.05.2023, danach alle zwei Jahre
- Betreiber Kritischer Infrastrukturen, die unter KRITIS fallen: reguläre §8a-Nachweispflichten

Und wie erfolgt diese Prüfung?

Ausgehend von den behördlichen Vorgaben hat die datenschutz cert GmbH für ihre Prüfungen von Systemen zur Angriffserkennung einen Kriterienkatalog erstellt. Die Vorgaben des BSI aus der „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ wurden dabei übernommen. Der Kriterienkatalog enthält konkrete Anforderungselemente zu den drei Phasen

Protokollierung,
Detektion und
Reaktion.

Die Prüfung wird in Form eines Audits sowie einer technischen Prüfung durchgeführt. Die Prüfung spaltet sich auf in Vorbereitung, Dokumentenprüfung, Site Visit und Nachbereitung inkl. BSI-Nachweis

Informationssicherheit nach Stand der Technik setzt insbesondere ein Informationssicherheits-Managementsystem (ISMS) voraus. Aus diesem Grund setzt das Modell der datenschutz cert GmbH zur Prüfung von Systemen zur Angriffserkennung auf kontinuierliche Prüfungen:

es finden jährliche Prüfungen statt
BSI-Nachweise werden gem. gesetzlichen Vorgaben erstellt: initial und sodann alle zwei Jahre

Darüber hinaus können Synergien genutzt werden, denn Netz- und Kraftwerksbetreiber müssen bereits zertifiziert werden:

Strom- und Gasnetzbetreiber gem. IT-Sicherheitskatalog gem. §11 Abs. 1a EnWG
Energieanlagenbetreiber gem. IT-Sicherheitskatalog gem. §11 Abs. 1ba EnWG, sofern sie unter die KRITIS-VO fallen

Diese Zertifizierungen setzen ein Informationssicherheits-Managementsystem (ISMS) gem. ISO/IEC 27001 voraus, weshalb Synergien zu den Anforderungen des vorliegenden Kriterienkatalogs vorliegen. Aus diesem Grund sollten Audits gem. IT-Sicherheitskatalog mit den Prüfungen gem. SzA kombiniert werden – sofern dies von den Fristen her möglich ist.

Fazit

Der Gesetzgeber misst dem Schutz Kritischer Infrastrukturen einen immer höheren Wert bei. Nach den vorgeschriebenen Zertifizierungen bei Strom- und Gasnetz- sowie Kraftwerksbetreibern sowie den KRITIS-Nachweisprüfungen, die eher einen gesamtheitlichen Blick auf die Informationssicherheit mit einem Managementsystem wagen, folgt nun die Verpflichtung, ganz konkrete technische Maßnahmen einzuführen und prüfen zu lassen.

Für weitere Informationen stehen wir Ihnen gerne unter 0421 – 69 66 32-550 zur Verfügung. Besuchen Sie auch unsere Website unter https://www.datenschutz-cert.de/leistungen/systeme-zur-angriffserkennung.

Dr. Sönke Maseberg | 16. Februar 2023 | Allgemein | BSI, Bundesamt für Sicherheit in der Informationstechnik, Energieanlagenbetreiber, Gasnetzbetreiber, KRITIS, Stomnetzbetreiber, Systeme zur Angriffserkennung