Angriffserkennung wird zur Pflicht
Technische Systeme allein reichen nicht
von Oliver Schonschek - 05.05.2022
IT-Sicherheitslösungen zur Angriffserkennung werden das Angriffsrisiko im KRITIS-Sektor aber nicht allein senken können. Aus gutem Grund fordert das IT-Sicherheitsgesetz 2.0 neben technischen Maßnahmen auch organisatorische. „Ein KRITIS-Projekt ist kein IT-Projekt, sondern ein Organisationsprojekt, in das alle Unternehmensbereiche integriert werden müssen“, so Jörg Zimmermann, Fachmann für Informationssicherheit beim TÜV Rheinland. „Es ist nicht damit getan, das Thema allein an die IT zu geben.“
Die erfolgreiche und wirksame Umsetzung von Sicherheitsmaßnahmen muss alle zwei Jahre durch ein Audit nachgewiesen werden. „Besonders Unternehmen, die sich bisher nicht haben zertifizieren lassen, müssen sich gründlich auf diese Audits vorbereiten und sollten vorab ein Test-Audit durchführen“, empfiehlt Zimmermann.
Dienstleister sparen Aufwände und Zeit
Nicht nur für die Suche nach Schwachstellen in der Absicherung können Dienstleister für KRITIS-Einrichtungen sinnvoll sein. Auch die Einführung und der Betrieb eines Systems zur Angriffserkennung kann durch die Nutzung entsprechender Security-Services erleichtert werden.
Cloudbasierte und von Drittanbietern verwaltete Lösungsansätze wie SIEMaaS (Security Information and Event Management as a Service) seien eine zeitgemäße Alternative für die Angriffserkennung und -auswertung mit gut kalkulierbaren Kosten, erklärt der Bundesverband IT-Sicherheit in seiner „Handreichung zum Stand der Technik“.
Bedenkt man, dass selbst die Umsetzungsfrist bis Mai 2023 schon zu großzügig sein kann, um folgenschwere KRITIS-Vorfälle zu verhindern, dann sind Services, die zu einer schnelleren Einführung der Angriffserkennung beitragen, umso wichtiger. Spezialisierte Security-Services für den KRITIS-Bereich sind auf dem Markt bereits verfügbar. KRITIS-Einrichtungen sollten keine Zeit verlieren und entsprechende Lösungen für sich prüfen.