- Neue BSI Orientierungshilfe definiert Anforderungen zum “Einsatz von Systemen zur Angriffserkennung”
- Betreibende Kritischer Infrastrukturen stehen insbesondere bei der Umsetzung in der Operational Technology unter Zeitdruck
- Rhebo unterstützt Unternehmen zeiteffizient mit gezielten Maßnahmen bis Reifegrad 3 und darüber hinaus
Kritische-Infrastruktur-Unternehmen müssen laut BSIG und EnWG bis zum 1. Mai 2023 ein System zur Angriffserkennung einsetzen, um ihre Informationssysteme sowohl in der IT als auch der OT (Operational Technology wie Netzleit, Fernwirk- und Steuerungstechnik) zu schützen. Dadurch sollen Kritische Infrastrukturen (KRITIS) selbst neuartige und bislang unbekannte Cyber-Angriffe frühzeitig erkennen und dadurch Schaden vermeiden oder zumindest reduzieren können.
Unsicherheit, was System zur Angriffserkennung in Unternehmen leisten muss
Die Forderung setzt insbesondere Betreibende aus den Sektoren der Grundversorgung (Energie, Gas, Wasser) unter Druck. Deren kritische Dienstleistungen werden vorrangig über OT-Netzwerke gesteuert, die – im Gegensatz zur IT – in der Regel über keine bis sehr mangelhafte Möglichkeiten verfügen, die Kommunikation und Prozesse auf System- und Geräteebene vor Cyberangriffen zu schützen.
»In den KRITIS-Branche herrscht eine große Unsicherheit in Bezug auf die Umsetzung dieser gesetzlichen Vorgaben in den industriellen, automatisierten Netzwerken«, erläutert Rhebo-CEO Klaus Mochalski. »Nicht selten wurde fälschlicherweise davon ausgegangen, dass ein Security Information & Event Management System (SIEM) die Forderung erfüllt. Jedoch berücksichtigt ein SIEM in der Regel ausschließlich die IT und nicht die OT«.
Aus diesem Grund hat das BSI im Juni 2022 eine Orientierungshilfe zum “Einsatz von Systemen zur Angriffserkennung” herausgegeben, in dem grundlegende Eigenschaften als MUSS- und KANN-Forderungen definiert sind. Insgesamt listet das Dokument über 60 konkrete Anforderungen, an denen sich Betreibende Kritischer Infrastrukturen orientieren sollen. Damit Unternehmen eine schnelle Übersicht über alle Anforderungen erhalten, hat Rhebo diese strukturiert in einer Matrix aufbereitet (hier).
MUSS-Anforderungen stehen im Vordergrund
Die Orientierungshilfe des BSI zum »Einsatz von Systemen zur Angriffserkennung« stimmt damit im Wesentlichen mit den Empfehlungen von Rhebo sowie den seit 2016 erhältlichen Funktionalitäten des von Rhebo etablierten OT-Monitoring mit Anomalieerkennung für OT-Netzwerke überein. Mit den dedizierten Lösungen für OT Security, IIoT Security sowie AMI Security (Advanced Metering Infrastructure) bietet Rhebo einfache, fokussierte und schnell integrierbare Werkzeuge, um die Anforderungen an die kontinuierliche Protokollierung der Netzwerkkommunikation und Detektion sicherheitsrelevanter Ereignisse in der OT zu erfüllen und eine schnelle Reaktion auf Vorkommnisse zu gewährleisten.
»Wir empfehlen Betreibenden Kritischer Infrastrukturen, sich bis zur Fristsetzung im Mai 2023 auf die Erfüllung der MUSS-Kriterien zu konzentrieren«, so Klaus Mochalski. »Damit gehen Unternehmen sicher, den Reifegrad 3 für ihr Cybersicherheitssystem zu erreichen und somit ein solides Fundament für den kontinuierlichen Verbesserungsprozesses der Cyberresilienz zu besitzen«. Gemäß des internationalen Sicherheitsstandards ISO 27001 erreicht ein Cybersicherheitssystem dann den Reifegrad 3, wenn »der Prozess [...] vollständig umgesetzt und dokumentiert« ist.
Rhebo und sein Partnernetzwerk von Technologie- und Beratungsunternehmen unterstützen das Erreichen dieses Reifegrades in der OT und IT in wenigen Monaten – und somit fristgerecht zum 1. Mai 2023. Die Übersichtsmatrix aller Anforderungen und Erfüllungsgrade durch Rhebo kann hier heruntergeladen werden.
Klaus Mochalski spricht am 29. September 2022 auf dem 32. BSI-Sicherheits-Tag in Dresden und beantworten Fragen im Rahmen der Paneldiskussion »KRITIS und NIS RL: Was bedeutet der angepasste Rechtsrahmen für mein Unternehmen?«