Mit dem IT-Sicherheitsgesetz 2.0 besteht die Pflicht zum Einsatz von Systemen zur Angriffserkennung. Dazu beschreibt das BSI in der Orientierungshilfe dessen Vorstellung, welche Anforderungen diese Systeme erfüllen müssen.
Definition KRITIS
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Daher sind Betreiber kritischer Infrastrukturen verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen.
Ab 1. Mai 2023
Ab dem 1. Mai 2023 umfasst diese Verpflichtung auch den Einsatz von Systemen zur Angriffserkennung (SzA). Geregelt ist dies allgemein in § 8a Abs. 1a BSIG bzw. spezialgesetzlich in § 11 Abs. 1e EnWG. Nach dem EnWG trifft diese Pflicht nicht nur Betreiber von Energieanlagen, die als kritische Infrastrukturen bestimmt wurden, sondern auch alle Betreiber von Energieversorgungsnetzen. Um die Anforderungen an die Systeme zur Angriffserkennung genauer zu spezifizieren, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ veröffentlicht.
Ziele der Orientierungshilfe
Vorrangiges Ziel der Orientierungshilfe ist es, den betroffenen Betreibern sowie den prüfenden Stellen einen Anhaltspunkt für die individuelle Umsetzung und Prüfung der Vorkehrungen zu geben. Zusätzlich soll eine einheitliche Nachweiserbringung gewährleistet sein, indem eine systematische Bewertung der getroffenen Maßnahmen unter Verwendung eines Umsetzungsgradmodells genutzt wird.
Keine verbindliche Vorgabe
Die Orientierungshilfe stellt keine verbindliche Vorgabe dar. Vielmehr gibt dies einen qualitativen Rahmen vor, innerhalb dessen gleichwertige und individuelle Alternativen möglich sind. Die Formulierungen in der Orientierungshilfe und dem Umsetzungsgrasmodell wurden an den IT-Grundschutz des BSI angelehnt.
Cyber-Kriminalität steigt
In Zeiten wachsender Cyber-Kriminalität sind nicht nur Kritis-Unternehmen erhöhten Angriffen ausgesetzt. Sind erst einmal die Daten einer Organisation betroffen oder sogar schlimmstenfalls verloren, dann ist dieses für die Verantwortlichen ein ebenso dramatisches Szenario.
Technische organisatorische Maßnahmen
Dabei wird oft gerade im Bereich der IT und im Hinblick auf die technischen und organisatorische Maßnahmen nur auf das notwendige, aber nicht erforderliche Maß geschaut.
1 Kommentar