Schlagwortarchiv für: ENWG

Die ersten Überprüfungen der vom § 8a Absatz 1a BSIG und §11 EnWG geforderten System zur Angriffserkennung (SzA) sind mittlerweile auch für uns gelaufen und es gab bereits einige Rückmeldungen vom BSI zu den daraus resultierenden Meldungen.

Aus unserer Sicht genau der richtige Zeitpunkt, um ein erstes Resümee zu ziehen.

Vorweg sei gesagt, dass wir bei keiner Überprüfung auf „katastrophale“ Zustände gestoßen sind, aber auch den Heiligen Gral bei der Umsetzung haben wir (noch) nicht gefunden.

Verschiedene Wege der Umsetzung eines SzA

Wir konnten verschiedene Wege der Umsetzung erkennen, sowohl im technischen Ansatz als auch bei der Wahl der Produkte. Im Großen und Ganzen engt sich der Kreis der genutzten Systemarten allerdings auf folgende Systemkategorien ein:

  • SIEM (Security Information and Event Management)
  • IDS/IPS (Intrusion Detection System / Intrusion Prevention System)
  • Firewall
  • Anomalie-Erkennung

Die technischen Systeme taten in der Regel, was sie sollten, und haben nur geringes Mangel- oder Empfehlungspotential geboten.

Das Gros der Mängel und Empfehlungen fand sich auf organisatorischer Seite.

Hier ist klar im Vorteil, wer sein ISMS lebt und kontinuierlich pflegt und verbessert.

Besonders die Kommunikation und Dokumentation mit dem Datenschutzbeauftragten und den Interessenvertretern (z.B. Betriebsrat) im Zuge der SzA Implementierung war oft nur nach tiefgreifenden Nachfragen und Prüfen nachzuvollziehen. Weitere Punkte, die oft Klärung bedurften waren z.B. die Benennung von Verantwortlichen, das Patchmanagement und die Updateversorgung (in Bezug auf SzA) und die Kategorisierung und Aufbewahrungsfristen der Protokoll- und Protokollierungsdaten.

Wir haben viele Empfehlungen geschrieben und hoffen, dass die jeweiligen Verantwortlichen sich diese zu Herzen nehmen und umsetzen.

Die Verpflichtung zum Einsatz eines Systems zur Angriffserkennung ist nach den ersten Überprüfungen betrachtet kein falscher Schritt.

Allerdings – und das ist meine persönliche Meinung als Schreiber dieser Zeilen – ist die Art und Weise, wie diese umgesetzt wurde eher unglücklich.
Meine Kritik hieran zielt auf die für die Einführung eines solchen Systems recht kurze Zeitspanne zwischen Veröffentlichung der Orientierungshilfe des BSI im September letzten Jahres und der Meldepflicht im Mai diesen Jahres. Auch gibt es einige Anforderungen, die im Nachhinein noch eine Anpassung seitens der verantwortlichen Stellen erfordern.

In den beiden bisherigen Blogartikel wurde deutlich, dass sich hinter den Forderungen nach einem System zur Angriffserkennung (SzA) im IT-SiG 2.0 und im EnWG sehr viel mehr verbirgt als nur ein Stück Software. Daher hat das BSI (Bundesamt für Informationssicherheit) als federführende Stelle für alle Verpflichteten eine Orientierungshilfe erstellt, die eine strukturierte Hilfestellung liefert. In diesem Artikel soll es um die Systematik in den Veröffentlichungen des BSI gehen.

Formulierung MUSS, SOLL, KANN

Das BSI nutzt in seinen Publikationen die Formulierungen „MUSS“, „SOLL“ und „KANN“. Dabei muss man alle „MUSS“-Anforderungen umsetzen, um eine Konformität zu erreichen, es gibt bei diesen Anforderungen keinen Ermessensspielraum. Etwas anders sieht es bei den „SOLL“-Anforderungen aus. Ähnlich den „MUSS“, ist bei den „SOLL“ davon auszugehen, dass auch diese immer umgesetzt sind – es sei denn, es gibt stichhaltige Gründe, von diesen Anforderungen abzusehen. Diese Gründe müssen dann aber auch sorgfältig abgewogen, fachlich nachvollziehbar und dokumentiert dargelegt werden. „KANN“-Anforderungen liefern sinnvolle Ergänzungen und Verschärfungen, ihre Umsetzung ist allerdings nicht zwingend notwendig, um eine Konformität zu erreichen. Die Untersuchung, in welchem Umfang „MUSS“, „SOLL“ und „KANN“ im Unternehmen umgesetzt sind, liefert den Reifegrad des Systems zur Angriffserkennung.
Das genutzte Reifegradmodell enthält 6 Reifegrade, beginnend beim niedrigsten Reifegrad „0“. Bei diesem Reifegrad wurden noch keinerlei Maßnahmen umgesetzt, und es gibt auch keine Planungen hierfür. Beim Reifegrad „1“ gibt es immerhin schon Planungen, sie sind aber noch nicht in allen Bereichen zu 100% umgesetzt. Beim Reifegrad „2“ wurde bereits mit der Umsetzung begonnen, es sind aber noch nicht alle „MUSS“-Anforderungen umgesetzt.

Reifegrad

Für die erfolgreiche Nachweiserbringung sieht das BSI bei der ersten Prüfung im Frühjahr 2023 mindestens den Reifegrad „3“ vor: alle „MUSS“-Anforderungen sind in allen Bereichen erfüllt, und an der Umsetzung der „SOLL“-Anforderungen wird kontinuierlich gearbeitet. In den folgenden Prüfzyklen, also erstmalig im Frühjahr 2025, wird dann der Reifegrad „4“ als Minimum verlangt. Zu diesem Zeitpunkt müssen alle „MUSS“-Anforderungen umgesetzt sein, und zusätzlich alle „SOLL“-Anforderungen, sofern diese nicht nachvollziehbar und begründet ausgeschlossen wurden.
Beim Reifegrad „5“ schließlich werden neben allen „MUSS“-Anforderungen auch die nicht ausgeschlossenen „SOLL“- und „KANN“-Anforderungen erfüllt. Zusätzliche sinnvolle eigene Maßnahmen, die in der Orientierungshilfe nicht genannt wurden, dürfen auch umgesetzt werden.

Nach diesem Überblick über die Methodik des BSI wird es im nächsten Artikel darum gehen, welche Fragestellungen bei einem System zur Angriffserkennung betrachtet werden müssen.

Der 1. Mai 2023 ist ein Datum, dass bei vielen Energieversorgern und Anlagenbetreibern wohl derzeit ein mulmiges Gefühl auslöst. Es geht hierbei selbstverständlich um den ab Mai 2023 für KRITIS-Unternehmen verpflichtenden Einsatz von Systemen zur Angriffserkennung.

Diese Verpflichtung gilt auch für Betreiber von Energieversorgungsnetzen und Energieanlagen, die nicht unter die KRITIS-Regelung fallen. Grundsätzlich ist es an dieser Stelle leider auch nicht damit getan, ein „Stück Software“ zu kaufen. Die vom BSI geforderten Maßnahmen zur Umsetzung umfassen weit über 80 Anforderungen, die sich aus technischen und organisatorischen Maßnahmen zusammensetzen und bei ihrer Komplexität in der Anforderung enden, automatisch auf bestimmte Vorfälle zu reagieren.

Dass es sich bei der Einführung dieser Systeme um ein langwieriges Projekt handelt, ist allerdings auch dem BSI bekannt. Offen bleibt an dieser Stelle aber, wie ab Mai letztendlich damit umgegangen wird. Zurzeit bringt dieses Thema sehr viel Unruhe in die betreffenden Unternehmen und Prüforganisationen. Eines ist aber gewiss: Die Zeit zu handeln ist jetzt gekommen!

In den kommenden Artikeln werden wir uns damit befassen, worauf es im Kern ankommt, wie so ein System zur Angriffserkennung eingeführt werden kann und wie die ANMATHO AG Sie dabei unterstützen kann.

Schlagwortarchiv für: ENWG