Mai 2023 rückt immer näher

Aktuelles

Mit dem BSIG Kritis-Gesetz und §8a hat das BSI eine belastbare Grundlage geschaffen, das Sicherheits-Niveau in kritischen Infrastrukturen zu erhöhen. Die herausfordernde Deadline zur Umsetzung wurde dabei auf den 1. Mai 2023 festgelegt. Die Ernsthaftigkeit dieses Termins wird durch das Erinnerungsschreiben bekräftigt, dass das BSI gerade postalisch verteilt.

Der Start

Nicht nur für diejenigen, die sich selbst nicht als Zielgruppe für die Gesetzgebung gesehen hatten und gerade durch das Anschreiben des BSI eines Besseren belehrt werden, haben eine sportliche Zeit „bis Mai 2023“ vor sich. Blicken wir aktuell (28.02) auf den Mai, so werden die kommenden Wochen und Monate wie im Flug vergehen. Das liegt nicht nur an der Komplexität der Anforderung, sondern auch an vielem mehr.

Unabhängig davon, wie das eigene Unternehmen aufgestellt ist, „alles aus eigener Kraft“ wird man nicht umsetzen können. Egal ob es um die Sensorik für die Detektion von Anomalien, das automatisierte Auslesen und Aufbereiten von Logdaten, das Etablieren eines SIEM oder die Prozessgestaltung zur Begleitung der TOMs (Technisch Organisatorischer Maßnahmen) geht: Die Hürde ist unterschiedlich hoch, je nachdem welche Aufgaben bereits in der Vergangenheit erledigt wurden. Natürlich wird es einfacher, wenn über die Anforderungen und Zertifizierungsmaßnahmen hinaus bereits weitere Schritte unternommen wurden.

Die Frage, die sich dann zwangsläufig stellt ist, welche Prozesse man auslagern möchte und welche man selbst im Unternehmen behält. Gerade bei einer herausfordernden Zeitleiste, ist die Auslagerung von Teilaktivitäten grundsätzlich ein möglicher Schritt. Das gilt allerdings nur, wenn die Übergabeprozesse entsprechend sauber definiert sind. Ein valider Weg ist auch hier, zeitweise auszulagern und Themen später wieder ins eigene Unternehmen zurück zu ziehen.

Wenn definiert ist, was im Unternehmen bleiben soll (und was nicht), stellt sich die Frage nach den Anbietern. Für SOC (Security Operation Center) bzw. CDC (Cyber Defense Center) gibt es einige Anbieter am Markt, die hierfür in Frage kommen. Auch solche, die sich explizit für kritische Infrastrukturen aufgestellt haben und Zusatzpakete anbieten. Die Frage nach dem richtigen Anbieter stellt sich nicht nur organisatorisch, sondern auch technisch. Beispielsweise bei der Frage, ob die bestehende Infrastruktur mit dem Anbieter kompatibel ist.

Die meisten Unternehmen im KRITIS Bereich verfügen bereits über eine SIEM (Security Information and Event Management) Lösung. Diese Daten bilden häufig die Ausgangslage für die Anomalieerkennung. Letztlich entscheidet die Qualität der Daten sowie die Interoperabilität im Austausch mit dem SIEM darüber, welcher Anbieter auf technischer Seite in Frage kommt.

Damit das SIEM alle relevanten Daten beinhaltet, ist es wichtig, über ein Infrastruktur-Projekt geeignete Sensorik und Messtechnik im Netzwerk zu implementieren, das Daten sammelt und Anomalien detektiert. Es ist also mit der Einführung eines SIEMs alleine noch lange nicht getan. Dennoch ist das SIEM als Ausgangsbasis ein wichtiger Schritt, um Daten aggregieren zu können. Das wird auch in Richtung CDC Anbieter wichtig, wenn sich die Frage stellt, welche Daten ausgeleitet und beim CDC analysiert werden sollen.

Der Ausbau

Generell durchlaufen Themen in der Informations-Sicherheit einen Reifegrad. Nicht direkt bei Implementierung funktionieren Geräte, Meldungen und Konzepte wie erwartet. Es ist deshalb nach der Implementierung mit einer Anlernphase zu rechnen, die ggfs. auch zeitversetzt startet. Das Thema Anomalieerkennung erfordert also eine Anlernphase für die Systeme, um eine Basis für „den normalen Zustand“ zu erleben. Die Sensorik kann ggfs. bereits verbaut sein, die Meldungen laufen aber erst später in die Anomaliedetektion. Es gilt die neuralgischen Punkte des Prozesses im Auge zu behalten und in beide Richtungen zu testen, damit die einzelnen Puzzleteile letztlich ein stimmiges Bild ergeben.

Mit der Startdefinition wurden Annahmen erarbeitet, die für die Zusammenarbeit gelten. Diese werden nach der Anlernphase ggfs. noch einmal hinterfragt. Dabei soll geprüft werden, ob die erwarteten Zustände der Erkennung, in den Datensätzen und in der Übertragung zum Anbieter, funktionieren. Auch der Rückweg muss getestet und ggfs. überprüft werden.

Bevor man den Schritt in den Live-Betrieb geht, ist es ratsam, den gesamten Prozess zu testen, um zu sehen, ob die erdachten Schnittstellen erfolgreich ineinander greifen, egal ob organisatorisch oder technisch. Im Anschluss wird der Live-Betrieb initiiert und dann engmaschig überwacht.

In all diesen Phasen sind begleitende Schritte wie die Dokumentation- und Nachweisführung hilfreich, um bereits zur Implementierung auch in Richtung Nachweis-Anforderungen des BSI hin zu arbeiten. Parallel zu allen Schritten ist deshalb sinnvoll, den GAP zwischen aktuellem Stand und den Anforderungen des BSI im Blick zu haben. (Siehe BSIG Kritis-Gesetz und §8a Kapitel „konkrete Ausgestaltung“).

Vorheriger Beitrag
KI und was sie für die Sicherheit bedeutet
Nächster Beitrag
Kronjuwelen des Unternehmens

Aktuelles von CYBEResilienz

Hier lesen Sie Aktuelles rund um Themen zu Cyber-Attacken, wie man sich schützen kann und wie CYBEResilienz Ihnen hilft, Ihre Systemlandschaft sicherer zu machen.

Kategorien