Erweiterte Suche

Cybersecurity

Standpunkte Systeme zur Angriffserkennung – Herausforderung für KRITIS-Betreiber

Simeon Mussler, COO Bosch Cybercompare
Simeon Mussler, COO Bosch Cybercompare Foto: Bosch Cybercompare

Betreiber Kritischer Infrastrukturen und von Energieversorgungsnetzen sollen bis zum 01. Mai 2023 ganzheitliche Systeme zur Angriffserkennung im Einsatz haben – so will es das neue IT-Sicherheitsgesetz von 2021. Finale Vorgaben hat das Bundesamt für Sicherheit in der Informationstechnik erst im vergangenen September veröffentlicht. Die fristgerechte Umsetzung ist eine Herkulesaufgabe für die Betreiber, kommentiert Simeon Mussler, COO bei Bosch Cybercompare.

von Simeon Mussler

veröffentlicht am 19.04.2023

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seiner Orientierungshilfe das Modell zum Umsetzungsgrad von Systemen zur Angriffserkennung (SzA) in drei Stufen kategorisiert: Muss-, Soll- und Kann-Anforderungen. Um die erforderlichen Auflagen zu erfüllen, müssen Unternehmen der Kritischen Infrastruktur (Kritis) sowie Betreiber von Energieversorgungsnetzen mindestens die Muss-Anforderungen erfüllen.

Das Problem dabei ist: Zwar hat die Bereitschaft zum Einsatz einer Cybersicherheitsstrategie in den vergangenen Jahren erheblich zugenommen. Doch aufgrund von finanziellen Einbußen und höheren Hürden bei der Auftragsvergabe sehen sich die wenigsten Betreiber in der Lage, die Auflagen des neuen IT-Sicherheitsgesetzes (IT-SiG 2.0) fristgerecht zu erfüllen.

Die Regularien der Länder sehen vor, das öffentliche Beschaffungswesen bestmöglich vor Betrug und Korruption zu schützen, und verpflichten öffentlich getragene Kritis-Betreiber dazu, das wirtschaftlich beste Angebot anzunehmen. Aufgrund der vagen Formulierungen durch das BSI bleiben jedoch viele Fragen offen. Gerade Kritis-Betrieben des Mittelstands fehlen oftmals die finanziellen und personellen Ressourcen, Informationssicherheitsvorfälle umfassend zu definieren und in den Betrieb zu implementieren.

Risikobewertung dringend erforderlich

Deswegen ist es umso wichtiger, den aktuellen Status quo zu erfassen. Dafür müssen Unternehmen zunächst mit einer Risikobetrachtung den eigenen Scope analysieren und definieren, welche Vorgänge im eigenen Betrieb überwacht werden können und was besser an externe Dienstleister vergeben werden sollte. Dabei sind neben Governance-Aspekten, die Prozesse und Verantwortlichkeiten für Sicherheitsvorfälle reglementieren, Systeme und Methoden zur systematischen Auswertung dieser Vorfälle ebenso zu beachten wie regelmäßige Penetrationstests und der Umgang mit aufgedeckten Schwachstellen. Gerade die Datenerfassung sowie deren Analyse zur Erfolgsmessung und die Einhaltung des Datenschutzes sind Schritte, die ohne Weiteres von einem externen Partner abgebildet werden können.

Sind diese drei Schritte ausgelagert, bleiben laut BSI nur mehr zwei Aufgaben zu bewältigen, um die Sicherheitsstufe 3 (Erfüllen der Muss-Kriterien) zu erreichen: Die Implementierung eines SzA muss eine angemessene Sichtbarkeit in einer angebrachten Zeitspanne aufweisen (Milestone-Planung). Diese Planung sollte ohnehin im eigenen Unternehmen durchgeführt werden, um den Überblick nicht zu verlieren. Zudem muss das System so dynamisch ausgerichtet sein, dass zu jeder Änderung im Anwendungsbereich ein entsprechender Change-Prozess implementiert ist (Change-Management).

So finden sich Kritis-Betreiber zurecht

Je nachdem, welche Schritte intern abgefangen und welche an externe Partner vergeben werden, fällt die Wahl des entsprechenden Systems zur Angriffserkennung aus. Der Markt gibt diesbezüglich viele verschiedenen Alternativen, die jedoch nicht alle den besonderen Anforderungen von Kritis-Unternehmen vollumfänglich entsprechen. Zur Wirtschaftlichkeit eines Angebots zählt nämlich auch, welche Services abgedeckt werden. Hier gilt es zu beachten, ob die im Angebot abgedeckten Dienste zumindest die Auflagen der Muss-Stufe erfüllen. Um dabei nicht den Überblick zu verlieren, kann es helfen, sich an einen externen Partner zu wenden. Dieser kann die grundlegenden Needs eines Kritis-Unternehmens identifizieren und auf dieser Basis die Angebote nach dem Aspekt der Wirtschaftlichkeit analysieren.

In der Orientierungshilfe stellte das BSI klar, dass Kritis-Betriebe mindestens ein SIEM (Security Information and Event Management) implementiert haben sollten, um die Sicherheitsstufe 3 zu erreichen. Über ein solches System werden Daten aus unterschiedlichen Quellen analysiert, bewertet und klassifiziert. So werden Anomalien bereits in einem frühen Stadium erkannt und Betriebe können früher reagieren. Zudem erhalten IT-Sicherheitsfachkräfte auch die Werkzeuge an die Hand gereicht, präventive Szenarien aufzustellen und vorbeugende Maßnahmen zu ergreifen, um so die eigene Cybersecurity optimal auszurichten.

Darüber hinaus sollten Kritis-Betreiber bereits darüber nachdenken, ein ISMS (Informationssicherheits-Managementsystem) zu implementieren. Dieses hilft mit standardisierte Testverfahren dabei, die Sicherheit der eigenen Infrastruktur besser im Blick zu behalten – egal ob Risikoanalyse oder Schwachstellenmanagement. Zudem besteht es aus einer Reihe von Vorgaben und Richtlinien, die sowohl einheitliche Standards für die Informationssicherheit festlegen als auch die Einhaltung von Compliance-Regeln gewährleisten.

Fazit

Die harte Deadline zur Umsetzung der Muss-Kriterien und somit zum Erreichen der dritten Sicherheitsstufe steht bevor. Statt mit dem aktuellen Status quo der eigenen Sicherheitsstrategie zu hadern, müssen die Betriebe der Kritischen Infrastruktur und von Energieversorgungsnetzen jetzt schnellstmöglich handeln. Sind die individuellen Anforderungen analysiert, gilt es, die Auftragsvergabe umgehend anzugehen, denn das gewählte System zur Angriffserkennung muss bis zum 1. Mai 2023 auch implementiert sein. Eine Mammutaufgabe, die durch eine weichere Deadline hätte verhindert werden können.

Simeon Mussler ist Chief Operating Officer bei Bosch Cybercompare, einem Dienstleister für die Beschaffung von Cybersicherheitsprodukten.

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen