hh beaIm April 2021 hat der Deutsche Bundestag das „IT-Sicherheitsgesetz 2.0“ beschlossen, welches neben zahlreichen weiteren Änderungen u.a. vorsieht, dass Betreiber Kritischer Infrastrukturen (KRITIS) künftig (IT-)Systeme zur Angriffserkennung verwenden müssen.
Update am 11.10.2022: In einem eigenen Abschnitt widmen wir uns den speziellen Prüf- und Nachweispflichten.
Was bedeutet das für KRITIS?
Konkret heißt es darin gemäß § 8a Abs. 1a BSIG n.F.:
„Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“
Die „Systeme zur Angriffserkennung“ sind in § 2 Abs. 9 b BSIG legal definiert:
„Systeme zur Angriffserkennung im Sinne dieses Gesetzes sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten.“
Wer ist betroffen?
Der Gesetzgeber unterscheidet zwischen KRITIS-Betreibern und Unternehmen im besonderen öffentlichen Interesse.
KRITIS-Betreiber
Gem. § 8 a Abs. 3 n.F. BSIG müssen KRITIS-Betreiber externe Nachweise verpflichtend zur IT-Sicherheit erbringen, die sich vor allem auf Zertifizierungen, Sicherheitsaudits, Prüfungen und ergriffene Schutzmaßnahmen erstrecken und alle zwei Jahre belegen, dass die dort geforderten Anforderungen erfüllt werden.
Unternehmen im besonderen öffentlichen Interesse
Unternehmen im besonderen öffentlichen Interesse sind keine KRITIS-Betreiber. Gemäß § 2 Abs. 14 BSIG erfüllen sie jedoch entweder den Tatbestand von § 60 AWV (v. a. Rüstungshersteller), gehören nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland, sodass sie von erheblicher volkswirtschaftlicher Bedeutung sind, oder fallen in bestimmte Bereiche der sogenannten Störfall-Verordnung [1].
Gegenüber dem KRITIS-Bereich treffen die Unternehmen reduzierte Pflichten. Sie müssen sich gem. § 8 f Abs. 5 BSIG registrieren und nach § 8 f Abs. 1 BSIG mindestens alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit vorlegen.
Anders als im KRITIS-Bereich (§ 8 a Abs. 3 BSIG) sind externe Nachweise und die Etablierung von Systemen zur Angriffserkennung aber nicht verpflichtend.
Systeme zur Angriffserkennung – Was ist neu?
Das sogenannte IT-Sicherheitsgesetz 2.0 knüpft nun ausdrücklich die Pflicht zur Verwendung von Systemen zur Angriffserkennung (§ 8a Abs.1a BSIG n.F.) an die bereits bestehende Verpflichtung der KRITIS-Betreiber angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen (§ 8a Abs.1 BSIG). Bislang ergab sich dies nur mittelbar aus der Anforderung zur Etablierung eines Informationssicherheits-Management-Systems (ISMS), basierend auf der ISO 27001 oder dem Branchenstandard B3S.
Der Gesetzgeber sieht, in der nun explizit geschaffenen Verpflichtung derartiger Systeme für KRITIS Betreiber, eine unvermeidbare Maßnahme zur Schadensminimierung und Begegnung von immer häufiger werdenden Cyber-Angriffen.
Ab wann gilt das?
Das Gesetz ist bereits seit dem 28.05.2021 in Kraft getreten, Stichtag zur Umsetzung ist aber erst der 01. Mai 2023. Da die Daten der betroffenen IT-Systeme regelmäßig auch personenbezogene Daten enthalten können [2], soll den KRITIS-Betreibern ausreichend Zeit gegeben werden, die neu eingeführte Pflicht ordnungsgemäß und sorgfältig umzusetzen.
In welchem Rahmen müssen Systeme etabliert werden?
Bereits jetzt ist eine Vielzahl von IT-Systemen zur Angriffserkennung auf dem Markt. Diese Systeme analysieren automatisiert Daten aus den IT-Systemen, zu deren Schutz sie eingesetzt werden und unterscheiden sich z.B. in den Verfahren zur Detektion, also beispielsweise den untersuchten Daten als auch in der Methodik zur Erkennung von Angriffen. Einige Systeme arbeiten etwa mit dem Abgleich von statischen Mustern zu Software und Kommunikationen, andere hingegen mit der Erzeugung generischer Muster und KIs. Auch die Erfassung eines störungsfreien Betriebes bzw. Abweichungen von diesem Zustand können zur Angriffserkennung verwendet werden (sog. Anomaliedetektion) [3].
Nach dem Willen des Gesetzgebers, sollen die Systeme zur Angriffserkennung die Kommunikationstechnik der KRITIS-Betreiber möglichst umfassend schützen. Der Einsatz solcher Systeme ist jedoch nicht risikolos möglich. Im Falle falscher Warnmeldungen etwa, besteht ein erhöhtes Schadenspotenzial. Es wird daher auch im neuen Gesetz (weiterhin) nur auf einen „angemessenen Einsatz“ entsprechender Vorkehrungen verwiesen [4].
Was wird also genau benötigt?
Systeme die Angriffe erkennen sollen, sollen folglich verschiedene Verfahren beherrschen, wie beispielweise die folgenden:
- Kontrolle verschiedene Datenarten,
- Verfahren zur Mustererkennung,
- Verfahren zur Anomalieerkennung.
Diese können dann je nach Einsatzszenario und Abwägung im jeweiligen Unternehmen eingesetzt werden.
Wie unterstützt die Bundesregierung bei der Umsetzung?
Unternehmen benötigen für den Einsatz von Systemen zur Angriffserkennung zwingend Informationen, die sich als Erkennungsmuster zu Cyber-Angriffen heranziehen lassen. Die eingesetzten Erkennungsmuster müssen zudem ständig aktuell gehalten werden, um wirksam zu sein zu können. In diesem Bereich ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch weiterhin verpflichtet seine Unterstützung zu leisten [5].
Es ist daher vorgesehen, dass ein entsprechender Transfer über die Malware Information Sharing Plattform (MISP) des Bundesamtes erfolgt. Ein MISP ist ein System, welches dem Austausch von Bedrohungsinformationen dient. Durch den Ansatz des verteilten Einsatzes, sollen bekannte Bedrohungen und Lösungen gegen diese schneller publik werden.
Zudem wird das BSI Vorgaben zu Prozessen, Formaten und Werkzeugen zum Austausch von technischen Merkmalen zu Cyber-Angriffen veröffentlichen [6].
Spezialbereich: Energiesektor?
Die neu eingeführte Pflicht für KRITIS-Betreiber, wird durch die Änderung in § 8a Abs. 1a BSIG nun ebenso für Betreiber von Energieversorgungsnetzen und Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Abs. 1 BSIG als Kritische Infrastruktur bestimmt wurden, eingeführt.
Analog zu § 8a Abs.1a BSIG, findet sich in § 11 Abs. 1d EnWG nunmehr die Pflicht zur Verwendung von Systemen zur Angriffserkennung. Hier hat der Gesetzgeber auch ausdrücklich formuliert, was er als „angemessenen Einsatz“ ansieht:
„Der Einsatz von Systemen zur Angriffserkennung ist angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den möglichen Folgen eines Ausfalls oder einer Beeinträchtigung des betroffenen Energieversorgungsnetzes oder der betroffenen Energieanlage steht.“
In § 11 Abs. 1e EnWG wird für KRITIS-Betreiber, die Energieversorgungsnetze oder Energieanlagen betreiben, zudem eine Pflicht zum Nachweis der Anforderungen aus § 11 Abs. 1d EnWG an das BSI eingeführt. Im Falle von Mängeln in der Umsetzung der Anforderungen oder Mängeln in den Nachweisdokumenten wird das BSI sodann befugt, im Einvernehmen mit der Bundesnetzagentur die Beseitigung der Mängel zu verlangen [7].
Prüfpflichten für den Energiesektor und BSIG-KRITS beachten
KRITIS-Betreiber unterliegen nach BSIG sowie EnWG Prüf- und Nachweispflichten. Während §8a-BSIG-regulierte KRITIS den Nachweispflichten im Rahmen ihrer regulären KRITIS-Prüfungen nachkommen können, entsteht für Energienetzbetreiber und -anlagenbetreiber eine neue Prüfverpflichtung. Die Prüfung der Systeme zur Angriffserkennung ist nicht in die Zertifizierungsverfahren nach dem IT-Sicherheitskatalog integriert. Vielmehr ist eine zusätzliche Prüfung, die eher der Logik einer KRITIS-Nachweisprüfung folgt, notwendig.
Die Betreiber kritischer Infrastrukuten sollten nicht zögern und eine prüfende Stelle auswählen, um den Nachweispflichten bis zum 01.05.2023 genügen zu können!
Sie haben Fragen?
Sprechen Sie uns an!
Wir beraten Sie und Ihr Unternehmen gerne bei der Implementierung eines adäquaten Systems zur Angriffserkennung.
[1] Vgl. Prof. Dr. Gerrit Hornung, Das IT-Sicherheitsgesetz 2.0: Kompetenzaufwuchs des BSI und neue Pflichten
für Unternehmen, NJW 2021, 1985.
[2] Vgl. Artikel 6 Abs. 1 f DSGVO und Erwägungsgrund 49 DSGVO, § 100 TKG.
[3] Vgl. BGBl 2021 Teil I Nr. 25, S. 89 f.
[4] Siehe §8a Abs. 1 BSIG
[5] Vgl. BGBl 2021 Teil I Nr. 25, S. 89 f. sowie § 8b Absatz 2 Nummer 4a BSIG.
[6] Vgl. BGBl 2021 Teil I Nr. 25, S. 89 f.
[7] Vgl. BGBl 2021 Teil I Nr. 25, S. 112 f.