Schlagwortarchiv für: SzA

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Seit Mai 2023 müssen Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, dem BSI nachweisen, dass sie Systeme zur Angriffserkennung (SzA) betreiben. Diese Nachweise sind durch eine externe Prüfung zu erbringen. Die ANMATHO AG hat solche Prüfungen in 2023 durchgeführt und erste Erkenntnisse zur Umsetzung der Anforderungen gesammelt.

In unserer Folge „Systeme zur Angriffserkennung – Erste Erkenntnisse aus den Überprüfungen“ gehen wir auf folgende Aspekte ein:

  • Anforderungen des BSI an SzA
  • Hinweise zur Meldung an das BSI
  • Die Vorteile eines bestehendem ISMS bei der Einführung von SzA
  • Vollständigkeit und Datenschutz – zwei Punkte zur Verbesserung

Hier ein Paar Links zum Thema Systeme zur Angriffserkennung – Erste Erkenntnisse aus den Überprüfungen

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Die ersten Überprüfungen der vom § 8a Absatz 1a BSIG und §11 EnWG geforderten System zur Angriffserkennung (SzA) sind mittlerweile auch für uns gelaufen und es gab bereits einige Rückmeldungen vom BSI zu den daraus resultierenden Meldungen.

Aus unserer Sicht genau der richtige Zeitpunkt, um ein erstes Resümee zu ziehen.

Vorweg sei gesagt, dass wir bei keiner Überprüfung auf „katastrophale“ Zustände gestoßen sind, aber auch den Heiligen Gral bei der Umsetzung haben wir (noch) nicht gefunden.

Verschiedene Wege der Umsetzung eines SzA

Wir konnten verschiedene Wege der Umsetzung erkennen, sowohl im technischen Ansatz als auch bei der Wahl der Produkte. Im Großen und Ganzen engt sich der Kreis der genutzten Systemarten allerdings auf folgende Systemkategorien ein:

  • SIEM (Security Information and Event Management)
  • IDS/IPS (Intrusion Detection System / Intrusion Prevention System)
  • Firewall
  • Anomalie-Erkennung

Die technischen Systeme taten in der Regel, was sie sollten, und haben nur geringes Mangel- oder Empfehlungspotential geboten.

Das Gros der Mängel und Empfehlungen fand sich auf organisatorischer Seite.

Hier ist klar im Vorteil, wer sein ISMS lebt und kontinuierlich pflegt und verbessert.

Besonders die Kommunikation und Dokumentation mit dem Datenschutzbeauftragten und den Interessenvertretern (z.B. Betriebsrat) im Zuge der SzA Implementierung war oft nur nach tiefgreifenden Nachfragen und Prüfen nachzuvollziehen. Weitere Punkte, die oft Klärung bedurften waren z.B. die Benennung von Verantwortlichen, das Patchmanagement und die Updateversorgung (in Bezug auf SzA) und die Kategorisierung und Aufbewahrungsfristen der Protokoll- und Protokollierungsdaten.

Wir haben viele Empfehlungen geschrieben und hoffen, dass die jeweiligen Verantwortlichen sich diese zu Herzen nehmen und umsetzen.

Die Verpflichtung zum Einsatz eines Systems zur Angriffserkennung ist nach den ersten Überprüfungen betrachtet kein falscher Schritt.

Allerdings – und das ist meine persönliche Meinung als Schreiber dieser Zeilen – ist die Art und Weise, wie diese umgesetzt wurde eher unglücklich.
Meine Kritik hieran zielt auf die für die Einführung eines solchen Systems recht kurze Zeitspanne zwischen Veröffentlichung der Orientierungshilfe des BSI im September letzten Jahres und der Meldepflicht im Mai diesen Jahres. Auch gibt es einige Anforderungen, die im Nachhinein noch eine Anpassung seitens der verantwortlichen Stellen erfordern.

In den beiden bisherigen Blogartikel wurde deutlich, dass sich hinter den Forderungen nach einem System zur Angriffserkennung (SzA) im IT-SiG 2.0 und im EnWG sehr viel mehr verbirgt als nur ein Stück Software. Daher hat das BSI (Bundesamt für Informationssicherheit) als federführende Stelle für alle Verpflichteten eine Orientierungshilfe erstellt, die eine strukturierte Hilfestellung liefert. In diesem Artikel soll es um die Systematik in den Veröffentlichungen des BSI gehen.

Formulierung MUSS, SOLL, KANN

Das BSI nutzt in seinen Publikationen die Formulierungen „MUSS“, „SOLL“ und „KANN“. Dabei muss man alle „MUSS“-Anforderungen umsetzen, um eine Konformität zu erreichen, es gibt bei diesen Anforderungen keinen Ermessensspielraum. Etwas anders sieht es bei den „SOLL“-Anforderungen aus. Ähnlich den „MUSS“, ist bei den „SOLL“ davon auszugehen, dass auch diese immer umgesetzt sind – es sei denn, es gibt stichhaltige Gründe, von diesen Anforderungen abzusehen. Diese Gründe müssen dann aber auch sorgfältig abgewogen, fachlich nachvollziehbar und dokumentiert dargelegt werden. „KANN“-Anforderungen liefern sinnvolle Ergänzungen und Verschärfungen, ihre Umsetzung ist allerdings nicht zwingend notwendig, um eine Konformität zu erreichen. Die Untersuchung, in welchem Umfang „MUSS“, „SOLL“ und „KANN“ im Unternehmen umgesetzt sind, liefert den Reifegrad des Systems zur Angriffserkennung.
Das genutzte Reifegradmodell enthält 6 Reifegrade, beginnend beim niedrigsten Reifegrad „0“. Bei diesem Reifegrad wurden noch keinerlei Maßnahmen umgesetzt, und es gibt auch keine Planungen hierfür. Beim Reifegrad „1“ gibt es immerhin schon Planungen, sie sind aber noch nicht in allen Bereichen zu 100% umgesetzt. Beim Reifegrad „2“ wurde bereits mit der Umsetzung begonnen, es sind aber noch nicht alle „MUSS“-Anforderungen umgesetzt.

Reifegrad

Für die erfolgreiche Nachweiserbringung sieht das BSI bei der ersten Prüfung im Frühjahr 2023 mindestens den Reifegrad „3“ vor: alle „MUSS“-Anforderungen sind in allen Bereichen erfüllt, und an der Umsetzung der „SOLL“-Anforderungen wird kontinuierlich gearbeitet. In den folgenden Prüfzyklen, also erstmalig im Frühjahr 2025, wird dann der Reifegrad „4“ als Minimum verlangt. Zu diesem Zeitpunkt müssen alle „MUSS“-Anforderungen umgesetzt sein, und zusätzlich alle „SOLL“-Anforderungen, sofern diese nicht nachvollziehbar und begründet ausgeschlossen wurden.
Beim Reifegrad „5“ schließlich werden neben allen „MUSS“-Anforderungen auch die nicht ausgeschlossenen „SOLL“- und „KANN“-Anforderungen erfüllt. Zusätzliche sinnvolle eigene Maßnahmen, die in der Orientierungshilfe nicht genannt wurden, dürfen auch umgesetzt werden.

Nach diesem Überblick über die Methodik des BSI wird es im nächsten Artikel darum gehen, welche Fragestellungen bei einem System zur Angriffserkennung betrachtet werden müssen.

Die durch das IT-SiG 2.0 und EnBW geforderte Einführung von Systeme n zur Angriffserkennung (SzA) führt neben den eigentlichen technischen Anforderungen auch zu vielen organisatorischen Maßnahmen.

Die Schaffung der organisatorischen Rahmenbedingungen für die Protokollierung, Detektion und Reaktion auf Ereignisse gehört genauso dazu, wie die Planung und Sicherstellung von technischen, finanziellen und personellen Ressourcen. Eine Planung der Protokollierung sollte zum Beispiel durch eine schrittweise Vorgehensweise, basierend auf einer Risikoanalyse und unter Einbeziehung der kritischen Geschäftsprozesse, umgesetzt werden.

Weiterhin stehen strategische Entscheidungen an: Gibt die derzeitige IT-Infrastruktur eine OnPremise Lösung her? Muss die Infrastruktur vergrößert werden, um die Datenmengen, die durch das Logging und die Auswertung anfallen, aufzunehmen oder wird eine Cloudlösung präferiert?
Vielleicht wird auch entschieden, diese Aufgaben an einen Dienstleister auszulagern, weil es sowohl an personellen als auch an technischen Ressourcen mangelt.

Mit Blick auf das Personal stehen organisatorische Maßnahmen an. Es muss ein Verantwortlicher benannt werden, der die Auswertung der Protokoll- und Protokollierungsdaten übernimmt. Mitarbeiter, die in der Detektion eingesetzt werden, müssen festgelegt und geschult werden. Hierbei ist dem BSI wichtig, dass die Auswertung für das Personal Priorität vor eventuell anderen Tätigkeitsfeldern haben muss.

Bei allen Anforderungen für Systeme zur Angriffserkennung darf auch ein Blick auf weitergehende gesetzliche oder regulatorische Anforderungen an die Protokollierung nicht ausbleiben. Gerade bei der Protokollierung von personenbezogenen Daten darf die DS-GVO nicht außer Acht gelassen werden. Bei der Planung sollte daher frühzeitig mit einem Datenschutzspezialisten zusammengearbeitet und – wenn vorhanden – der Betriebsrat informiert werden.

Zum Thema Systeme zur Angriffserkennung:

Unsere Beratungsleistungen zum Thema SzA im Überblick (PDF)

Orientierungshilfe des BSI (PDF)

Der 1. Mai 2023 ist ein Datum, dass bei vielen Energieversorgern und Anlagenbetreibern wohl derzeit ein mulmiges Gefühl auslöst. Es geht hierbei selbstverständlich um den ab Mai 2023 für KRITIS-Unternehmen verpflichtenden Einsatz von Systemen zur Angriffserkennung.

Diese Verpflichtung gilt auch für Betreiber von Energieversorgungsnetzen und Energieanlagen, die nicht unter die KRITIS-Regelung fallen. Grundsätzlich ist es an dieser Stelle leider auch nicht damit getan, ein „Stück Software“ zu kaufen. Die vom BSI geforderten Maßnahmen zur Umsetzung umfassen weit über 80 Anforderungen, die sich aus technischen und organisatorischen Maßnahmen zusammensetzen und bei ihrer Komplexität in der Anforderung enden, automatisch auf bestimmte Vorfälle zu reagieren.

Dass es sich bei der Einführung dieser Systeme um ein langwieriges Projekt handelt, ist allerdings auch dem BSI bekannt. Offen bleibt an dieser Stelle aber, wie ab Mai letztendlich damit umgegangen wird. Zurzeit bringt dieses Thema sehr viel Unruhe in die betreffenden Unternehmen und Prüforganisationen. Eines ist aber gewiss: Die Zeit zu handeln ist jetzt gekommen!

In den kommenden Artikeln werden wir uns damit befassen, worauf es im Kern ankommt, wie so ein System zur Angriffserkennung eingeführt werden kann und wie die ANMATHO AG Sie dabei unterstützen kann.

Staatlich verordnete Sicherheit – das IT-SiG 2.0 kommt mit hohen Anforderungen, neuen kritischen Infrastrukturen (KRITIS) und noch höheren Bußgeldern.

Bereits im Dezember 2020 hat der Bundestag den Referentenentwurf des neuen IT-SiG 2.0 verabschiedet. Diese Version des Gesetzes kommt mit neuen Hürden für die Betreiber kritischer Infrastrukturen, weitreichenderen Befugnissen für das BSI und Bußgeldern, die sich in der Höhe an denen der DS-GVO orientieren. Zukünftig werden auch die Entsorger als kritische Infrastruktur behandelt und zudem ist vorgesehen, das Gesetz auf weitere Unternehmen von „öffentlichem Interesse“ auszuweiten. Welche Unternehmen das genau sind, bleibt bisher jedoch offen – es könnte sich dabei neben Unternehmen aus der Rüstungsindustrie auch um die Top 100 und DAX-Unternehmen handeln.

Diese gesetzlich verordnete Sicherheit sieht auch massive Änderungen für die Sicherheitsstandards vor. Bisher wurden die Anforderungen nur implizit durch die Einführung und Etablierung eines ISMS nach ISO 27001 oder den Branchenstandards B3S benannt.

Jetzt wird jedoch explizit ein System zur Angriffserkennung (SIEM) gefordert. Demnach muss vom Unternehmen künftig, nachgewiesen werden, dass es funktionierende technische und organisatorische Prozesse gibt, die eine zuverlässige Erkennung von Angriffsversuchen gewährleisten. Zusätzlich wird es mit dem Inkrafttreten des IT-SiG 2.0 eine Meldepflicht bei Verwendung von „als nicht vertrauenswürdig eingestuften Komponenten“ geben, sofern diese in kritischen Bereichen eingesetzt werden. Die Einstufung, welche Komponenten als nicht vertrauenswürdig gelten, wird künftig über das BSI erfolgen. Die Betreiberunternehmen müssen den Nachweis erbringen, dass nur entsprechend gekennzeichnete Komponenten eingesetzt werden oder ggf. einen Rückbau oder Austausch veranlassen.

Das BSI erhält weitere Befugnisse und darf damit auch aktiv Portscans durchführen und Honeypots oder Sinkholes betreiben, um Schwachstellen und Angriffsszenarien aufzuspüren. Zudem werden Unternehmen verpflichtet, noch aktiver Vorfälle zu melden deren Daten und Informationen dann beim BSI erfasst und für bis zu 18 Monaten gespeichert werden – dazu zählen möglicherweise dann auch personenbezogene Daten.

KRITIS-Betreiber sollten sich also bereits jetzt, insbesondere bei der Umsetzung neuer Projekte, mit den Anforderungen des IT-SiG 2.0 beschäftigen und diese proaktiv berücksichtigen. Dies erspart Zeit und Nachbesserungsaufwand und verschafft ggf. einen zeitlichen Vorteil bei den Umsetzungsfristen. Vermutlich werden diese aufgrund der zunehmenden Cyber-Angriffe entsprechend kurz ausfallen.

 

Schlagwortarchiv für: SzA