Schlagwortarchiv für: IT-SiG 2.0

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Das Jahr 2023 neigt sich dem Ende entgegen, Zeit, um einmal zurückzublicken, was uns das Jahr im Bereich der Informationssicherheit gebracht hat.

Von der Zertifizierung der aktualisierten ISO 27001 über die ersten Auswirkungen der in 2022 verabschiedeter Gesetze und Richtlinien bis hin zum spannenden Thema der Chancen und Risiken künstlicher Intelligenz, in diesem Podcast wollen wir all diese Punkte einmal beleuchten.

In unserer Folge „Jahresrückblick 2023 Informationssicherheit“ gehen wir auf folgende Aspekte ein:

  • Erste Zertifizierungen nach der neuen ISO 27001:2022 – Herausforderungen
  • IT-SiG 2.0 und NIS2 – Erste Auswirkungen in 2023: Systeme zur Angriffserkennung, Senkungen von Schwellwerten, etc.
  • Künstliche Intelligenz – Chancen und Risiken für die Informationssicherheit

Hier ein Paar Links zum Thema Jahresrückblick 2023 Informationssicherheit

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Ein verabschiedetes IT-Sicherheitsgesetz für alle Zeit? Nein, so einfach ist es leider nicht, sowohl deutschland- als auch EU-weit wird der Schutz von Informationen immer weiter vorangetrieben. So werden nun durch das IT-Sicherheitsgesetzt 2.0 (IT-SiG 2.0) und die NIS2 Richtlinie neue Anforderungen an Unternehmen gestellt.

In unserer Folge „IT-SiG 2.0. und NIS2 – der aktuelle Stand“ gehen wir auf folgende Aspekte ein:

  • IT-SiG 2.0 – hinzugekommene Sektoren, Systeme zur Angriffserkennung und weitere Inhalte
  • NIS2 Richtlinie – Inhalt und Zeitplan
  • Noch offene Punkte beim IT-SiG 2.0
  • Überschneidungen und zusätzliche Themen bei IT-SiG 2.0 und NIS2
  • Was bringt die Zukunft?

Hier ein Paar Links zum Thema IT-SiG 2.0. und NIS2 – der aktuelle Stand:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

In den beiden bisherigen Blogartikel wurde deutlich, dass sich hinter den Forderungen nach einem System zur Angriffserkennung (SzA) im IT-SiG 2.0 und im EnWG sehr viel mehr verbirgt als nur ein Stück Software. Daher hat das BSI (Bundesamt für Informationssicherheit) als federführende Stelle für alle Verpflichteten eine Orientierungshilfe erstellt, die eine strukturierte Hilfestellung liefert. In diesem Artikel soll es um die Systematik in den Veröffentlichungen des BSI gehen.

Formulierung MUSS, SOLL, KANN

Das BSI nutzt in seinen Publikationen die Formulierungen „MUSS“, „SOLL“ und „KANN“. Dabei muss man alle „MUSS“-Anforderungen umsetzen, um eine Konformität zu erreichen, es gibt bei diesen Anforderungen keinen Ermessensspielraum. Etwas anders sieht es bei den „SOLL“-Anforderungen aus. Ähnlich den „MUSS“, ist bei den „SOLL“ davon auszugehen, dass auch diese immer umgesetzt sind – es sei denn, es gibt stichhaltige Gründe, von diesen Anforderungen abzusehen. Diese Gründe müssen dann aber auch sorgfältig abgewogen, fachlich nachvollziehbar und dokumentiert dargelegt werden. „KANN“-Anforderungen liefern sinnvolle Ergänzungen und Verschärfungen, ihre Umsetzung ist allerdings nicht zwingend notwendig, um eine Konformität zu erreichen. Die Untersuchung, in welchem Umfang „MUSS“, „SOLL“ und „KANN“ im Unternehmen umgesetzt sind, liefert den Reifegrad des Systems zur Angriffserkennung.
Das genutzte Reifegradmodell enthält 6 Reifegrade, beginnend beim niedrigsten Reifegrad „0“. Bei diesem Reifegrad wurden noch keinerlei Maßnahmen umgesetzt, und es gibt auch keine Planungen hierfür. Beim Reifegrad „1“ gibt es immerhin schon Planungen, sie sind aber noch nicht in allen Bereichen zu 100% umgesetzt. Beim Reifegrad „2“ wurde bereits mit der Umsetzung begonnen, es sind aber noch nicht alle „MUSS“-Anforderungen umgesetzt.

Reifegrad

Für die erfolgreiche Nachweiserbringung sieht das BSI bei der ersten Prüfung im Frühjahr 2023 mindestens den Reifegrad „3“ vor: alle „MUSS“-Anforderungen sind in allen Bereichen erfüllt, und an der Umsetzung der „SOLL“-Anforderungen wird kontinuierlich gearbeitet. In den folgenden Prüfzyklen, also erstmalig im Frühjahr 2025, wird dann der Reifegrad „4“ als Minimum verlangt. Zu diesem Zeitpunkt müssen alle „MUSS“-Anforderungen umgesetzt sein, und zusätzlich alle „SOLL“-Anforderungen, sofern diese nicht nachvollziehbar und begründet ausgeschlossen wurden.
Beim Reifegrad „5“ schließlich werden neben allen „MUSS“-Anforderungen auch die nicht ausgeschlossenen „SOLL“- und „KANN“-Anforderungen erfüllt. Zusätzliche sinnvolle eigene Maßnahmen, die in der Orientierungshilfe nicht genannt wurden, dürfen auch umgesetzt werden.

Nach diesem Überblick über die Methodik des BSI wird es im nächsten Artikel darum gehen, welche Fragestellungen bei einem System zur Angriffserkennung betrachtet werden müssen.

Die durch das IT-SiG 2.0 und EnBW geforderte Einführung von Systeme n zur Angriffserkennung (SzA) führt neben den eigentlichen technischen Anforderungen auch zu vielen organisatorischen Maßnahmen.

Die Schaffung der organisatorischen Rahmenbedingungen für die Protokollierung, Detektion und Reaktion auf Ereignisse gehört genauso dazu, wie die Planung und Sicherstellung von technischen, finanziellen und personellen Ressourcen. Eine Planung der Protokollierung sollte zum Beispiel durch eine schrittweise Vorgehensweise, basierend auf einer Risikoanalyse und unter Einbeziehung der kritischen Geschäftsprozesse, umgesetzt werden.

Weiterhin stehen strategische Entscheidungen an: Gibt die derzeitige IT-Infrastruktur eine OnPremise Lösung her? Muss die Infrastruktur vergrößert werden, um die Datenmengen, die durch das Logging und die Auswertung anfallen, aufzunehmen oder wird eine Cloudlösung präferiert?
Vielleicht wird auch entschieden, diese Aufgaben an einen Dienstleister auszulagern, weil es sowohl an personellen als auch an technischen Ressourcen mangelt.

Mit Blick auf das Personal stehen organisatorische Maßnahmen an. Es muss ein Verantwortlicher benannt werden, der die Auswertung der Protokoll- und Protokollierungsdaten übernimmt. Mitarbeiter, die in der Detektion eingesetzt werden, müssen festgelegt und geschult werden. Hierbei ist dem BSI wichtig, dass die Auswertung für das Personal Priorität vor eventuell anderen Tätigkeitsfeldern haben muss.

Bei allen Anforderungen für Systeme zur Angriffserkennung darf auch ein Blick auf weitergehende gesetzliche oder regulatorische Anforderungen an die Protokollierung nicht ausbleiben. Gerade bei der Protokollierung von personenbezogenen Daten darf die DS-GVO nicht außer Acht gelassen werden. Bei der Planung sollte daher frühzeitig mit einem Datenschutzspezialisten zusammengearbeitet und – wenn vorhanden – der Betriebsrat informiert werden.

Zum Thema Systeme zur Angriffserkennung:

Unsere Beratungsleistungen zum Thema SzA im Überblick (PDF)

Orientierungshilfe des BSI (PDF)

Der 1. Mai 2023 ist ein Datum, dass bei vielen Energieversorgern und Anlagenbetreibern wohl derzeit ein mulmiges Gefühl auslöst. Es geht hierbei selbstverständlich um den ab Mai 2023 für KRITIS-Unternehmen verpflichtenden Einsatz von Systemen zur Angriffserkennung.

Diese Verpflichtung gilt auch für Betreiber von Energieversorgungsnetzen und Energieanlagen, die nicht unter die KRITIS-Regelung fallen. Grundsätzlich ist es an dieser Stelle leider auch nicht damit getan, ein „Stück Software“ zu kaufen. Die vom BSI geforderten Maßnahmen zur Umsetzung umfassen weit über 80 Anforderungen, die sich aus technischen und organisatorischen Maßnahmen zusammensetzen und bei ihrer Komplexität in der Anforderung enden, automatisch auf bestimmte Vorfälle zu reagieren.

Dass es sich bei der Einführung dieser Systeme um ein langwieriges Projekt handelt, ist allerdings auch dem BSI bekannt. Offen bleibt an dieser Stelle aber, wie ab Mai letztendlich damit umgegangen wird. Zurzeit bringt dieses Thema sehr viel Unruhe in die betreffenden Unternehmen und Prüforganisationen. Eines ist aber gewiss: Die Zeit zu handeln ist jetzt gekommen!

In den kommenden Artikeln werden wir uns damit befassen, worauf es im Kern ankommt, wie so ein System zur Angriffserkennung eingeführt werden kann und wie die ANMATHO AG Sie dabei unterstützen kann.

Unter das IT-Sicherheitsgesetz 2.0, das am 21. Mai 2021 verabschiedet wurde, fallen jetzt auch „Unternehmen im besonderen öffentlichen Interesse“ (UBI). Für diese Unternehmen hat das BSI nun die ersten konkreten Anforderungen festgelegt.

Doch welche Unternehmen fallen unter die Bezeichnung „UBI“? Hier kann man in drei Kategorien unterscheiden.

Kategorie 1:

Die Juristische Bezeichnung lautet: „Unternehmen, die Güter nach § 60 Absatz 1 Nummer 1 und 3 der Außenwirtschaftsverordnung in der jeweils geltenden Fassung herstellen oder entwickeln.“ Darunter fallen Unternehmen, die im Bereich Waffen, Munition und Rüstungsmaterial oder im Bereich von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen tätig sind. Ebenfalls betroffen sind Unternehmen, die für die Komponenten o.g. Produkte und deren IT-Sicherheitsfunktionen zuständig sind.

Kategorie 2:

Unternehmen, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung sind. Die Kennzahlen, nach denen dies bemessen wird, müssen noch per Rechtsverordnung vom BMI (Bundesministerium des Inneren, für Bau und Heimat) festgelegt werden. (Beispielweise könnten, das die Unternehmen die im DAX aufgelistet sind sein)

Kategorie 3:

Unternehmen, die in einem Bereich tätig sind, in dem gefährliche Stoffe in solchen Mengen vorhanden sind, das diese vorgegebene Mengenschwellen erreichen oder überschreiten. Aufgeführt werden diese Schwellwerte in Spalte 5 der Stoffliste in Anhang I der Störfall-Verordnung.

Juristisch heißt es, betroffen sind „Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung in der jeweils geltenden Fassung” oder Betreiber, die, “nach § 1 Absatz 2 der Störfall-Verordnung diesen gleichgestellt sind.“

Zur Übersicht listen wir Ihnen die Anforderungen des BSI einmal tabellarisch auf:

Tabelle der Anforderungen aus dem IT-SiG 2.0

Tabelle der Anforderungen aus dem IT-SiG 2.0

Es ergibt sich also zusammengefasst vorerst folgender Handlungsbedarf:

Kategorie 1: Hersteller/Entwickler von Gütern im Sinne von § 60 AWV müssen zum 1. Mai 2023 eine Selbsterklärung und eine Registrierung beim BSI einreichen.

Kategorie 2: Für die Unternehmen von erheblicher volkswirtschaftlicher Bedeutung wird das BMI eine Verordnung erstellen, durch die konkretisiert wird welche Unternehmen in diese Gruppe fallen. Bis zum Inkrafttreten der Verordnung besteht vorerst kein Handlungsbedarf.

Kategorie 3: Unternehmen müssen ab dem 1. November 2021 Vorfälle melden.

Weitere Informationen zu diesem Thema, insbesondere zur Störfallmeldung in Kategorie 3 finden Sie auf der Seite des BSI.

Auch die zum IT-Sicherheitsgesetz ergänzend gültige BSI Kritis Verordnung wurde überarbeitet und am 18.8.2021 in der neuen Version verabschiedet, diese Rechtsverordnung konkretisiert das IT-SiG 2.0 und tritt mit den geänderten Anforderungen und Schwellwerten am 1.Januar 2022 in Kraft. Offen sind auch hier bisher noch die konkreteren Definitionen der neuen betroffenen Unternehmen (UBI). Die Schwellenwerte und Identifikationsmechanismen sollen voraussichtlich 2022 in einer separaten UBI-Verordnung (UBI-VO) erfolgen.

Entsorgungsbetriebe sind systemrelevant, das sollte allen klar sein. Das ist auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bewusst. Daher sollen Entsorgungsbetriebe künftig nach IT-SiG 2.0 zu den kritischen Infrastrukturen gehören.

Durch die Pandemie hat sich gezeigt, dass auch die Entsorger vor neue Herausforderungen gestellt werden. Steigende Abfallmengen aus privaten Haushalten und durch die verminderte Produktion sinkende Abfallmengen aus den gewerblichen Bereichen. Daraus ergibt sich neben einer Wertstoffknappheit z.B. beim Papierrecycling (nichts rein-nichts raus) eine Verschiebung der Abfallströme. Mehr Hausmüll und weniger recyclingfähige Abfälle bringen die Lager und Anlagen der Entsorger z.T. jetzt schon an ihre Kapazitätsgrenzen.

Auch wenn es derzeit noch keine spürbaren Einschränkungen bei der Abfallentsorgung gibt, haben viele Unternehmen der Branche bereits vorgesorgt und flexible Regelungen zum Betriebsmanagement getroffen. Schichtbetrieb, Kleingruppen, räumliche Trennung, die Entsorgungsbetriebe haben schon viele Maßnahmen getroffen, um einen massiven Personalausfall durch COVID-19 Erkrankte zu vermeiden.

Die Einstufung der gesamten Entsorgungswirtschaft als systemrelevant ist in diesem Punkt ein wichtiges politisches Signal. Systemrelevanz ist das Stichwort, unter dem Einrichtungen und Betriebe zusammengefasst werden, die das grundlegende Funktionieren des öffentlichen Lebens aufrechterhalten. Das bringt aber für die Unternehmen auch neue Herausforderungen mit sich. Denn neben den Plänen, um einen Personalausfall zu verhindern muss mit der zukünftigen Einstufung als KRITIS auch der gesamte IT-gestützte Entsorgungsprozess betrachtet werden. Hier gibt es klare Anforderungen an die Betriebe wie das zu bewerten, umzusetzen und nachzuweisen ist.

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Staatlich verordnete Sicherheit – das IT-SiG 2.0 kommt mit hohen Anforderungen, neuen kritischen Infrastrukturen (KRITIS) und noch höheren Bußgeldern.

Bereits im Dezember 2020 hat der Bundestag den Referentenentwurf des neuen IT-SiG 2.0 verabschiedet. Diese Version des Gesetzes kommt mit neuen Hürden für die Betreiber kritischer Infrastrukturen, weitreichenderen Befugnissen für das BSI und Bußgeldern, die sich in der Höhe an denen der DS-GVO orientieren. Zukünftig werden auch die Entsorger als kritische Infrastruktur behandelt und zudem ist vorgesehen, das Gesetz auf weitere Unternehmen von „öffentlichem Interesse“ auszuweiten. Welche Unternehmen das genau sind, bleibt bisher jedoch offen – es könnte sich dabei neben Unternehmen aus der Rüstungsindustrie auch um die Top 100 und DAX-Unternehmen handeln.

Diese gesetzlich verordnete Sicherheit sieht auch massive Änderungen für die Sicherheitsstandards vor. Bisher wurden die Anforderungen nur implizit durch die Einführung und Etablierung eines ISMS nach ISO 27001 oder den Branchenstandards B3S benannt.

Jetzt wird jedoch explizit ein System zur Angriffserkennung (SIEM) gefordert. Demnach muss vom Unternehmen künftig, nachgewiesen werden, dass es funktionierende technische und organisatorische Prozesse gibt, die eine zuverlässige Erkennung von Angriffsversuchen gewährleisten. Zusätzlich wird es mit dem Inkrafttreten des IT-SiG 2.0 eine Meldepflicht bei Verwendung von „als nicht vertrauenswürdig eingestuften Komponenten“ geben, sofern diese in kritischen Bereichen eingesetzt werden. Die Einstufung, welche Komponenten als nicht vertrauenswürdig gelten, wird künftig über das BSI erfolgen. Die Betreiberunternehmen müssen den Nachweis erbringen, dass nur entsprechend gekennzeichnete Komponenten eingesetzt werden oder ggf. einen Rückbau oder Austausch veranlassen.

Das BSI erhält weitere Befugnisse und darf damit auch aktiv Portscans durchführen und Honeypots oder Sinkholes betreiben, um Schwachstellen und Angriffsszenarien aufzuspüren. Zudem werden Unternehmen verpflichtet, noch aktiver Vorfälle zu melden deren Daten und Informationen dann beim BSI erfasst und für bis zu 18 Monaten gespeichert werden – dazu zählen möglicherweise dann auch personenbezogene Daten.

KRITIS-Betreiber sollten sich also bereits jetzt, insbesondere bei der Umsetzung neuer Projekte, mit den Anforderungen des IT-SiG 2.0 beschäftigen und diese proaktiv berücksichtigen. Dies erspart Zeit und Nachbesserungsaufwand und verschafft ggf. einen zeitlichen Vorteil bei den Umsetzungsfristen. Vermutlich werden diese aufgrund der zunehmenden Cyber-Angriffe entsprechend kurz ausfallen.

 

Im neuen IT-Sicherheitsgesetzt sollen weitere Sektoren aufgenommen und die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausgeweitet werden.

Am 29.03.2019 wurde der Referentenentwurf zum IT-Sicherheitsgesetz 2.0 in die Ressortabstimmung eingebracht. Ziel des Referentenentwurfes ist weitere Unternehmen als Kritische Infrastruktur einzubeziehen. Hierzu gehören zum Beispiel die Abfallentsorgung oder Infrastrukturen aus den Bereichen Chemie und Automobilherstellung.

Hinzu kommen Unternehmen die eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben, wie die Rüstungsindustrie oder der Bereich Kultur und Medien.
Auch Dienstleister die für die Primären Unternehmen eine wichtige Rolle spielen und der Ausfall des Dienstleisters einen entsprechenden Schaden beim Unternehmen verursachen würde, sollen mit in den Geltungsbereich der Regelung fallen. Insgesamt ist das BSI berechtigt Unternehmen, bei denen eine Störung zu einer Gefährdung der Gesellschaft werden kann, die Pflichten dieses Gesetzes aufzuerlegen.

Bezüglich der Bußgelder will man sich an den Vorgaben aus der DS-GVO orientieren und setzt eine maximale Höhe von 20 Mio. Euro bzw. 4% des gesamten, weltweiten Umsatzes an.
Des Weiteren soll das BSI deutlich mehr Kompetenzen erhalten, um Sicherheitslücken zu suchen, Informationen von Herstellern anzufragen und die Öffentlichkeit über bestehende Probleme zu informieren.