made-in-germany-enginsight Leitfaden für KRITIS-Betreibende

Cybersecurity für kritische Infrastruktur

Das IT-Sicherheitsgesetzt 2.0 fordert zahlreiche Änderungen und Anforderungen an KRITIS-Betreibende sowie Unternehmen im besonderen öffentlichen Interesse. Ganz besonderes Ausgenmerk liegt auf dem Einsatz von Systemen zur Angriffserkennung, gemäß § 8a Absatz 1a BSIG. Dies wird ab 01. Mai 2023 Pflicht.

Wie Sie die BSI-Empfehlungen einfach und nachhaltig umsetzen, erfahren Sie hier.

Allianz_fuer_Cybersicherheit_Enginsight
Jenoptik
Für IT-Entscheider in KRITIS-Unternehmen

BSI-Empfehlungen einfach umsetzen

Cyberangriffe gehören (leider) heute zum IT-Alltag. Die Frage ist nicht länger ob, sondern wann ein Angriff erfolgt. Die Angriffsszenarien sind vielfältig und stellen IT-Verantwortliche ständig vor neue Herausforderungen. Denn eines ist klar: Angriffe müssen (automatisch) abgewehrt werden; die Folgen eines geglückten Cyberangriffs könnten fatal sein, erst recht, wenn kritische Infrastrukturen betroffen sind.

Was ist die „BSI-Orientierungshilfe“?

Die BSI-Orientierungshilfe (OH) ist ein umfassendes Dokument des BSI. Sie beschreibt verbindliche Anforderungen für den Einsatz von Systemen zur Angriffserkennung (SzA); und unterteilt diese in drei Phasen: Protokollierung, Detektion und Reaktion. Die darin beschriebenen Maßnahmen werden in SOLL-, MUSS- und KANN-Anforderungen unterteilt und zudem priorisiert in drei Stufen, abhängig vom angestrebten „Reifegrad“. Im ersten Step genügt das Erreichen von Reifegrad 3. Betreibende kritischer Infrastrukturen sollten längerfristig Grad 4 erreichen. Insofern ergibt sich eine kontinuierliche Verbesserung der IT-Sicherheitsmaßnahmen, was unter dem Aspekt der stetig steigenden und komplexeren Bedrohungslage absolut sinnvoll und geboten ist.

BSI-KRITIS-Verordnung (BSI-KritisV) und IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) fordern deshalb „angemessene organisatorische und technische Vorkehrungen“. Ab Mai 2023 sind Betreibende kritischer Infrastrukturen u. a. zum Einsatz von Systemen zur Angriffserkennung verpflichtet. Welche Systeme sich dafür eignen, bleibt offen. Nicht selten sind Betroffene unsicher, welche Systeme wirklich geeignet sind und benötigt werden. SIEM-Systeme kommen den meisten als Erstes in den Sinn. Doch, anders als viele erwarten, sind sie nicht alternativlos!

Enginsight-Matrix zur BSI-Orientierungshilfe 
Erfahren Sie auf einem Blick, wie Sie Enginsight bei der Umsetzung der Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG, unterstützt.

Umsetzung der BSI-Orientierungshilfe

Automatische Systeme zur Angriffserkennung und -abwehr

Bei der Absicherung Ihrer IT-Infrastruktur und der Einhaltung der gesetzlichen Vorgaben für kritische Infrastrukturen unterstützen wir Sie von der Planung bis zur Umsetzung. So erreichen Sie mindestens Reifegrad 3, weisen Cyberresilienz nach und sichern Ihre „Digital Compliance“.

Nachfolgend ein kleiner Ausschnitt, welche Anforderungen aus der „BSI-Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ Sie mit Enginsight und den passenden Dienstleistern erfüllen können. Eine Gesamtübersicht liefert Ihnen die Enginsight-Matrix zur BSI-Orientierungshilfe.

Grundlagen
Protokollierung
Detektion
Reaktion
Enginsight-Matrix zur BSI-Orientierungshilfe 
Transparenz schaffen

Status-quo Wie gut sind Sie bisher aufgestellt?

Wenn Ihr Unternehmen KRITIS-reguliert ist und Sie bisher noch unsicher sind, ob Sie Ihre Maßnahmen genügen: Machen Sie eine Bestandsaufnahme. Eine Analyse Ihrer IT-Infrastruktur schafft Transparenz. Wenn die Abweichungen zwischen Ist- und dem Soll-Zustand feststehen, können Sie priorisiert die notwendigen Maßnahmen einleiten. 

Mit Enginsight gelingt die Bestandsaufnahme Ihrer IT-Assets auf Kopfdruck. Wir zeigen Ihnen gerne live, wie schnell das geht.

Langfristig und nachhaltig hilft Enginsight Ihnen bei der Live-Überwachung Ihrer IT-Infrastruktur. Auch dazu gerne mehr in einer Live-Demo oder einem unserer Webcasts.

FAQ zu den KRITIS-Anforderungen

Unternehmen und Einrichtungen müssen selbst herausfinden, ob sie als Betreiber kritischer Infrastrukturen gelten und sich beim BSI registrieren müssen. Branchen, die in diesen Bereich fallen (können): Ernährung, IT & Telekommunikation, Ver- und Entsorgung, Gesundheit, Staat & Verwaltung (Bund & Länder), Finanzen & Versicherung, Transport-Verkehr-Logistik; Unternehmen von besonderem öffentlichem Interesse (UBI).

Betreiber kritischer Infrastrukturen müssen dem BSI zum 1. Mai 2023 und danach alle zwei Jahre nachweisen, dass sie die KRISTIS-Anforderungen erfüllen.

Verstöße richten sich nach der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) und gehen durchaus ins Geld – von bis zu 20 Millionen Euro ist hier die Rede.

Einige grundlegende Anforderungen sind für alle Betreibenden kritischer Infrastrukturen gleich und darauf basiert die Handreichung des BSI, die sogenannte „BSI-Orientierungshilfe“. Weitere Standards gelten zusätzlich, jedoch branchenspezifisch.

Das BSI gibt keine konkreten Technologien an, die eingesetzt werden sollen. Unbestritten reicht der Einsatz von klassischen Antivirenprogrammen nicht aus.

Lesenswert in dem Zusammenhang mit den eingesetzten Produkten ist die Publikation „Empfehlungen zu Entwicklung und Einsatz von in Kritischen Infrastrukturen eingesetzten Produkten“ von UP KRITIS (eine öffentlich-­private Kooperation von Betreibenden kritischer Infrastrukturen, Verbänden und staatlichen Stellen) .

Laut BSI-Orientierungshilfe müssen die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen der Systeme zur Angriffserkennung einschließlich der dabei aufgedeckten Sicherheitsmängel und der erreichte Reifegrad übermittelt werden.

Das Umsetzungsgradmodells soll die Qualität von Systemen zur Angriffserkennung sukzessive erhöhen. Anhand des Reifegrades wird deutlich, ob es noch Potenziale oder Handlungsbedarf zur Optimierung der IT-Sicherheit bzw. beim Einsatz der SzA gibt. Je niedriger der Reifegrad, desto mehr Handlungsbedarf besteht.

Die OH gibt des Betreibenden einen groben Rahmen und ermöglicht damit Spielraum für eine individuelle Umsetzung. Dabei sind die
Formulierungen in OH und dem Umsetzungsgradmodell angelehnt an den IT-Grundschutz vom BSI.