Skip to content Skip to footer
info@datenschutz-rehbein.de
0152 / 22 00 65 34
Close

Sys­te­me zur Angriffserkennung

327Ansichten 1Kommentar
Lese­dau­er 2 Minu­ten

Mit dem IT-Sicher­heits­ge­setz 2.0 besteht die Pflicht zum Ein­satz von Sys­te­men zur Angriffs­er­ken­nung. Dazu beschreibt das BSI in der Ori­en­tie­rungs­hil­fe des­sen Vor­stel­lung, wel­che Anfor­de­run­gen die­se Sys­te­me erfül­len müssen.

Defi­ni­ti­on KRITIS

Kri­ti­sche Infra­struk­tu­ren (KRITIS) sind Orga­ni­sa­tio­nen und Ein­rich­tun­gen mit wich­ti­ger Bedeu­tung für das staat­li­che Gemein­we­sen, bei deren Aus­fall oder Beein­träch­ti­gung nach­hal­tig wir­ken­de Ver­sor­gungs­eng­päs­se, erheb­li­che Stö­run­gen der öffent­li­chen Sicher­heit oder ande­re dra­ma­ti­sche Fol­gen ein­tre­ten wür­den. Daher sind Betrei­ber kri­ti­scher Infra­struk­tu­ren ver­pflich­tet, ange­mes­se­ne orga­ni­sa­to­ri­sche und tech­ni­sche Vor­keh­run­gen zur Ver­mei­dung von Stö­run­gen der Ver­füg­bar­keit, Inte­gri­tät, Authen­ti­zi­tät und Ver­trau­lich­keit ihrer infor­ma­ti­ons­tech­ni­schen Sys­te­me, Kom­po­nen­ten oder Pro­zes­se zu treffen.

Ab 1. Mai 2023

Ab dem 1. Mai 2023 umfasst die­se Ver­pflich­tung auch den Ein­satz von Sys­te­men zur Angriffs­er­ken­nung (SzA). Gere­gelt ist dies all­ge­mein in § 8a Abs. 1a BSIG bzw. spe­zi­al­ge­setz­lich in § 11 Abs. 1e EnWG. Nach dem EnWG trifft die­se Pflicht nicht nur Betrei­ber von Ener­gie­an­la­gen, die als kri­ti­sche Infra­struk­tu­ren bestimmt wur­den, son­dern auch alle Betrei­ber von Ener­gie­ver­sor­gungs­net­zen. Um die Anfor­de­run­gen an die Sys­te­me zur Angriffs­er­ken­nung genau­er zu spe­zi­fi­zie­ren, hat das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) eine „Ori­en­tie­rungs­hil­fe zum Ein­satz von Sys­te­men zur Angriffs­er­ken­nung“ veröffentlicht.

Zie­le der Orientierungshilfe

Vor­ran­gi­ges Ziel der Ori­en­tie­rungs­hil­fe ist es, den betrof­fe­nen Betrei­bern sowie den prü­fen­den Stel­len einen Anhalts­punkt für die indi­vi­du­el­le Umset­zung und Prü­fung der Vor­keh­run­gen zu geben. Zusätz­lich soll eine ein­heit­li­che Nach­wei­ser­brin­gung gewähr­leis­tet sein, indem eine sys­te­ma­ti­sche Bewer­tung der getrof­fe­nen Maß­nah­men unter Ver­wen­dung eines Umset­zungs­grad­mo­dells genutzt wird.

Kei­ne ver­bind­li­che Vorgabe

Die Ori­en­tie­rungs­hil­fe stellt kei­ne ver­bind­li­che Vor­ga­be dar. Viel­mehr gibt dies einen qua­li­ta­ti­ven Rah­men vor, inner­halb des­sen gleich­wer­ti­ge und indi­vi­du­el­le Alter­na­ti­ven mög­lich sind. Die For­mu­lie­run­gen in der Ori­en­tie­rungs­hil­fe und dem Umset­zungs­gras­mo­dell wur­den an den IT-Grund­schutz des BSI angelehnt.

Cyber-Kri­mi­na­li­tät steigt

In Zei­ten wach­sen­der Cyber-Kri­mi­na­li­tät sind nicht nur Kri­tis-Unter­neh­men erhöh­ten Angrif­fen aus­ge­setzt. Sind erst ein­mal die Daten einer Orga­ni­sa­ti­on betrof­fen oder sogar schlimms­ten­falls ver­lo­ren, dann ist die­ses für die Ver­ant­wort­li­chen ein eben­so dra­ma­ti­sches Szenario.

Tech­ni­sche orga­ni­sa­to­ri­sche Maßnahmen

Dabei wird oft gera­de im Bereich der IT und im Hin­blick auf die tech­ni­schen und orga­ni­sa­to­ri­sche Maß­nah­men nur auf das not­wen­di­ge, aber nicht erfor­der­li­che Maß geschaut.

Also las­sen Sie sich gut beraten.

Tags:
0Likes

Kommentar

Nach oben