IT-Sicherheitsgesetz 2.0 und Orientierungshilfe

Eine Übersicht

IT-Sicherheitsgesetz 2.0 und Orientierungshilfe – eine Übersicht

Seit 2015 trägt das IT-Sicherheitsgesetz der Bundesregierung dazu bei, Unternehmen, die Bevölkerung und Behörden vor Cyberangriffen zu schützen. 2021 hat dieses Gesetz mit der Version 2.0 ein Update bekommen. Im September 2022 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Orientierungshilfe veröffentlicht, welche die Anforderungen des neuen IT-Sicherheitsgesetzes bezüglich sogenannter „Systeme zur Angriffserkennung“ spezifiziert.

Angriffe auf Unternehmen der kritischen Infrastrukturen können weitreichende Folgen haben. Mit diesem Bedrohungsrisiko gewinnt eine einheitliche Informations- und Cybersicherheit an Bedeutung. Aus diesem Grund setzte 2015 das BSI mit dem IT-Sicherheitsgesetz den Grundstein für die Sicherheitsregulierung kritischer Infrastrukturen (KRITIS). Mit der fortschreitenden Digitalisierung werden IT-/OT-Landschaften immer komplexer. Die Dimension der involvierten Assets und Komponenten wachsen. Um die Lücken der zuvor als freiwillig definierten Anforderungen zu schließen, erweitert das 2021 beschlossene IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) die bisherigen KRITIS-Regulierungen deutlich.

Die neue Fassung des IT-Sicherheitsgesetzes betrifft mehr Unternehmen (u.a. Entsorger), verschärft die Sanktionen, erteilt dem BSI mehr Befugnisse und definiert neue Pflichten für KRITIS-Betreiber. Letzteres umfasst unter anderem den verpflichtenden Einsatz sogenannter „Systeme zur Angriffserkennung“ in kritischen Infrastrukturen. Gemäß dem Gesetzgeber fallen darunter technische Werkzeuge und organisatorische Prozesse, die zur Erkennung von Angriffen auf informationstechnische Systeme beitragen. Die Erkennung soll durch den Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten, erfolgen. Ab dem 1. Mai 2023 ist der Einsatz solcher Systeme verpflichtend und im Rahmen von Audits nachzuweisen.

Exakte Anforderungen an die einzusetzende Technik werden jedoch nicht ausformuliert. Es werden lediglich Empfehlungen für die Umsetzung der Angriffserkennung ausgesprochen. Da ein großes Angebot an verschiedenen Angriffserkennungs-Technologien auf dem Markt existiert, stehen betroffene Unternehmen vor der Herausforderung, die passende Lösung zu finden.

Die im September 2022 veröffentlichte „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ (OH-SZA) konkretisiert die technischen Voraussetzungen der einzusetzenden Systeme. Das BSI definiert klare Anforderungen für die Umsetzung der Angriffserkennung in den drei Bereichen Protokollierung, Erkennung und Reaktion. Im Rahmen dieser Phasen wird zwischen Muss-, Soll- und Kann-Anforderungen differenziert, wobei die Muss-Anforderungen im ersten Prüfzyklus ab dem 1. Mai 2023 verpflichtend sind. Eine Angriffserkennung mittels Signaturen bzw. Indicators of Compromise (IOCs) zählt zu diesen verbindlichen Anforderungen (Muss) der Orientierungshilfe. Zusätzlich müssen die Protokollierungsdaten gesammelt, gefiltert, normalisiert, aggregiert und korreliert werden, um sie anschließend für die Auswertung bereitzustellen. Eine Einbindung in ein „Security Information and Event Management“ (SIEM) System ist jedoch optional. Auch eine initiale Kalibrierung über Baselining oder Anomalieerkennung ist nicht unter den Muss-Anforderungen gelistet und wird dementsprechend im ersten Prüfzyklus nicht zwingend benötigt.

Da die Orientierungshilfe als Leitfaden für eine gesetzeskonforme Umsetzung des IT-SiG 2.0 dient, wird sie für Auditoren die maßgebliche Grundlage in ihrer Bewertung sein. Ein entsprechendes Bewertungstemplate für den Auditor liegt der aktuellen Version bei. Der Einsatz von entsprechenden Systemen, oder zumindest die detaillierte Planung der Implementation solcher, ist dem Auditor ab Mai 2023 nachzuweisen. Ist dies den Unternehmen nicht möglich, drohen ihnen hohe Bußgelder.

Die Komplexität des Themas sorgt bei betroffenen Unternehmen für Unsicherheiten bezüglich der einzusetzenden Mittel und Prozesse. Ein kompetenter Partner kann Firmen dabei einen Überblick verschaffen und helfen, diese Herausforderung zu meistern.

Mit einer langjährigen Beratungsexpertise im KRITIS-Bereich kann secunet Security Networks AG als führendes IT-Sicherheitsunternehmen Hilfestellung leisten, u.a. durch eine gezielte und individuelle Beratung zum Thema IT-SiG 2.0 und Orientierungshilfe.

Zudem bietet secunet eine technische Lösung für Unternehmen jeder Größe, welche den Integrations- und Betriebsaufwand auch für kleinere KRITIS-Unternehmen gering hält und sich zielgenau auf die geforderten Mindestanforderungen aus der Orientierungshilfe fokussiert. Dabei wird besonderes Augenmerk auf die Nutzbarkeit für Verantwortliche und die einfache Integration für Dienstleister gelegt.

Detaillierte Informationen zu Beratungsinhalten sowie der technischen Lösung zur Angriffserkennung in Netzwerken und über Logdaten werden in Kürze veröffentlicht.

Mehr zu diesem Thema erfahren Interessierte in unserem Webinar: IT-Sicherheitsgesetz 2.0 - Wie sich Angriffserkennung nach BSI-Vorgaben umsetzen lässt.

Product Management, secunet Security Networks AG
Kontaktanfrage
Sie haben Fragen oder benötigen Beratung?
Sie haben Fragen oder benötigen Beratung?

Schreiben Sie uns und wir melden uns schnellstmöglich bei Ihnen!

Seite 1