IT-Sicherheitsgesetz 2.0

Angriffserkennung wird zur Pflicht

von - 05.05.2022
Foto: TÜV Rheinland
Ab Mai 2023 sind Systeme zur Angriffserkennung bei Betreibern kritischer Infrastrukturen vorgeschrieben. Diese Frist ist ambitioniert, doch eigentlich müsste es noch viel schneller gehen.
Unternehmen, die kritische Dienstleistungen für die Versorgung der Bevölkerung erbringen, müssen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) seit 2019 nachweisen, dass Cyberangreifer bei ihnen kein leichtes Spiel haben, so das BSI. Die Betreiber kritischer Infrastrukturen (KRITIS) müssen dafür IT-Sicherheitsmaßnahmen nach dem Stand der Technik umsetzen.
Was als Stand der Technik gilt und damit zu den verpflichtenden IT-Sicherheitsmaßnahmen gehört, ändert sich, zum einen durch die fortschreitende Entwicklung in der IT-Security, zum anderen durch neue gesetzliche Vorgaben. Mit dem IT-Sicherheitsgesetz 2.0 wurden die Richtlinien zur „Sicherheit in der Informationstechnik Kritischer Infrastrukturen“ erweitert: „Die Verpflichtung, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung.“
Das Gesetz erläutert für einen Rechtstext relativ ausführlich, was ein solches System können muss: „Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“
Auch wenn das Gesetz die Forderung nach einem System zur Angriffserkennung erläutert, sind damit die betroffenen KRITIS-Einrichtungen noch lange nicht in der Lage, die Anforderung gesetzeskonform umzusetzen.

Systeme zur Angriffserkennung (Auswahl)

Anbieter

Produkt

Funktionen

Besonderheiten

Achtwerk https://acht-werk.de

IRMA – Industrie Risiko Management Automatisierung

IRMA nutzt Machine Learning und erzeugt die bestätigte Baseline (Normalzustand der Produktionsanlagen). Anomalien und somit Angriffe werden laut Anbieter nach den Anforderungen der Empfehlung des BSI erkannt

Durch die statistische Analyse der Netzwerkverkehrsdaten werden Anomalien, Störungen und andere Sicherheitsbedrohungen innerhalb geschützter Netzwerke aufdeckt

Ausecus www.ausecus.com

KRITIS Defender

Angriffserkennungsservice

Angriffserkennung für Leit- & Fernwirktechnik, Office IT und Prozesstechnik,  schützenswerten Informationen bleiben laut Anbieter in  der eigenen Infrastruktur

Cybersense
https://cybersense.de

Cybersense Deception

Nutzung von Lockmittel (vorgetäuschte Angriffsziele und Informationen), Alarm per E-Mail, SMS sowie durch Anbindung an vorhandene Systeme (Ticketsystem, SIEM, Monitoring) oder Security Fabrics verschiedener Hersteller

Cybersense Deception basiert auf Täuschung der Angreifer und soll so Fehlalarme vermeiden

Dhpg IT-Services www.dhpg.de

SOCaaS/SIEMaaS

NIDS (Network Intrusion Detection System) zur Überwachung des gesamten Netzwerkdatenverkehrs

Intelligenz ISA (Intelligent Security Analysis), die die Analysten in der Leitstelle bei der Bewertung der eingehenden Events durch ein selbstlernendes Scoring- und Analyseverfahren unterstützt, Modul SOC-V-Scan für aktive Schwachstellensuche im Netzwerk

EnBW
www.enbw.com

EnBW Full Kritis Service

EnBW Cyber Defense Center, IT- und OT-Monitoring über ein zentrales Cockpit als Managed Service

IT- und OT-Risikoerkennungsmodule analysieren Daten und Logquellen der Infrastruktur, Events mit einem Auffälligkeitsverhalten werden in Advanced Correlation Engine zusammengefasst, bewertet und je Use Case oder Ereignis an das Risk & Security Intelligence Team zur Bearbeitung weitergeleitet

Genua
www.genua.de

cognitix Threat Defender

AI-gestützte Angriffserkennung

Mit Artificial Intelligence und Data Analytics gruppiert der Threat Defender Netzwerkteilnehmer verhaltensabhängig, so der Anbieter. Er reagiert automatisch auf verändertes oder unerwünschtes Verhalten und kann auffälligen Netzwerkteilnehmern bei einer Anomalieerkennung den Zugang zu bestimmten Ressourcen entziehen.

Rhebo
https://rhebo.com/de/

Rhebo Industrial Protector

OT Sicherheitsmonitoring, Intrusion & Threat Detection für industrielle Prozesse

Kombination mit Network Condition Monitoring, verdächtiges Verhalten in der OT erkennen und Störungen bei Anlagen verhindern

SecXtreme
www.sec-xtreme.com

honeyBox enterprise

verschiedene Angriffserkennungssysteme, die auf dem Honeypots Prinzip basieren

Honeypots binden Ressourcen des Angreifers in wichtigen Phasen der Attacke

Telent
www.telent.de

Angriffserkennung

Anomalieerkennung und Stabilitätsüberwachung

europäische Lösungen zur Angriffserkennung, die wahlweise auch passiv, ohne auf  Systeme und Prozesse Einfluss zu nehmen, arbeiten
Seite
  1. Teil: Angriffserkennung wird zur Pflicht
  2. Teil: Branchen fühlen sich überfordert
  3. Teil: Technische Systeme allein reichen nicht
Verwandte Themen

Mehr zum Thema