Leigh Prather - stock.adobe.com
NIS2: Was zu einem System zur Angriffserkennung gehört
Die neue Cybersicherheitsrichtlinie NIS2 enthält auch die Forderung nach einem System zur Angriffserkennung. Nicht nur KRITIS-Betreiber sollten dies berücksichtigen.
Bereits seit Mai 2023 müssen KRITIS-Betreiber nach IT-Sicherheitsgesetz 2.0 eine passende Lösung zur Angriffserkennung umgesetzt haben und nachweisen können.
Im Mai 2024 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Webseite KRITIS in Zahlen veröffentlicht, auf der grundlegende Kennzahlen zu Kritischen Infrastrukturen (KRITIS) zur Verfügung stehen. Dort werden auch Zahlen zu den Umsetzungsgraden der Systeme zu Angriffserkennung (SzA) nach KRITIS-Sektoren veröffentlicht. Diese basieren auf dem jeweils letzten eingereichten Nachweis, mit dem Betreiber alle zwei Jahre ihre IT-Sicherheit nachweisen müssen.
Die KRITIS-Zahlen zeigen, dass einige Betreiber noch gar kein System zur Angriffserkennung umgesetzt hatten, die Erfüllung aller Anforderungen steht sogar bei vielen Betreibern noch aus, andere dagegen haben sogar die Pflichtaufgaben mehr als erfüllt. Offensichtlich ist die Angriffserkennung aber noch nicht „in trockenen Tüchern“. Dabei ist die Forderung nach einem System zur Angriffserkennung mit NIS2 nicht vom Tisch, im Gegenteil.
Was NIS2 für die Angriffserkennung fordert
Im deutschen Gesetzentwurf zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit NIS2 findet man als Definition: „Systeme zur Angriffserkennung“ sind „durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme, wobei die Angriffserkennung durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten, erfolgt“.
Weiterhin soll für KRITIS-Betreiber gelten, dass die Systeme zur Angriffserkennung dazu in der Lage sein sollten, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen. Dabei soll der Stand der Technik eingehalten werden. Der hierfür erforderliche Aufwand soll zudem nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Anlage stehen.
Nun sind aber nach Definition von KRITIS die Betreiber gerade „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“. Entsprechend dürfte die Verhältnismäßigkeit eines Systems zur Angriffserkennung in aller Regel bei KRITIS gegeben sein.
Was Angriffserkennung bedeutet
Das BSI bezeichnet die Systeme zur Angriffserkennung als eine effektive Maßnahme zur Erkennung von Cyberangriffen und Unterstützung der Schadensreduktion. Die Systeme zur Angriffserkennung sind aber kein definiertes Produkt oder eine ganz bestimmte Lösung, sondern vielmehr eine Kombination aus technischen und organisatorischen Maßnahmen, um Angriffe besser und früher zu erkennen.
Der Begriff „Angriffserkennungssysteme“ bezieht sich also auf eine große Bandbreite an technischen und organisatorischen Maßnahmen, die zur Angriffserkennung dienen. Das BSI hat zur Definition eine Orientierungshilfe (PDF) herausgeben, welche allgemein und branchenübergreifend beschreibt, was unter einem System zur Angriffserkennung zu verstehen ist.
Zum einen müssen die Systeme durch fortlaufende Auswertung der gesammelten Informationen (Protokollierung) sicherheitsrelevante Ereignisse erkennen (Detektion). Dies kann beispielsweise durch Missbrauchserkennung oder Anomalieerkennung erfolgen.
Zum anderen sollten Systeme zur Angriffserkennung Maßnahmen implementieren, um Störungen infolge von Angriffen zu verhindern oder auf sie zu reagieren (Reaktion). Dies kann sowohl durch technische als auch durch organisatorische Maßnahmen umgesetzt werden.
Auch der Branchenverband TeleTrusT hat bereits Hinweise zur Angriffserkennung veröffentlicht, in Verbindung mit dem „Stand der Technik“ (PDF): Für die Auswertung von Anomalien und Erkennung von Angriffen der Unternehmensinfrastruktur werden demnach Security Information and Event Management Systeme (SIEM) eingesetzt. Sie ermöglichen ganzheitlich, sicherheitskritische Events der IT-Infrastruktur in Echtzeit zu erkennen und geeignete Maßnahmen (teilweise automatisiert) durchzuführen.
Warum die NIS2-Verpflichtung nicht alles sein sollte
Es zeigt sich: Systeme zur Angriffserkennung werden schon länger gefordert, KRITIS-Betreiber wurden schon im IT-Sicherheitsgesetz 2.0 dazu verpflichtet und werden es erneut in der Umsetzung der NIS2-Richtlinie.
Allerdings sollten Organisationen, die nicht zu KRITIS gerechnet werden, nicht denken, eine fehlende Verpflichtung nach NIS2 würde bedeuten, ein System zur Angriffserkennung wäre bei ihnen nicht erforderlich.
Vielmehr zeigen die Zahlen zu den enormen Schäden, die Cyberattacken in der deutschen Wirtschaft verursachen, wie wichtig Maßnahmen zur Schadenreduktion und damit zur Erkennung und Abwehr der Attacken sind. Auch wenn NIS2 nicht bei allen die konkrete Forderung aufstellt, geht es bei keiner Organisation ohne Angriffserkennung, wenn es zur Stärkung der Cybersicherheit durch NIS2 kommen soll. Systeme zur Angriffserkennung sollten eingeführt werden, mit NIS2 erst recht.