Die ersten Überprüfungen der vom § 8a Absatz 1a BSIG und §11 EnWG geforderten System zur Angriffserkennung (SzA) sind mittlerweile auch für uns gelaufen und es gab bereits einige Rückmeldungen vom BSI zu den daraus resultierenden Meldungen.
Aus unserer Sicht genau der richtige Zeitpunkt, um ein erstes Resümee zu ziehen.
Vorweg sei gesagt, dass wir bei keiner Überprüfung auf „katastrophale“ Zustände gestoßen sind, aber auch den Heiligen Gral bei der Umsetzung haben wir (noch) nicht gefunden.
Verschiedene Wege der Umsetzung eines SzA
Wir konnten verschiedene Wege der Umsetzung erkennen, sowohl im technischen Ansatz als auch bei der Wahl der Produkte. Im Großen und Ganzen engt sich der Kreis der genutzten Systemarten allerdings auf folgende Systemkategorien ein:
- SIEM (Security Information and Event Management)
- IDS/IPS (Intrusion Detection System / Intrusion Prevention System)
- Firewall
- Anomalie-Erkennung
Die technischen Systeme taten in der Regel, was sie sollten, und haben nur geringes Mangel- oder Empfehlungspotential geboten.
Das Gros der Mängel und Empfehlungen fand sich auf organisatorischer Seite.
Hier ist klar im Vorteil, wer sein ISMS lebt und kontinuierlich pflegt und verbessert.
Besonders die Kommunikation und Dokumentation mit dem Datenschutzbeauftragten und den Interessenvertretern (z.B. Betriebsrat) im Zuge der SzA Implementierung war oft nur nach tiefgreifenden Nachfragen und Prüfen nachzuvollziehen. Weitere Punkte, die oft Klärung bedurften waren z.B. die Benennung von Verantwortlichen, das Patchmanagement und die Updateversorgung (in Bezug auf SzA) und die Kategorisierung und Aufbewahrungsfristen der Protokoll- und Protokollierungsdaten.
Wir haben viele Empfehlungen geschrieben und hoffen, dass die jeweiligen Verantwortlichen sich diese zu Herzen nehmen und umsetzen.
Die Verpflichtung zum Einsatz eines Systems zur Angriffserkennung ist nach den ersten Überprüfungen betrachtet kein falscher Schritt.
Allerdings – und das ist meine persönliche Meinung als Schreiber dieser Zeilen – ist die Art und Weise, wie diese umgesetzt wurde eher unglücklich.
Meine Kritik hieran zielt auf die für die Einführung eines solchen Systems recht kurze Zeitspanne zwischen Veröffentlichung der Orientierungshilfe des BSI im September letzten Jahres und der Meldepflicht im Mai diesen Jahres. Auch gibt es einige Anforderungen, die im Nachhinein noch eine Anpassung seitens der verantwortlichen Stellen erfordern.