Gesetzliche Anforderungen
Ausgehend von der Definition aus § 2 Abs. 9b Satz 1 BSIG handelt es sich bei SzA um Prozesse u. a. zur Erkennung von Angriffen auf die Infrastruktur des KRITIS Betreibers, die „durch technische Werkzeuge und organisatorische Einbindung“ (BSI, Orientierungshilfe, 2022, S. 6) unterstützt werden. SzA als ganzheitliche Systeme sind so definiert, dass sie „geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten“ (BSI, Orientierungshilfe, 2022, S. 6) müssen und „dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen“ (§ 8a Abs. 1a BSIG – BSI, Orientierungshilfe, 2022, S. 6). Weiter heißt es in BSIG §2 Abs. 9b: „Systeme zur Angriffserkennung im Sinne dieses Gesetzes sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten“ (BSI, Orientierungshilfe, 2022, S. 6)
Zusammengefasst bedeutet dies, dass neben technischen Maßnahmen insbesondere auch organisatorische Maßnahmen erforderlich sind.
Zur Unterstützung der Umsetzung dieser neuen Anforderungen hat das BSI zum 26.09.2022 die finale Version der „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ (BSI-OH-SzA) veröffentlicht. Nachfolgend stellen wir dar, wie diese Hilfestellung Unternehmen im Hinblick auf die SzA unterstützen kann.
Exkurs: Cyberangriffe versus KRITIS?
Die Motive für Cyberangriffe können unterschiedlich sein - beginnend mit finanziellen Interessen über persönliche motivierte bis hin zu gesellschaftspolitischen Interessen. Die Motive haben die Gemeinsamkeit, dass es sich dabei um Versuche handelt, durch unbefugten Zugriff auf die Informationssysteme Informationen/Daten zu erhalten, die - je nach Zielsetzung - gestohlen, geändert, gelöscht oder offengelegt werden sollen. Der Erfolg eines jeden Angriffs besteht darin, dass das Eindringen oder der Schadcode für eine möglichst lange Zeit unentdeckt bleibt, damit der Angreifer sich möglichst weit im Netzwerk ausbreiten kann. Die Vorgehensweise kann dabei auch variieren - dies zeigte bspw. der Angriff auf die Stadt Witten im Südosten des Ruhrgebietes, der zwar entdeckt wurde, aber dem Angriff aufgrund dessen Schnelligkeit nicht mehr entgegengesteuert werden konnte. Dies führte dazu, dass die gesamte Daten-Organisation verschlüsselt sowie Sicherungsfestplatten gelöscht wurden und die Stadt Witten nach dem Angriff lediglich noch eine Handvoll Magnetbänder hatte und seitdem die komplette IT neu aufbauen musste. Die bestmögliche Maßnahme bei einem solchen Vorfall ist schnelles Gegensteuern und die Isolation der kompromittierten Netzbereiche.
Eine zentrale Voraussetzung für das frühzeitige Gegensteuern ist die rechtzeitige Erkennung von Abweichungen aus bekannten Mustern, somit die Erkennung von Anomalien. Ein Beispiel kann ein ungewöhnlicher Login-Zeitpunkt eines Nutzers, unter Umständen verbunden mit erhöhten Netzaktivitäten sein. Das solche Anomalien nicht zwangsweise Cyberangriffe darstellen, ist die eine Sache - allerdings geht es darum, dass diese Anomalien von SzA überhaupt erkannt und analysiert werden können, um ggf. Maßnahmen einleiten zu können.
Orientierungshilfe des BSI
Mit der Orientierungshilfe gibt das BSI mögliche Ausgestaltungsvorgaben zur individuellen Umsetzung und Prüfung einer SzA. Dazu differenziert das BSI neben allgemeingültigen, grundlegend geltenden Anforderungen, auch Anforderungen für folgende drei Funktionsbereiche von SzA:
- Protokollierung: Fortlaufende Auswertung der gesammelten Information
- Detektion: Erkennung der sicherheitsrelevanten Ereignisse anhand der gesammelten Informationen
- Reaktion: Implementierung von Maßnahmen, um Störungen infolge von Angriffen zu verhindern oder auf sie zu reagieren
Die Anforderungen für diese Funktionsbereiche haben - differenziert nach der Planung und Umsetzung adäquater Maßnahmen - wiederum drei verschiedene Anforderungsausprägungen, die sich in der geforderten Verbindlichkeit der Umsetzung unterscheiden (Muss, Sollte, Kann). Gemäß IT-Grundschutzkompendium ist die Abgrenzung zwischen „Muss“ und „Sollte“:
- „Muss“: Dieser Ausdruck bedeutet, dass es sich um eine Anforderung handelt, die unbedingt erfüllt werden muss (uneingeschränkte Anforderung).
- „Sollte“: Dieser Ausdruck bedeutet, dass eine Anforderung normalerweise erfüllt werden muss, es aber Gründe geben kann, dies doch nicht zu tun. Dies muss aber sorgfältig abgewogen und stichhaltig begründet werden.“ (BSI, IT-Grundschutzkompendium, Stand Februar 2022, S. 5/6).
- „Kann“: Dieser Ausdruck bedeutet, dass die Anforderungen nicht zwingend erforderlich sind, aber eine sinnvolle Ergänzung darstellen, wenn ein Umsetzungsgrad der Stufe 5 erreicht werden soll (vgl. „Reifegradmodell zur Bewertung des Grades der Umsetzung“ in diesem Artikel).
Die grundsätzlichen Anforderungen für alle Bereiche sind, dass
- „die notwendigen technischen, organisatorischen und personellen Rahmenbedingungen geschaffen werden müssen,
- Informationen zu aktuellen Angriffsmustern für technische Vulnerabilitäten fortlaufend für die im Anwendungsbereich eingesetzten Systeme eingeholt werden müssen,
- durchgängig alle zur effektiven Angriffserkennung erforderliche Hard- und Software auf einem aktuellen Stand gehalten werden muss,
- die Signaturen von Detektionssystemen immer aktuell sein müssen,
- alle relevanten Systeme so konfiguriert sein müssen, dass Versuche, bekannte Schwachstellen auszunutzen, erkannt, sofern keine schwerwiegenden Gründe dagegensprechen.“ (BSI, Orientierungshilfe, 2022, S.8)
Zusätzlich verweist das BSI auf Bausteine aus dem IT-Grundschutz des BSI, wobei die kursiv markierten Punkte von wesentlicher Bedeutung in der Planung und Umsetzung sind.
- OPS.1.1.4 Schutz vor Schadprogrammen
- OPS.1.1.5 Protokollierung
- NET.1.2 Netzmanagement
- NET.3.2 Firewall
- DER.1 Detektion von sicherheitsrelevanten Ereignissen
- DER.2.1: Behandlung von Sicherheitsvorfällen
Jeder dieser Bausteine umfasst - analog der Orientierungshilfe - Anforderungen, die für den jeweiligen Baustein erfüllt werden müssen. Außerdem wird der Mindeststand zur Protokollierung und Detektion von Cyberangriffen des BSI sowie die ISO/IEC 2700x-Reihe und die Norm IEC 62443 referenziert.
Nachfolgend stellen wir im Detail dar, welche Mindestanforderungen das BSI zur Umsetzung für die drei Bereiche Protokollierung, Detektion und Reaktion sieht.
Protokollierung
Im Rahmen der Planungsphase werden durch das BSI folgende Muss-Anforderungen gestellt:
- Milestone-Planung: Die Schritte der Implementierung sind so zu wählen, dass eine angemessene Sichtbarkeit* während einer adäquaten Zeit erzielt wird. Im Rahmen der Planung müssen alle Systeme identifiziert werden, die zur Aufrechterhaltung der kritischen Infrastruktur maßgeblich sind. (*Unter Sichtbarkeit versteht das BSI die Anzahl der Datenquellen, deren zu protokollierende Ereignisse durch die Einrichtung erhoben werden. Es wird differenziert zwischen der Quantität der Sichtbarkeit (Anzahl der IT-Systeme und Datenquellen auf Endpunkten und im Netz, deren Daten durch die Einrichtung gesammelt werden) und der Qualität der Sichtbarkeit (Positionierung der Punkte der Erhebung (wie z. B. Sensoren))
- Dokumentation: Der gesamte Prozess der Planungsphase ist in geeigneter, nachvollziehbarer Form zu dokumentieren und muss alle „Netzbereiche, die Protokollierungsquellen, deren Beziehungen untereinander und den Datenfluss der Protokollierungsereignisse im Anwendungsbereich umfassen“ (BSI, Orientierungshilfe, 2022, S. 9). Gleichzeitig muss für die Systeme/Systemgruppen dokumentiert werden, welche Ereignisse protokolliert werden.
- Vollständige Analyse: Es müssen alle zur wirksamen Angriffserkennung notwendigen Protokoll- und Protokollierungsdaten auf System- und Netzebene erhoben, gespeichert und für die Auswertung bereitgestellt werden, um sicherheitsrelevante Ereignisse (SRE) zu erkennen und beurteilen zu können. Darüber hinaus sind alle Systeme zu identifizieren und zu analysieren, die zum Betrieb der kritischen Infrastruktur notwendig sind sowie diejenigen Systeme, die zur Speicherung notwendigen Systemen und deren IT-Sicherheitsvorkehrungen.
- Datenschutz: Aufgrund von ggf. personenbezogenen Datensätzen, muss der Datenschutz mit einbezogen werden.
- Change-Management: Bei Änderungen im Anwendungsbereich muss sichergestellt werden, dass entsprechend ein Change-Prozess implementiert ist.
Im Rahmen der Umsetzungsphase sieht das BSI als Mindestanforderung den Aufbau einer zentralen Protokollierungsinfrastruktur sowie die Bereitstellung von Protokollierungsdaten für die Auswertung vor. Um alle gesammelten sicherheitsrelevanten Protokoll- und Protokollierungsdaten an den für den jeweiligen Netzbereich zentralen Stelle (im Sinne der Netzarchitektur) speichern zu können, muss die Infrastruktur ausreichend dimensioniert sein (Verfügbarkeit von technischen, finanziellen und personellen Ressourcen). Im Rahmen der Bereitstellung muss sichergestellt werden, dass die Protokoll- und Protokollierungsdaten gefiltert, normalisiert, aggregiert und korreliert sowie geeignet verfügbar gemacht werden, um diese auswerten zu können. Nach erfolgreicher Umsetzung der Protokollierung muss geprüft werden, ob alle geplanten Protokollierungsdatenquellen gemäß der Planung umgesetzt wurden.
Darüber hinaus verweist das BSI darauf, dass alle Basisanforderungen von OPS.1.1.5 Protokollierung aus dem Grundschutz erfüllt werden müssen. Dies bedeutet:
- Sicherheitsrichtlinie für die Protokollierung (OPS.1.1.5.A1): Es muss eine eigenständige, spezifische Richtlinie existieren, in der Anforderungen und Vorgaben nachvollziehbar beschrieben sind, wie die Protokollierung sicher geplant, aufgebaut sowie betrieben und wie, wo und was protokolliert werden soll. Die Richtlinie, die vom Informationssicherheitsbeauftragten und den Fachverantwortlichen erstellt und allen involvierten Mitarbeitenden bekannt gemacht werden muss, ist regelmäßig auf Aktualität zu prüfen, Änderungen sind mit dem ISB abzustimmen und zu dokumentieren. Ebenso müssen die Ergebnisse dokumentiert werden.
- Konfiguration der Protokollierung auf System- und Netzebene (OPS.1.1.5.A3): Alle sicherheitsrelevanten Ereignisse von IT-Systemen und Anwendungen müssen protokolliert werden. Dabei sind verpflichtend die Protokollierungsfunktionalitäten der in der Richtlinie benannten IT-Systeme und Anwendungen zu nutzen (sofern dies systemseitig vorhanden ist). Bei der Einrichtung sind jeweils die Herstellervorgaben zu beachten. Darüber hinaus müssen Abstände für die Überprüfung der Funktionalität der Protokollierung in der Richtlinie definiert sowie stichprobenartig überprüft werden.
- Zeitsynchronisation der IT-Systeme (OPS.1.1.A4): Die Systemzeit aller protokollierenden IT-Systeme und Anwendungen muss immer synchron und das Datum- und Zeitformat der Protokolldateien einheitlich sein.
- Einhaltung rechtlicher Rahmenbedingungen (OPS.1.1.5.A5): Die jeweils geltenden Bundes- und Landesdatenschutzbestimmungen sowie weitere, relevante gesetzliche Bestimmungen müssen eingehalten sowie Persönlichkeitsrechte bzw. Mitbestimmungsrechte der Mitarbeitervertretungen gewahrt werden. Protokollierungsdaten sind nach einem definierten Verfahren zu löschen, wobei das unkontrollierte Ändern oder Löschen von Protokollierungsdaten technisch verhindert werden muss.
Neben diesen teils umfangreichen Muss-Anforderungen, gibt es weitere Sollte-Anforderungen sowie Kann-Anforderung. Bereits hier zeigt sich, dass ein bereits implementiertes Informationssicherheitsmanagementsystem (ISMS) bei der Umsetzung der SzA Anforderungen hilfreich ist.
Detektion
Wenn man ein SzA gemäß Anforderung umsetzen will, muss man bei der Planung zur Sicherstellung der Detektion berücksichtigten, dass die Abdeckung der Bedrohungslandschaft vor dem Hintergrund der durchgeführten Risikoanalyse und der Größe sowie Struktur des Unternehmens bei der Auswahl und dem Einsatz von Detektionsmaßnahmen sicherzustellen ist und damit in der Planung zu berücksichtigen sind.
Im Rahmen der Umsetzungsphase der SzA werden folgende Mindestanforderungen definiert:
- Kontinuierliche Überwachung und Auswertung von Protokolldaten: Die Protokolldaten müssen möglichst kontinuierlich überwacht und ausgewertet werden. Die Prüfung des Ereignisses und ggf. die Reaktion muss innerhalb einer der Risikoanalyse entsprechend geringen Zeitspanne erfolgen. Dafür müssen ausreichend personelle Ressourcen zur Verfügung gestellt werden. Die verantwortlichen Mitarbeitenden des Unternehmens (bzw. bei Auslagerung der Funktion an einen Dienstleister die jeweiligen Mitarbeitenden) sind namentlich zu benennen und müssen aktiv nach SRE suchen. Es müssen somit ausreichend personelle Ressourcen zur Verfügung stehen.
- Einsatz zusätzlicher Detektionssysteme: Schadcodedetektionssysteme müssen eingesetzt und zentral verwaltet werden, wobei anhand des Netzplans festgelegt werden muss, welche Segmente durch weitere Detektionssysteme geschützt werden müssen. Insbesondere Übergänge zwischen internen und externen Netzen müssen um netzbasierte Intrusion Detection Systeme (NIDS) ergänzt werden.
- Protokollierungsinfrastruktur: Nutzung einer zentralen Protokollierungsinfrastruktur für die Auswertung sicherheitsrelevanter Ereignisse. Die Auswertung auf Auffälligkeiten sämtlicher Ereignismeldungen muss regelmäßig erfolgen. Zusätzlich sind die Signaturen der jeweiligen Systeme stets auf dem aktuellen Stand zu halten.
- Auswertung von Informationen aus externen Quellen: Externe, zuverlässige Quellen müssen genutzt und ausgewertet werden. Es ist sicherzustellen, dass den relevanten Mitarbeitern die Meldungen aus den externen Quellen auch vorliegen, so dass alle eingehenden Informationen dahingehend bewertet werden können, ob sie relevant für das Unternehmen sind und ob sich daraus ggf. ein Sicherheitsvorfall ergibt, der gemeldet/weiterverfolgt werden muss.
- Auswertung der Protokolldaten durch spezialisiertes Personal: Einerseits muss eine spezielle Beauftragung zur Auswertung der Protokolldaten vorliegen, andererseits muss der mit der Auswertung von Protokolldaten verantwortliche Personenkreis benannt werden. Dieser Personenkreis muss für die Thematik-Auswertung von Protokoll- und Protokollierungsdaten verantwortlich sein.
- Zentrale Detektion und Echtzeitüberprüfungen von Ereignismeldungen: Es müssen sowohl zentrale Komponenten eingesetzt werden als auch zentrale automatisierte Analysen, „um alle in der Systemumgebung anfallenden Protokoll- und Protokollierungsdaten aufzuzeichnen, in Bezug zueinander zu setzen und sicherheitsrelevante Vorgänge sichtbar zu machen (BSI, Orientierungshilfe, 2022, S. 11).“ Die Protokollierungsdaten müssen lückenlos, einsehbar und auswertbar sein, kontinuierlich ausgewertet werden und bei Überschreitung definierter Schwellwerte, automatisch alarmieren. Das zuständige Personal muss sicherstellen, dass bei einem Alarm nach fachlicher Bewertung und innerhalb einer der Risikoanalyse entsprechend geringen Zeitspanne eine qualifizierte und dem Bedarf entsprechende Reaktion eingeleitet wird. Die definierten Parameter in der Analyse sind laufend auf Aktualität zu prüfen und anzupassen. Zusätzlich sind „bereits überprüfte Protokoll- und Protokollierungsdaten regelmäßig hinsichtlich sicherheitsrelevanter Ereignisse automatisch (BSI, Orientierungshilfe, 2022, S. 11)“ zu untersuchen.
Zudem ist sicherzustellen, dass laufend Informationen zu aktuellen Angriffsmustern für technische Vulnerabilitäten und u. a. Meldungen von Hard- und Softwareherstellern eingeholt werden, um die Vollständigkeit möglicher Schwachstellen identifizieren zu können. Dementsprechend sind die Detektionssysteme regelmäßig zu überprüfen und anzupassen. Die SRE müssen überprüft und dahingehend bewertet werden, ob sie auf einen Sicherheitsvorfall (qualifizierter SRE) hindeuten. Darüber hinaus müssen auf Basis der gewonnenen Erkenntnisse Detektionsmechanismen nachjustiert werden.
Zusätzlich sind die Muss-Basisanforderungen des Bausteins „DER.1 Detektion von sicherheitsrelevanten Ereignissen“ zu berücksichtigen.
Dies bedeutet:
- Erstellung einer Sicherheitsrichtlinie für die Detektion von sicherheitsrelevanten Ereignissen (DER.1.A1): Analog der Sicherheitsrichtlinie für die Protokollierung, ist eine spezifische Richtlinie für die Detektion zu erstellen, in der beschrieben ist, wie die Detektion geplant, aufgebaut und betrieben werden kann. Die Richtlinie, die allen verantwortlichen Mitarbeitenden bekannt gemacht werden muss, ist regelmäßig auf Aktualität zu prüfen, Änderungen mit dem ISB abzustimmen und zu dokumentieren. Ebenso müssen die Ergebnisse dokumentiert werden.
- Einhaltung rechtlicher Bedingungen bei der Auswertung von Protokolldaten (DER.1.A2): Die jeweils geltenden Bundes- und Landesdatenschutzbestimmungen, weitere, relevante gesetzliche Bestimmungen (wie das Telemediengesetz (TMG) müssen eingehalten sowie Persönlichkeitsrechte bzw. Mitbestimmungsrechte der Mitarbeitervertretungen gewahrt werden.
- Festlegung von Meldewegen für sicherheitsrelevante Ereignisse (DER.1.A3): Es muss ein Melde- und Alarmierungsplan definiert und dokumentiert werden, aus dem hervorgeht, welche Stellen wann zu informieren sind und wie die Personen der Stellen erreicht werden können. Dieser muss den Mitarbeitenden ausgedruckt vorliegen. Je nach Kritikalität der Sicherheitsereignisses, sind unterschiedliche Kommunikationswege zu wählen. Die involvierten Personen müssen über ihre Aufgaben informiert sowie alle Schritte des Prozesses dokumentiert sein.
- Sensibilisierung der Mitarbeiter (DER.1.A.44): Zur Sensibilisierung sind regelmäßig Schulungen durchzuführen, insbesondere dahingehend, dass Ereignismeldungen direkt an das Incident Management verpflichtend zu melden sind.
- Einsatz von mitgelieferten Systemfunktionen zur Detektion (DER.1.A.5) in Verbindung damit, dass geprüft werden muss, ob zusätzliche Schadcodescanner auf zentralen IT-Systemen installiert werden sollen.
Reaktion
Folgende zentrale Anforderung gemäß SzA muss erfüllt sein:
„Bei einem sicherheitsrelevanten Ereignis MÜSSEN die eingesetzten Detektionssysteme das Ereignis automatisch melden und in Netzen, wo durch die automatische Reaktion die kritische Dienstleistung nicht gefährdet wird, mit geeigneten Schutzmaßnahmen reagieren. In Netzen, wo die kritische Dienstleistung durch die Umsetzung nicht gefährdet wird, MUSS es möglich sein, automatisch in den Datenstrom einzugreifen, um einen möglichen Sicherheitsvorfall zu unterbinden. Sollte eine automatische Reaktion nicht möglich sein, MUSS über manuelle Prozesse sichergestellt werden, dass der mögliche Sicherheitsvorfall unterbunden wird. Der Ausschluss von Netzen oder Netzsegmenten von einer automatischen Reaktion, bzw. dem Eingriff in den Datenstrom MUSS schlüssig begründet sein.
Festgestellte Sicherheitsvorfälle im vermeintlichen Zusammenhang mit Angriffen MÜSSEN behandelt werden. Bei Störungen und Sicherheitsvorfällen insbesondere im vermeintlichen Zusammenhang mit Angriffen MUSS überprüft werden, ob diese den Kriterien der Meldepflicht nach § 8b Absatz 3 BSIG bzw. §11 Absatz 1c EnWG entsprechen und eine Meldung an das BSI notwendig ist“ (BSI, Orientierungshilfe, 2022, S.14)
Zentraler Baustein als Mindestanforderung nach BSI ist DER.2.1: Behandlung von Sicherheitsvorfällen. Die spezifischen Anforderungen sind somit über das Vorfallsmanagement sicherzustellen - dazu gehört neben der Meldung von Vorfällen, die die kritische Infrastruktur betreffen, an die Behörden, auch die Meldung von entsprechenden Sicherheitsvorfällen, die im Zusammenhang mit Angriffen stehen. Festgestellte Vorfälle aus Sicherheitsangriffen müssen behandelt werden. Dabei muss auch sichergestellt werden, dass Maßnahmen, die allein automatisiert ergriffen werden, nicht die kritische Infrastruktur beeinträchtigen dürfen.
Gemäß DER.2.1 gilt zudem:
- Eindeutige Definition eines Sicherheitsvorfalls (DER.2.1.A.1), der allen an der Behandlung von Sicherheitsvorfällen beteiligten Mitarbeitenden bekannt sein muss sowie Abgrenzung zu einer Störung im Tagesbetrieb.
- Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorfällen (DER.2.1.A2): Dazu gehört, dass Zweck und Ziel sowie Verhaltensregeln für die verschiedenen Arten von Sicherheitsvorfällen definiert werden, es zielgruppenorientierte Handlungsanweisungen gibt, die Richtlinie von der Geschäftsführung verabschiedet und allen Mitarbeitenden bekannt gemacht sowie in regelmäßigen Abständen auf Aktualität überprüft wird.
- Festlegung von Verantwortlichkeiten und Ansprechpartnern bei Sicherheitsvorfällen (DER.2.1.A3): Dies besagt insbesondere, dass eindeutige Verantwortlichkeiten definiert, Aufgaben und Kompetenzen für alle Mitarbeitenden festgelegt und die zentralen Ansprechpartner allen Mitarbeitenden bekannt gemacht wurden. Es muss auch geregelt sein, wer die mögliche Entscheidung für eine forensische Untersuchung trifft, nach welchen Kriterien diese vorgenommen wird und wann sie erfolgen soll.
- Benachrichtigung betroffener Stellen bei Sicherheitsvorfällen (DER.2.1.A4): Dies inkludiert auch die Prüfung dahingehend, ob alle internen und externen Stellen unmittelbar informiert werden, der Datenschutz sowie ggf. Betriebs- und Personalrat sowie Mitarbeitende aus dem Rechtsbereich hinzugezogen werden müssen und die übergeordneten Meldepflichten für Behörden und regulierte Branchen berücksichtigt sind. Die Kontaktinformationen müssen immer aktuell und leicht zugänglich sein.
- Behebung von Sicherheitsvorfällen (DER.2.1.A5): Es muss eine dokumentierte Ursachenanalyse durchgeführt werden auf Basis derer die korrekte Maßnahme zur Behebung ausgewählt werden kann, die nach Freigabe durch den Leiter IT-Betrieb umgesetzt wird. Dazu muss sowohl ein interner/externer Kommunikationsplan sowie eine Liste interner und externer Sicherheitsexperten vorhanden sein. Es müssen sichere Kommunikationsverfahren mit diesen internen und externen Stellen etabliert werden.
- Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen (DER.2.1.A6): Im ersten Schritt müssen die betroffenen Komponenten isoliert und somit vom Netz getrennt werden. Darauf aufbauend müssen Daten zur Ursachenanalyse gesichert und auf allen betroffenen Komponenten die Systeme und Applikationen geprüft werden. Die Originaldaten müssen von schreibgeschützten Datenträgern wieder eingespielt werden. Es müssen alle sicherheitsrelevanten Konfigurationen und Patches mit aufgespielt werden, wobei sicherzustellen ist, dass die eingespielten Datensätze nicht vom Sicherheitsvorfall betroffen waren. Nach einem Angriff müssen alle Zugangsdaten auf den betroffenen Komponenten geändert werden, bevor sie wieder in Betrieb genommen werden.
Ausschließlich automatisiert ergriffene Maßnahmen dürfen nicht zu einer relevanten Beeinträchtigung der kritischen Infrastruktur führen.
„Exkurs“: Auswirkungen sowie Anpassungen im § 8a für die Energieversorgungsunternehmen
Neben KRITIS-Betreibern sind durch die Anpassung des Energiewirtschaftsgesetzes (EnWG) auch Betreiber von Energieversorgungsnetzen dazu verpflichtet „…in ihren informationstechnischen Systemen, Komponenten oder Prozessen, die für die Funktionsfähigkeit der von ihnen betriebenen Energieversorgungsnetze oder Energieanlagen maßgeblich sind, in angemessener Weise Systeme zur Angriffserkennung einzusetzen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen. Dabei soll der Stand der Technik eingehalten werden. Der Einsatz von Systemen zur Angriffserkennung ist angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den möglichen Folgen eines Ausfalls oder einer Beeinträchtigung des betroffenen Energieversorgungsnetzes oder der betroffenen Energieanlage steht“ (IT-Sicherheitsgesetz 2.0, BGBl. I 2021 vom 27.5.2021, S. 1137).
Ein Großteil der Energieversorgungsunternehmen ist bereits nach der ISO/IEC 27001:2017 zertifiziert, um den Anforderungen des IT-Sicherheitskatalogs gemäß § 11 Abs. 1a EnWG nachzukommen. Wie eingangs erwähnt, sind durch die Anpassungen im IT-SiG 2.0 nicht nur Betreiber kritischer Infrastrukturen betroffen. Dies hatte auch Auswirkungen auf weitere Gesetze, wie das EnWG. Im Rahmen dessen wurde definiert, dass SzA einzusetzen sind. Dies hat Auswirkungen dahingehend, da die SzA die Kommunikationstechnik möglichst umfassend schützen sollte, dass insbesondere die Netzleittechnik (zumeist zentraler Bestandteil des Geltungsbereichs beim IT-Sicherheitskatalog) und Fernwirktechnik betroffen sein werden.
Betreiber von Energieversorgungsnetzen und Energieanlagen, die gemäß § 10 Abs. 1 BSIG als KRITIS eingestuft werden, haben nach § 11 Abs. 1f EnWG dem BSI erstmalig spätestens am 01.05.2023 sowie im Anschluss im Turnus von zwei Jahren die Erfüllung der Anforderungen nach § 11 Abs. 1e EnWG nachzuweisen.
Reifegradmodell zur Bewertung des Grades der Umsetzung
Beim BSI müssen alle zwei Jahre Nachweise zur Umsetzung gemäß § 8a Absatz 3 BSIG eingereicht werden. Dabei ist zwingend zu beachten, dass Nachweise, die dem BSI ab dem 01.05.2023 vorgelegt werden, auch Aussagen zur Umsetzung des § 8a Absatz 1a BSIG, also zum Einsatz von Angriffserkennungssystemen, enthalten müssen. Für die Bewertung setzt das BSI analog der bereits bekannten Einschätzung zum ISMS und BCMS aus dem Nachweisdokument P, auf ein Reifegradmodell. Folgende Reifegrade sind vorgesehen:
- „0: Es sind bisher keine Anforderungen umgesetzt und es bestehen auch keine Planungen zur Umsetzung von Anforderungen.
- 1: Es bestehen Planungen zur Umsetzung von Anforderungen, jedoch für mindestens einen Bereich noch keine konkreten Umsetzungen.
- 2: In allen Bereichen wurde mit der Umsetzung von Anforderungen begonnen. Es sind noch nicht alle Muss-Anforderungen umgesetzt worden.
- 3: Alle Muss-Anforderungen wurden für alle Bereiche umgesetzt. Idealerweise wurden Sollte-Anforderungen hinsichtlich ihrer Notwendigkeit und Umsetzbarkeit geprüft. Ein kontinuierlicher Verbesserungsprozess wurde etabliert.
- 4: Alle Muss-Anforderungen wurden für alle Bereiche umgesetzt. Alle Sollte-Anforderungen wurden umgesetzt, außer sie wurden stichhaltig und nachvollziehbar begründet ausgeschlossen. Ein kontinuierlicher Verbesserungsprozess wurde etabliert.
- 5: Alle Muss-Anforderungen wurden für alle Bereiche umgesetzt. Alle Sollte-Anforderungen und Kann-Anforderungen wurden für alle Bereiche umgesetzt, außer sie wurden stichhaltig und nachvollziehbar begründet ausgeschlossen. Für alle Bereiche wurden sinnvolle zusätzliche Maßnahmen entsprechend der Risikoanalyse/Schutzbedarfsfeststellung identifiziert und umgesetzt. Ein kontinuierlicher Verbesserungsprozess wurde etabliert (BSI, Orientierungshilfe, 2022, S.13).“
Das BSI legt allerdings auch dar, dass - vor dem Hintergrund der Einführung von SzA - im ersten Nachweiszyklus ein Reifegrad der Stufe 3 ausreichend ist, langfristig allerdings mindestens die Stufe 4 erreicht werden müsste. Abweichungen nach unten müssten begründet werden.
Nachweiserfüllung
Die Erfüllung von § 8a Abs. 1a BSIG (SzA) ist - ab dem 01.05.2023 - gemeinsam mit dem Nachweis nach § 8a Abs. 1 BSIG (grds. Anforderung zur Erfüllung für KRITIS-Betreiber) zu erbringen. Ab 01.05.2023 muss ein Nachweis nach § 8a Abs. 3 BSIG auch die Ergebnisse der Prüfung SzA enthalten, inklusive der aufgedeckten Sicherheitsmängel. Entsprechende Nachweisformulare werden durch das BSI angepasst bzw. für Betreiber von Energieversorgungsnetzen und Energieanlagen neue Formulare erstellt. Betreiber von Energieversorgungsnetzen und solchen Energieanlagen, die nach der Rechtsverordnung gemäß § 10 Abs. 1 BSIG als Kritische Infrastruktur gelten, haben unabhängig vom nächsten fälligen Nachweis gemäß § 11 Abs. 1f EnWG dem BSI bereits am 01.05.2023 und danach alle zwei Jahre die Erfüllung der Anforderungen nach § 11 Abs. 1e EnWG nachzuweisen.
Sinnvolle nächste Schritte
Unternehmen, die noch keine Maßnahmen zur SzA-Anforderungserfüllung eingeleitet haben, sollten im ersten Schritt eine Risikobetrachtung durchführen. Es gibt spezifische Rahmenbedingungen sowie insbesondere auch branchenspezifische Anforderungen, die in der Orientierungshilfe selbst nicht spezifiziert werden. Achten Sie im ersten Schritt auf den zu betrachtenden Scope. KRITIS-Unternehmen kennen die relevanten Systeme ihrer kritischen Infrastruktur. Bei der Einführung von SzA macht es aber ggf. durchaus Sinn, den bereits bekannten Scope zu erweitern und eine ganzheitliche Betrachtung mehrerer oder aller Systeme umzusetzen. Ergänzend müssen auch personelle sowie organisatorische Voraussetzungen geschaffen und implementiert werden, da insbesondere auch die Auswertung der Sicherheitsvorfälle sowie der rein operative Betrieb sichergestellt werden muss. Ebenso hängt es davon ab, für welche Art von SzA sich entschieden wird. Handelt es sich bspw. um ein System, welches eine Überwachung/Analyse in Echtzeit vornimmt oder um eines, welches dieses zeitversetzt durchführt und daher im ersten Schritt Daten sammelt. Systemseitig gibt es die verschiedensten Möglichkeiten zur Implementierung, wobei nicht alle vollumfänglich die Anforderung erfüllen.
Folgende beispielsweise:
- IDS (Intrusion Detection System): System zur Erkennung von Angriffen ohne Abwehr. Zumeist konzentriert sich dies auf den ein- und ausgehenden Internetverkehr.
- IPS (Intrusion Prevention System): System zur Erkennung von Angriffen mit automatischen Abwehrmaßnahmen.
- SIEM (Security Information and Event Management): Ein SIEM sammelt, analysiert, bewertet und klassifiziert Daten aus den verschiedensten Quellen, um Anomalien festzustellen. Im Gegensatz bspw. zu einem IDS, können in einem SIEM durch den Benutzer auch vorbeugende Maßnahmen ergriffen werden.
- SOC (Security Operations Center): Ein SOC geht über das SIEM hinaus und ist eine Zusammenstellung aus Menschen, Prozessen und Systemen, um sich mit den Vorfällen/Sicherheitsereignissen, die aus dem SIEM gemeldet werden, zu befassen.
- SOAR (Security Orchestration, Automation and Response): Ein SOAR hat grundsätzlich die identische Funktionalität wie ein SIEM, geht allerdings dahingehend noch darüber hinaus, dass ein SOAR beispielsweise zusätzliche Informationen aus externen Feeds bzw. allgemeinen Quellen von Drittanbietern heranzieht, um ein ganzheitliches Bild der Sicherheitslandschaft des Netzwerks, innen wie außen, zu erhalten. In einem SOAR ist es bspw. möglich, spezifische Untersuchungsphasen zu erstellen, die auf Basis eines Alarms verfolgt werden.
Bereits nach Veröffentlichung des IT-SiG 2.0 wurde auf die Frage zur Erfüllung eines SzAs zumeist geantwortet, dass idealerweise mindestens ein SIEM zu implementieren ist. Mit der Orientierungshilfe wurden nun durch das BSI konkret Anforderungen definiert, welche zu erfüllen sind.
Implementierung ISMS
Darüber hinaus empfiehlt es sich, kurz-, mittel- und langfristig die SzA in das bestehende ISMS des Unternehmens zu implementieren. Grundlage kann die internationale Norm ISO/IEC 27001 sein, welche durch die neue ISO/IEC 27001:2022 bzw. insbesondere ISO/IEC 27002:2022 auch einen Fokus auf die technischen Kontrollen/Maßnahmen hat. Einige der in der Orientierungshilfe aufgeführten Aspekte, können über bestehende Prozesse in einem ISMS abgedeckt werden - beginnend bei der Risikoanalyse, über das Schwachstellenmanagement sowie Netzwerksicherheit bis hin zum Vorfallmanagement/Information Security Incident Management Prozess.
Ausblick
Wir empfehlen die unterschiedlichen Interessensgruppen - bspw. Betriebsrat und Datenschutz - frühzeitig bei der Implementierung und Umsetzung mit einzubeziehen. Der zentrale Faktor wird allerdings der Faktor „Zeit“ sein - bis zur notwendigen Umsetzung ist dies nur noch etwas mehr als ein halbes Jahr. Sofern noch nicht begonnen wurde, sollte daher umso schneller in die Planungsphase eingestiegen werden.
Eine aktuelle, vollständige Übersicht aller Anforderungen komprimiert zusammengefasst finden Sie hier.
Hinweis: Zur vereinfachten Darstellung wurde beim Zitieren die Entwurfsfassung zur öffentlichen Kommentierung „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung inklusive Formulare für den Nachweis zu § 8a Abs. 1a BSIG und § 11 Abs. 1d EnWG“ (Stand 01.06.2022) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) abgekürzt mit „Orientierungshilfe“.
