Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seiner Orientierungshilfe das Modell zum Umsetzungsgrad von Systemen zur Angriffserkennung (SzA) in drei Stufen kategorisiert: Muss-, Soll- und Kann-Anforderungen. Um die erforderlichen Auflagen zu erfüllen, müssen Unternehmen der Kritischen Infrastruktur (Kritis) sowie Betreiber von Energieversorgungsnetzen mindestens die Muss-Anforderungen erfüllen.
Das Problem dabei ist: Zwar hat die Bereitschaft zum Einsatz einer Cybersicherheitsstrategie in den vergangenen Jahren erheblich zugenommen. Doch aufgrund von finanziellen Einbußen und höheren Hürden bei der Auftragsvergabe sehen sich die wenigsten Betreiber in der Lage, die Auflagen des neuen IT-Sicherheitsgesetzes (IT-SiG 2.0) fristgerecht zu erfüllen.
Die Regularien der Länder sehen vor, das öffentliche Beschaffungswesen bestmöglich vor Betrug und Korruption zu schützen, und verpflichten öffentlich getragene Kritis-Betreiber dazu, das wirtschaftlich beste Angebot anzunehmen. Aufgrund der vagen Formulierungen durch das BSI bleiben jedoch viele Fragen offen. Gerade Kritis-Betrieben des Mittelstands fehlen oftmals die finanziellen und personellen Ressourcen, Informationssicherheitsvorfälle umfassend zu definieren und in den Betrieb zu implementieren.
Risikobewertung dringend erforderlich
Deswegen ist es umso wichtiger, den aktuellen Status quo zu erfassen. Dafür müssen Unternehmen zunächst mit einer Risikobetrachtung den eigenen Scope analysieren und definieren, welche Vorgänge im eigenen Betrieb überwacht werden können und was besser an externe Dienstleister vergeben werden sollte. Dabei sind neben Governance-Aspekten, die Prozesse und Verantwortlichkeiten für Sicherheitsvorfälle reglementieren, Systeme und Methoden zur systematischen Auswertung dieser Vorfälle ebenso zu beachten wie regelmäßige Penetrationstests und der Umgang mit aufgedeckten Schwachstellen. Gerade die Datenerfassung sowie deren Analyse zur Erfolgsmessung und die Einhaltung des Datenschutzes sind Schritte, die ohne Weiteres von einem externen Partner abgebildet werden können.
Sind diese drei Schritte ausgelagert, bleiben laut BSI nur mehr zwei Aufgaben zu bewältigen, um die Sicherheitsstufe 3 (Erfüllen der Muss-Kriterien) zu erreichen: Die Implementierung eines SzA muss eine angemessene Sichtbarkeit in einer angebrachten Zeitspanne aufweisen (Milestone-Planung). Diese Planung sollte ohnehin im eigenen Unternehmen durchgeführt werden, um den Überblick nicht zu verlieren. Zudem muss das System so dynamisch ausgerichtet sein, dass zu jeder Änderung im Anwendungsbereich ein entsprechender Change-Prozess implementiert ist (Change-Management).
So finden sich Kritis-Betreiber zurecht
Je nachdem, welche Schritte intern abgefangen und welche an externe Partner vergeben werden, fällt die Wahl des entsprechenden Systems zur Angriffserkennung aus. Der Markt gibt diesbezüglich viele verschiedenen Alternativen, die jedoch nicht alle den besonderen Anforderungen von Kritis-Unternehmen vollumfänglich entsprechen. Zur Wirtschaftlichkeit eines Angebots zählt nämlich auch, welche Services abgedeckt werden. Hier gilt es zu beachten, ob die im Angebot abgedeckten Dienste zumindest die Auflagen der Muss-Stufe erfüllen. Um dabei nicht den Überblick zu verlieren, kann es helfen, sich an einen externen Partner zu wenden. Dieser kann die grundlegenden Needs eines Kritis-Unternehmens identifizieren und auf dieser Basis die Angebote nach dem Aspekt der Wirtschaftlichkeit analysieren.
In der Orientierungshilfe stellte das BSI klar, dass Kritis-Betriebe mindestens ein SIEM (Security Information and Event Management) implementiert haben sollten, um die Sicherheitsstufe 3 zu erreichen. Über ein solches System werden Daten aus unterschiedlichen Quellen analysiert, bewertet und klassifiziert. So werden Anomalien bereits in einem frühen Stadium erkannt und Betriebe können früher reagieren. Zudem erhalten IT-Sicherheitsfachkräfte auch die Werkzeuge an die Hand gereicht, präventive Szenarien aufzustellen und vorbeugende Maßnahmen zu ergreifen, um so die eigene Cybersecurity optimal auszurichten.
Darüber hinaus sollten Kritis-Betreiber bereits darüber nachdenken, ein ISMS (Informationssicherheits-Managementsystem) zu implementieren. Dieses hilft mit standardisierte Testverfahren dabei, die Sicherheit der eigenen Infrastruktur besser im Blick zu behalten – egal ob Risikoanalyse oder Schwachstellenmanagement. Zudem besteht es aus einer Reihe von Vorgaben und Richtlinien, die sowohl einheitliche Standards für die Informationssicherheit festlegen als auch die Einhaltung von Compliance-Regeln gewährleisten.
Fazit
Die harte Deadline zur Umsetzung der Muss-Kriterien und somit zum Erreichen der dritten Sicherheitsstufe steht bevor. Statt mit dem aktuellen Status quo der eigenen Sicherheitsstrategie zu hadern, müssen die Betriebe der Kritischen Infrastruktur und von Energieversorgungsnetzen jetzt schnellstmöglich handeln. Sind die individuellen Anforderungen analysiert, gilt es, die Auftragsvergabe umgehend anzugehen, denn das gewählte System zur Angriffserkennung muss bis zum 1. Mai 2023 auch implementiert sein. Eine Mammutaufgabe, die durch eine weichere Deadline hätte verhindert werden können.
Simeon Mussler ist Chief Operating Officer bei Bosch Cybercompare, einem Dienstleister für die Beschaffung von Cybersicherheitsprodukten.