Prüfung von Systemen zur Angriffserkennung (SzA)

Systeme zur Angriffserkennung (SzA) sind wichtige Werkzeuge, um die Sicherheit der Informationstechnik und den Geschäftsbetrieb von Unternehmen, die zur kritischen Infrastruktur (KRITIS) gehören, zu gewährleisten. Diese Systeme dienen dazu, Cyber-Angriffe frühzeitig zu erkennen und tragen besonders zur Schadensbegrenzung bei.

Es gibt strengere Regelungen auf europäischer und nationaler Ebene, um diese Sicherheit zu stärken. Am 27. Mai 2021 hat die Bundesregierung das IT-Sicherheitsgesetz 2.0 verabschiedet, welches zu Änderungen am BSI-Gesetz führt. Auch andere Gesetze wie dem TKG, dem EnWG, dem AWG und dem SGB 10 sind betroffen. 

Die bedeutendsten Änderungen betreffen das BSI-Gesetz und das EnWG, da sie die Verwendung von Systemen zur Angriffserkennung verpflichtend machen.

Laut § 2 Abs. 9b des BSI-Gesetzes sind Systeme zur Angriffserkennung definiert als technische Werkzeuge und organisatorische Prozesse, die dazu dienen, Angriffe auf IT-Systeme zu erkennen. Diese Erkennung erfolgt durch den Vergleich mit dem normalen Betriebsverhalten und der Filterung von Mustern, die auf Angriffe hinweisen. 

Das bedeutet, dass die Anforderungen an Systeme zur Angriffserkennung nach dem IT-Sicherheitsgesetz 2.0 anspruchsvoller sind als die bisher etablierten Methoden.
Im § 11 Abs. 1d des EnWG wird weiter festgelegt, dass diese Systeme in der Lage sein müssen, kontinuierlich und automatisch geeignete Parameter und Merkmale im Betrieb zu erfassen und auszuwerten.

Grundsätzlich sollte jedes Unternehmen, das technische Systeme besitzt, sich vor Angriffen schützen.
Für einige Branchen und Unternehmen gibt es gesetzliche Regelungen, die sie dazu verpflichten, Systeme zur Erkennung von Angriffen zu implementieren.
Gemäß § 8a Abs. 1a des BSI-Gesetzes sind alle Unternehmen, die die KRITIS-Schwellwerte überschreiten, verpflichtet, Angriffserkennungssysteme einzuführen.
Es ist wichtig zu beachten, dass die aktuellen Vorschriften des BSI-Gesetzes und der Schwellwerte für kritische Infrastrukturen die Änderungen der NIS 2.0 nicht berücksichtigen.

Die EU-Länder haben bis zum 17. Oktober 2024 Zeit, die NIS 2.0 in nationales Recht umzusetzen.
Da die Anforderungen an Betreiber wesentlicher Dienste in dieser neuen Version erheblich erweitert werden, sollten sich auch Unternehmen, die bisher nicht zu den KRITIS-Betreibern gehörten, mit diesem Thema auseinandersetzen.
Die Erweiterung der Branchen, die als Betreiber wesentlicher Dienste gelten, ist derzeit im aktuellen BSI-Gesetz noch nicht enthalten. Darüber hinaus schreibt das EnWG in § 11 Abs. 1d vor, dass auch Energieversorgungsnetzbetreiber Systeme zur Angriffserkennung einführen müssen

• Das BSI-Gesetz und das EnWG legen fest, wann ein System zur Angriffserkennung eingerichtet und von externen Prüfern abgenommen werden muss.

• Gemäß § 8a Abs. 1a des BSI-Gesetzes muss dies bis spätestens 01. Mai 2023 geschehen, um bei der nächsten KRITIS-Prüfung in Ordnung zu sein.

• Gemäß § 11 Abs. 1d des EnWG muss bis spätestens 01. Mai 2023 ein Nachweis erbracht werden, dass die Systeme zur Angriffserkennung eingeführt wurden.

• Gemäß § 8a Abs. 3 des BSI-Gesetzes und § 11 Abs. 1e des EnWG muss alle zwei Jahre erneut ein Nachweis erbracht werden.

• Der 18. Oktober 2024 wird voraussichtlich das Datum für neue Unternehmen sein, die als KRITIS-Unternehmen eingestuft werden und Systeme zur Angriffserkennung einführen müssen. Genauere Informationen dazu werden im Laufe des Jahres bekanntgegeben.

Müssen Energieversorgungsnetzbetreiber und Betreiber kritischer Energieanlagen auch den Einsatz ihrer Angriffserkennungssysteme nachweisen?
Ja, gemäß § 11 Absatz 1d EnWG müssen die Betreiber von Energieversorgungsnetzen und kritischen Energieanlagen, die durch das BSI-Gesetz als kritische Infrastruktur eingestuft wurden, ihre Anlagen beim BSI registrieren und eine Kontaktstelle benennen. Das EnWG schreibt vor, dass sie ab dem 1. Mai 2023 und dann alle zwei Jahre nachweisen müssen, dass sie diese Systeme beim BSI verwenden.

Es gibt jedoch einen redaktionellen Fehler im Gesetz, da der Verweis in § 11 Absatz 1f EnWG nicht auf den aktuellen Absatz 1e, sondern auf den früheren Absatz 1d verweist.

Dies wurde in der Bundestagsdrucksache 20/1599 auf Seite 10 festgestellt.

Trotzdem ergibt sich aus der Bundestagsdrucksache 19/26106 auf Seite 27, dass die Nachweispflicht einheitlich für den Einsatz der Angriffserkennungssysteme gilt, wie es in den gesetzlichen Vorschriften vorgesehen ist.

Auf Grundlage dessen müssen die Betreiber bis spätestens zum 1. Mai 2023 nachweisen, dass sie Angriffserkennungssysteme verwenden (siehe § 11 Absatz 1e EnWG).

Diese Verpflichtungen gelten für alle Betreiber von Energieversorgungsnetzen, unabhängig von den in der BSI-Kritisverordnung festgelegten Schwellenwerten.

Die Prüfdienstleistungen verschiedener Prüfstellen sollten ein breites Spektrum an Aufgaben umfassen, um die Anforderungen an die Informationssicherheit und Prüfkompetenz gemäß den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu erfüllen.

Die CONTECHNET Deutschland GmbH besitzt die Kompetenz Prüfungen der Systeme zur Angriffserkennung gemäß § 8a BSIG sowie § 11 EnWG durchzuführen und gilt somit als prüfende Stelle.

Zu den angebotenen Leistungen gehören die umfassende Vorbereitung des formellen Rahmens sowie die sorgfältige Koordination der Prüfungstermine, um einen reibungslosen Ablauf sicherzustellen. Während der Prüfung übernehmen zwei Prüfer die Verantwortung für die Durchführung der Interviews nach dem  Vier-Augen-Prinzip, die über einen Zeitraum von ca. 1,5 Tagen stattfinden. Die beiden Prüfer steuern auch den gesamten Prüfprozess einschließlich der Lenkung des Prüfverfahrens.

Die CONTECHNET Deutschland GmbH erfüllt alle erforderlichen Kompetenzen und Qualifikationen, die festgelegt sind. Dies schließt die Prüfverfahrenskompetenz für §8a BSIG, die Fähigkeit zur Durchführung von Auditprozessen, umfassendes Wissen in IT-Sicherheit und Informationssicherheit sowie bei Bedarf spezifisches Branchenwissen in der Energiewirtschaft ein.

Mit diesen vielfältigen Fähigkeiten ist die CONTECHNET Deutschland GmbH in der Lage, Prüfungen gemäß den strengen Standards des BSI durchzuführen und dabei die Sicherheit und Integrität Ihrer Informationssysteme zu gewährleisten.

Die Gespräche werden detailliert protokolliert, um eine genaue Aufzeichnung zu gewährleisten. Basierend auf diesen Protokollen wird ein umfassender Prüfbericht erstellt, der alle relevanten Erkenntnisse und Ergebnisse zusammenfasst. Dieser Prüfbericht wird Ihnen zusammen mit allen erforderlichen Dokumenten der prüfenden Stellen zugesandt.