Icon IT-Sicherheit
Cloud- & Cyber-Security

BSI-Gesetz macht den Einsatz von Systemen zur Angriffserkennung verpflichtend

Verfasst von: Christian Pinnecke
Berater für Informationssicherheit

Ab dem 1. Mai 2023 müssen alle Betreiber kritischer Infrastrukturen gemäß § 8a „Sicherheit in der Informationstechnik Kritischer Infrastrukturen“ (BSI-Gesetz – BSIG) gegenüber dem BSI (Bundesamt für Sicherheit in der Informationstechnik) den Einsatz von Systemen zur Angriffserkennung (zum Beispiel ein Intrusion Detection System – IDS bzw. ein Intrusion Prevention System – IPS) nachweisen.


Unsere aktuellen Blogbeiträge verwenden eine gendergerechte Sprache. Beiträge vor dem 01.01.2023 haben wir nicht nachträglich überarbeitet. Grundsätzlich legen wir Wert darauf, eine inklusive und respektvolle Kommunikation zu fördern. Vielen Dank für Ihr Verständnis.


Der Einsatz eines IDS ist für die von den KRITIS-Betreibern angebotenen Dienstleistungen erforderlich, die zur Versorgung der Allgemeinheit erbracht werden oder bei Beeinträchtigungen der Dienstleistungen zu erheblichen Versorgungsengpässen oder zur Gefährdung der öffentlichen Sicherheit führen können. Dazu gehören die Sektoren Energie, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr, Wasser, Finanz- und Versicherungswesen sowie Ernährung.

§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen

Konkret heißt es in Absatz 1a: „Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“

Das wird für viele KRITIS-Unternehmen nichts Neues sein, da sie ohnehin schon ein IDS/IPS im Einsatz haben – dies gilt es gegebenenfalls zu erweitern, um den neuen gesetzlichen Anforderungen zu genügen. Schwerer wiegt da schon die in Absatz 3 getroffene Regelung: In Zukunft müssen die Unternehmen die Erfüllung der Anforderungen alle zwei Jahre dem BSI nachweisen. Das BSI ist berechtigt, diese Unternehmen zu prüfen, und kann gegebenenfalls erhebliche Bußgelder verhängen.

Fazit

Spätestens jetzt sollte man die Implementation eines Informationssicherheits-Managementsystems (ISMS) in Angriff nehmen, denn nur mit dessen Hilfe können die nötigen technischen und organisatorischen Maßnahmen wirklich strukturiert identifiziert, eingeführt, betrieben, weiterentwickelt und dokumentiert werden. Das ist übrigens nicht nur für KRITIS-Unternehmen empfehlenswert.

 

Quellen:

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.