Der Einsatz eines IDS ist für die von den KRITIS-Betreibern angebotenen Dienstleistungen erforderlich, die zur Versorgung der Allgemeinheit erbracht werden oder bei Beeinträchtigungen der Dienstleistungen zu erheblichen Versorgungsengpässen oder zur Gefährdung der öffentlichen Sicherheit führen können. Dazu gehören die Sektoren Energie, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr, Wasser, Finanz- und Versicherungswesen sowie Ernährung.
§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen
Konkret heißt es in Absatz 1a: „Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“
Das wird für viele KRITIS-Unternehmen nichts Neues sein, da sie ohnehin schon ein IDS/IPS im Einsatz haben – dies gilt es gegebenenfalls zu erweitern, um den neuen gesetzlichen Anforderungen zu genügen. Schwerer wiegt da schon die in Absatz 3 getroffene Regelung: In Zukunft müssen die Unternehmen die Erfüllung der Anforderungen alle zwei Jahre dem BSI nachweisen. Das BSI ist berechtigt, diese Unternehmen zu prüfen, und kann gegebenenfalls erhebliche Bußgelder verhängen.
Fazit
Spätestens jetzt sollte man die Implementation eines Informationssicherheits-Managementsystems (ISMS) in Angriff nehmen, denn nur mit dessen Hilfe können die nötigen technischen und organisatorischen Maßnahmen wirklich strukturiert identifiziert, eingeführt, betrieben, weiterentwickelt und dokumentiert werden. Das ist übrigens nicht nur für KRITIS-Unternehmen empfehlenswert.
Quellen:
https://dserver.bundestag.de/btd/19/261/1926106.pdf
https://www.gesetze-im-internet.de/bsig_2009/__8a.html
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/BSI_Kritis_VO.html
https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Sektorspezifische-Infos-fuer-KRITIS-Betreiber/sektorspezifische-infos-fuer-kritis-betreiber_node.html