Schon seit einiger Zeit ist das neue IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) in Kraft. Durch dieses neue Gesetz werden deutlich mehr Unternehmen als KRITIS-Betreiber eingestuft. Das sorgt bei vielen Verantwortlichen für Kopfzerbrechen. Und auch IT-Abteilungen fragen sich: „Sind wir jetzt KRITIS?” Und wenn ja, „Was müssen wir jetzt beachten?”.
Was bedeutet das neue IT-SiG 2.0 für Unternehmen?
Eine ganze Menge (wie wir bereits hier zusammengefasst haben). Das IT-SiG regelt den grundsätzlichen Gesetzesrahmen zu Kritischen Infrastrukturen. Es ist ein sogenanntes Artikel- bzw. Mantelgesetz. Dass heißt, es vereint gleichzeitig mehrere bereits bestehende Gesetze und ändert diese bezüglich einer bestimmten Thematik – im Fall des IT-SiG 2.0 zum Schutz Kritischer Infrastrukturen. Hierzu gehört u. a. auch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)
Was ist das BSIG?
Das BSI-Gesetz ist das wichtigste Gesetz zur KRITIS-Regulierung und beschreibt Aufgaben und Pflichten der KRITIS-Betreiber. So verpflichtet das BSIG KRITIS-Betreiber beispielsweise dazu, angemessene Sicherheitsmaßnahmen einzusetzen. Hierzu gehören z. B. Systeme zur Angriffserkennung und Bearbeitung.
„Systeme zur Angriffserkennung im Sinne dieses Gesetzes sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten“ (§ 2 Absatz 9b BSIG)
Das BSIG schreibt auch vor, dass diese Sicherheitssysteme bis spätestens 01. Mai 2023 in Betrieb sein müssen:
„Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen“ (§ 8a Absatz 1a Satz 1, 2 BSIG)
Spätestens nach zwei Jahren, also bis Mai 2025, muss jeder Betreiber von Kritischen Infrastrukturen einen entsprechenden Nachweis über die Inbetriebnahme an das BSI erbringen. Darüber hinaus ist dem BSI anschließend im regelmäßigen Turnus von zwei Jahren ein Nachweis über den aktiven Betrieb der entsprechenden Systeme zu erbringen:
„Betreiber Kritischer Infrastrukturen haben die Erfüllung der Anforderungen nach den Absätzen 1 und 1a spätestens zwei Jahre nach dem in Absatz 1 genannten Zeitpunkt und anschließend alle zwei Jahre dem Bundesamt nachzuweisen“ (§ 8a Absatz 3 Satz 1 BSIG, Unterstreichungen für diese OH vorgenommen).
Wie können IT-Verantwortliche die BSIG-Vorgaben umsetzen?
Hierzu stellt das BSI selbst Orientierungshilfen, Leitlinien, Empfehlungen, Auslegungshilfen und Anwendungshinweise herstellerneutral zur Verfügung. Wir haben euch unten 3 wichtige Dokumente verlinkt, die wirklich jeder SIEM- bzw. SOC-Verantwortliche kennen sollte. Denn diese BSI-Dokumente zeigen sehr detailliert und praxisnah auf, welche Fähigkeiten in der IT-Sicherheit für die digitale Souveränität aufgebaut werden müssen. Nutzt also diese BSI-Dokumente als hilfreiche Orientierung und studiert sie sorgfältig:
(1) Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen
(2) Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen
(a) Protokollierungsrichtlinie Bund (PR-B)
Protokollierung zur Detektion von Cyber-Angriffen auf die Informationstechnik des Bundes, einschließlich der Umsetzungsrichtlinie zu § 5 Abs. 1 Satz 1 Nr. 1 und i. V. m. Satz 4 BSIG
(3) Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (SzA) (Community Draft)
Ihr seht: Für euch als verantwortliche Person für SOC- bzw. SIEM-Projekte hat das BSI bereits heute schon Projektziele, Scope, Vorgehensweise und – mit dem BSIG – sogar den Business Case erarbeitet. Diese gilt es nun erfolgreich umzusetzen.
Jetzt liegt es an euch. Welche Anforderungen und Fähigkeiten habt ihr bereits Umgesetzt? Und: Wo befinden sich ggf. Lücken oder offene Fragen? Schreibt es uns gerne in die Kommentare!
KRITIS-Vorgaben erfolgreich umsetzen
Natürlich ist mit den drei Dokumenten oben längst nicht alles in trockenen Tüchern. Deswegen werft auf jeden Fall auch einen Blick auf unser E-Book zum Thema IT-Sicherheitsgesetz 2.0 und seht euch unser Webinar über den IT-Sicherheitsbetrieb in Kritischen Infrastrukturen an. Wir klären u.a. folgende Fragen:
- Was wird IT-Entscheidern in Kritischen Infrastrukturen (KRITIS) heute und in Zukunft mit dem IT-SiG 2.0 abverlangt?
- Was sind die wichtigsten Neuerungen des IT-SiG 2.0? Und wen betreffen sie?
- Wer gilt jetzt als KRITIS-Betreiber und „Unternehmen in besonderem öffentlichem Interesse”?
- Was müssen IT-Entscheider fristgerecht umsetzen?
Und klar, wahrscheinlich habt ihr selbst danach noch eine ganze Reihe weiterer Fragen. Das hatten viele andere vor euch auch, z. B. Stadtwerke wie die Würzburger Versorgungs- und Verkehrs-GmbH, IT Dienstleister wie DATEV, Logistikunternehmen wie Dachser oder auch internationale Konzerne wie Siemens (all diese Unternehmen setzen übrigens seit Jahren auf Splunk).
Wendet euch gerne direkt an uns. Wir helfen euch, selbst die härtesten Nüsse im Bereich Cybersecurity, Sicherheitsbetrieb und Security Automatisierung zu knacken. Das ist unsere Spezialität bei Splunk.
Grüße,
Matthias
