Systeme zur Angriffserkennung

Mit dem IT-Sicherheitsgesetz 2.0 wurde im Mai 2021 die Verpflichtung zum Einsatz von Systemen zur Angriffserkennung (SzA) für KRITIS-Betreiber erlassen. Am 01. Mai 2023 endet die zweijährige Übergangsfrist zur Umsetzung der neuen Anforderung. Axel Amelung (Foto: TÜV TRUST IT), Senior Account Manager bei der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA, beschäftigt sich bereits seit Jahren intensiv mit dem IT-Sicherheitsgesetz und dessen praktischer Umsetzung. Im Interview spricht er über die Anforderungen rund um Systeme zur Angriffserkennung und darüber, was Unternehmen jetzt noch tun können.

Herr Amelung, was ändert sich konkret zum 1. Mai dieses Jahres?
Erstmal muss unterschieden werden zwischen allgemeinen KRITIS-Betreibern und Energieversorgern und -erzeugern, da bei letzterem andere Regulierungen gelten. Für Kritische Infrastrukturen allgemein gilt der §8a, Absatz 1a BSIG, der die Verpflichtung zur Implementierung von Systemen zur Angriffserkennung bis spätestens 01.05.23 vorsieht, was auch alle zwei Jahre geprüft und somit nachgewiesen werden muss. Dafür werden Nachweispflichten, die KRITIS-Betreiber ohnehin schon haben, um die SzA-Prüfung ergänzt. Im Prinzip kommt somit keine komplett neue Prüfung auf die Unternehmen zu, die bestehende wird nur umfangreicher.

Was passiert, wenn diese Prüfung erst kürzlich abgelegt wurde?
In dem Fall werden auch die SzA erst mit der nächsten regulären Prüfung nachgewiesen. Wichtig ist aber, dass die Implementierung trotzdem bis zum 1. Mai 2023 stattgefunden haben muss. Kommen KRITIS-Betreiber dem nicht pünktlich nach, kann das BSI entsprechende Sanktionen verhängen. Und wenn tatsächlich nach dem Stichtag ein Cyberangriff mit möglichem Datendiebstahl stattfindet und dieser durch ein SzA hätte verhindert werden können, stellt sich zumindest die Frage einer Organhaftung wegen grober Fahrlässigkeit, weil man eine Rechtspflicht nicht umgesetzt hat. Man sollte in dem Zusammenhang aber auch erwähnen, dass der überwiegende Teil der Unternehmen dies sehr ernst nimmt und der Verpflichtung bereits frühzeitig nachgekommen ist. Wir haben bereits viele Rückmeldungen unserer KRITIS-Kunden bekommen, dass sie mit ihren implementierten SzA sehr gute Erfahrungen gemacht haben. Uns sind inzwischen Angriffe bekannt, die tatsächlich frühzeitig erkannt und erfolgreich eingedämmt werden konnten.

Wie können Sie Unternehmen außerdem im Rahmen der SzA-Implementierung unterstützen?
Unternehmen, die aus unterschiedlichsten Gründen bisher kein SzA etabliert haben und das jetzt noch in Angriff nehmen wollen, bieten wir in Zusammenarbeit mit unserem Joint Venture, der Certified Security Operations Center GmbH (CSOC), auch kurzfristig die Implementierung von Systemen zur Angriffserkennung an. Diese Lösung ist insbesondere auch für kleine und mittelständische Energieversorger bestens geeignet. Außerdem führen wir Workshops inklusive einer individuellen Analyse im Unternehmen durch und geben auf Basis der Analyseergebnisse Ratschläge für notwendige und sinnvolle Maßnahmen. Auch bei der Anbieterauswahl stehen wir unseren Kunden gerne zur Seite. Und letztlich führen wir auch die Nachweisprüfungen im Rahmen von §8a bei allgemeinen KRITIS-Anbietern durch. Bei den Energieversorgern sind grundsätzlich die Zertifizierungsstellen auf Grundlage der Konformitätsbewertungsprogramms der Bundesnetzagentur (BNetzA) zuständig. Aufgrund der Engpässe kurz vor dem Stichtag verzichtet das BSI in diesem Jahr aber auf diese Anforderung und wir können auch hier unterstützen.