Home
Intern
veröffentlicht am 08. Februar 2023
Kritische Infrastrukturen sind aufgrund der globalen Entwicklungen und mindestens seit Beginn des Ukraine-Krieges in aller Munde. Bestimmte KRITIS-Betreiber müssen schon seit dem Sommer 2015, mit Erscheinen des IT-Sicherheitsgesetzes (IT-SiG 1.0), einschlägige Anforderungen erfüllen. Seit dieser Zeit regelt die dem IT-Sicherheitsgesetz nachgeordnete KRITIS-Verordnung über sogenannte Schwellwerte, welche KRITIS-Betreiber die gesetzlichen Anforderungen erfüllen müssen. Waren es anfangs nur die „großen“ Betreiber, für die entsprechende Pflichten entstanden, betreffen die gesetzlichen Regelungen mit Inkrafttreten des IT-SiG 2.0 im Mai 2021 schon sehr viel mehr Betreiber Kritischer Infrastrukturen.
Nach der Verabschiedung des IT-SiG 2.0 hat das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) Mitte 2022 noch eine wichtige Erweiterung bekommen. Mit § 8a Absatz 1a verpflichtet es alle KRITIS-Betreiber zum Einsatz sogenannter Systeme zur Angriffserkennung (SzA). Dieser Einsatz muss bis spätestens zum 1. Mai 2023 nachgewiesen werden.
Laut BSIG müssen SzA „… geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten“ können. Die Systeme sollten auch „… dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden, sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen“.
Derartige Anforderungen lassen sich durch moderne und z.T. hochspezialisierte IT-Systeme und IT-Security Spezialisten erfüllen. Begriffe, die in diesem Kontext genannt werden müssen, lauten u.a. SOC (Security Operations Center), SIEM (Security Information & Event Management), XDR (Extended Detection and Response).
In welcher konkreten Ausprägung und in welchem Umfang derartige IT-Systeme tatsächlich einzusetzen sind, hängt von verschiedenen Faktoren ab. Grundsätzlich empfiehlt sich ein risikoorientiertes Vorgehen. Dabei ist entscheidend, auf welche potenziellen Bedrohungen und Schwachstellen die SzA reagieren bzw. welche IT-Systeme von Kritischen Infrastrukturen überhaupt überwacht werden sollen.
Sehr hilfreich kann dabei die vom BSI herausgegebene „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ sein. Sie legt dar, welche Anforderungen Betreiber Kritischer Infrastrukturen für SzA erfüllen sollen und gibt Empfehlungen für ihre Umsetzung und Prüfung.
Unser Rödl & Partner Team „Digital Solutions“ unterstützt Sie gern bei Ihren Aktivitäten in diesem Bereich, sei es eine Vorab-Prüfung, ob die Anforderungen der KRITIS-Gesetzgebung erfüllt werden, die Erstellung von Nachweisen als Grundlage für eine solche Prüfung oder auch die Umsetzung von erforderlichen Maßnahmen, um die gesetzlichen KRITIS-Anforderungen termingerecht umzusetzen. Sprechen Sie uns gern an!
Falk Hofmann
ISO/IEC27001/KRITIS -Auditor
Partner
Anfrage senden
Florian Bär
Wirtschaftsprüfer, Steuerberater
Associate Partner
