Strenge Nachweis– und Meldepflichten sind für Betreiber Kritischer Infrastrukturen (KRITIS) nichts neues. Bereits seit 2019 müssen alle Unternehmen und Organisationen, die kritische Leistungen für die Versorgung der Bevölkerung erbringen, gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen, dass sie sich nach „dem Stand der Technik“ gegen Cyberangriffe rüsten. So weit. So herausfordernd genug. Doch ab Mai 2023 erreicht die Nachweispflicht ein neues Level – und stellt KRITIS-Betreiber vor große Herausforderungen. Grund dafür ist das IT-Sicherheitsgesetz 2.0, das bereits im Mai 2021 in Kraft getreten ist und im Mai 2023 seine volle Wirkung entfalten wird. Denn es hat die Richtlinien zur „Sicherheit in der Informationstechnik Kritischer Infrastrukturen“ spürbar erweitert.
KRITIS: Ab Mai 2023 wird SIEM zur Pflicht
- Managed Security
- Security & Compliance
Warum wird SIEM für KRITIS zur Pflicht?
Das IT-Sicherheitsgesetz 2.0 fordert von KRITIS-Betreibern ab Mai 2023 explizit Systeme zur Angriffserkennung. Dazu heißt es in §8a (1a) des Gesetzes: „Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“ Damit ist klar: Um diesen Anforderungen gemäß dem aktuellen Stand der Technik gerecht werden zu können, kommen KRITIS-Betreiber nicht mehr an Technologien wie dem Security Incident Event Management (SIEM) vorbei. Was SIEM ist und was es ganau kann, haben wir für Sie hier ausführlich zusammengefasst. Um es hier kurz auf den Punkt zu bringen:
- SIEM sammelt in Echtzeit alle sicherheitsrelevanten Informationen Ihrer gesamten IT-Infrastruktur
- SIEM setzt alle Daten in Beziehung zueinander und findet relevante Korrelationen
- SIEM analysiert die Daten und findet so außergewöhnliche Muster und Trends, die auf Angriffe hinweisen
- SIEM erkennt sofort Auffälligkeiten in Ihrem System und meldet sie in Echtzeit
- SIEM ermöglicht Ihnen schnelle Reaktionen und vereinfacht die lückenlose Nachverfolgung von Angriffen
Wie kann ich SIEM in meinem Unternehmen umsetzen?
Für die genaue Umsetzung der Anforderungen bietet das BSI Orientierungs- und Auslegungshilfen sowie Leitlinien und Empfehlungen an. Im Sommer 2022 hat es die „Orientierungshilfe für Systeme zur Angriffserkennung“ veröffentlicht. Darin wird entlang der drei Phasen Protokollierung, Erkennung und Reaktion genauer definiert, was Betreiber von kritischen Infrastrukturen umsetzen sollten, um einen ausreichenden Nachweis im Rahmen der KRITIS-Prüfungen ab 2023 erbringen zu können.
Wer sich eigenständig der Herausforderungen stellen möchte, die Anforderungen zu erfüllen sollte mindestens drei BSI-Dokumente gründlich studieren. Dazu zählen:
Darum ist SIEM für die wenigsten KRITIS-Betreiber selbstständig umsetzbar
Die Praxis zeigt jedoch: Die selbstständige Umsetzung dieser Anforderungen stellt viele KRITIS-Betreiber vor nahezu unlösbare Herausforderungen, zumal sie dem BSI in absehbarer Zeit bereits die erfolgreiche Inbetriebnahme nachweisen müssen. Denn klar ist: Wer ein eigenes SIEM ans Laufen bringen möchte, muss mit einem erheblichen finanziellen und personellen Aufwand rechnen.
Die Gründe dafür liegen auf der Hand. Um derart weitreichende Systeme zur Angriffserkennung effizient einsetzen zu können, müssen Sie nicht nur in geeignete Hard- und Software investieren. Sie müssen darüber hinaus auch erst einmal Prozesse für das Monitoren, Erkennen, Analysieren, Alarmieren und Reagieren im Unternehmen schaffen. Realistisch gesehen müssen diese Aufgaben von einem hochqualifizierten SOC-Team übernommen werden, einem Security Operation Center. Und auch das muss in der Regel erst aufgebaut und unterhalten werden. Schon vor Inkrafttreten des Sicherheitsgesetzes 2.0 machten betroffene Vertreter daher darauf aufmerksam, dass die Umsetzung für viele nicht leistbar sei. Gleichzeitig machte der Gesetzgeber schnell klar: Wer sich nicht an die Vorgaben hält, zahlt empfindliche Bußgelder.
Managed SIEM: So können Sie SIEM wirtschaftlich einführen und nutzen
Müssen sich KRITIS-Unternehmen also damit abfinden, den hohen Sicherheits-anforderungen nicht gerecht werden zu können? Auf keinen Fall. Denn nahezu alle beschriebenen Herausforderungen lassen sich dann schnell lösen, wenn ich SIEM als Managed Service nutze. Kurz: Managed Siem. Mit Managed Siem sparen Sie nicht nur finanziell, sondern schonen auch eigene personelle Ressourcen ohne dabei auf echtes Fach-Know-How verzichten zu müssen. Im Gegenteil: Mit Managed Siem von connecT haben Sie 24/7 einen starken SIEM-Partner an Ihrer Seite, der Sie bei der Erfüllung Ihrer BSI-Anforderungen unterstützt. Denn Managed SIEM bedeutet:
- connecT MANAGED SIEM sammelt für Sie in Echtzeit alle sicherheitsrelevanten Informationen Ihrer gesamten IT-Infrastruktur
- connecT MANAGED SIEM setzt alle Daten in Beziehung zueinander und findet relevante Korrelationen
- connecT MANAGED SIEM analysiert für Sie die Daten und findet so außergewöhnliche Muster und Trends, die auf Angriffe hinweisen
- connecT MANAGED SIEM erkennt für Sie sofort Auffälligkeiten in Ihrem System und meldet sie in Echtzeit
- connecT MANAGED SIEM ermöglicht Ihnen schnelle Reaktionen und vereinfacht die lückenlose Nachverfolgung von Angriffen
Kurz zusammengefasst:
- Das IT-Sicherheitsgesetz 2.0 entfaltet ab Mai 2023 seine volle Wirkung für KRITIS-Unternehmen
- Ab Mai 2023 sind für KRITIS-Betreiber Systeme zur Angriffserkennung Pflicht
- Ohne Technologien auf dem “Stand der Technik” wie SIEM werden KRITIS-Unternehmen den Anforderungen nicht gerecht warden können
- Die eigenständige Umsetzung eines SIEM führt zu hohen finanziellen und personellen Aufwänden
- Mit Managed Siem haben KRITIS-Unternehmen die Chance, Systeme zur Angriffserkennung wirtschaftlich nachzuweisen