Sicherheitsvorfälle KRITIS
KRITIS-Betreiber müssen Cyber-Angriffe in KRITIS-Anlagen erkennen, vermeiden sowie Vorfälle an das BSI melden. Dazu sind Prozesse und Technologien wie SIEM und SOC notwendig, um Angriffe erkennen und darauf reagieren zu können. Dies ist seit dem IT-Sicherheitsgesetz 2.0 und Orientierungshilfe SzA verpflichtend.
Die KRITIS-Regulierung fordert Angriffserkennung in §8a (1a) BSIG und definiert Anforderungen in BSI Konkretisierung der Anforderungen. Die Orientierungshilfe Angriffserkennung (OH SzA) vom BSI legt weitere Anforderungen für Logging, Detektion und Reaktion bei Betreibern fest.
| Bereich | BSI-ID | Anforderung |
|---|---|---|
| Orientierungshilfe SzA | SZA-* | Normative Anforderungen für Systeme zur Angriffserkennung |
| Governance | 77-79 81-82 |
Prozesse und Verantwortlichkeiten für Sicherheitsvorfälle |
| Systeme und Auswertung | 80, 90-94 | Systeme und Methoden zur systematischen Auswertung |
| Tests und Schwachstellen | 95-96 | Regelmäßige Penetrationstests und Umgang mit Schwachstellen |
Cyber-Angriffe
Organisation und Steuerung
Für die Behandlung von Sicherheitsvorfällen und Störungen in KRITIS-Anlagen sind in der Informationssicherheit klare Verantwortlichkeiten und Abläufe notwendig. Dafür muss das ISMS Rollen und Prozesse für die Erkennung und Behandlung von Informationssicherheitsvorfällen (IS-Vorfällen) in den KRITIS-Anlagen definieren und im Betrieb implementieren.
| BSI-ID | Anforderung |
|---|---|
| SZA-A | OH SzA A1 bis A5: Allgemeine Anforderungen und Rahmen |
| SZA-G | OH SzA G1 bis G14: Governance |
| BSI-77 | Verantwortlichkeiten und Vorgehensmodell |
| BSI-78 | Bearbeitung von Sicherheitsvorfällen |
| SZA-D | OH SzA D1 bis D14: Erkennung (Detektion) |
| SZA-R | OH SzA R1 bis R5: Reaktion |
| BSI-79 | Dokumentation und Berichterstattung über Sicherheitsvorfälle |
| BSI-81 | Verpflichtung der Nutzer zur Meldung von Sicherheitsvorfällen |
| BSI-82 | Auswertung und Lernprozess |
Orientierungshilfe Systeme zur Angriffserkennung
Die Orientierungshilfe für Systeme zur Angriffserkennung definiert zusätzliche Anforderungen für die Umsetzung der Angriffserkennung bei Betreibern in den drei Phasen Protokollierung, Erkennung und Reaktion, was in KRITIS-Prüfungen nachgewiesen werden muss.
Rollen
Rollen und Aufgaben müssen für Cyber-Vorfälle im KRITIS-Geltungsbereich festgelegt werden. Die Rollen können einzeln oder auch zusammen Teil vom CERT, CSIRT, SOC beim Betreiber sein.
- Leiter IS-Vorfälle: Governance für und Leitung der Vorfallserkennung und -behandlung
- Team IS-Vorfälle: Reaktionsteam zur operativen Bewältigung und Lösung von Vorfällen
Prozesse
Für den Umgang mit Störungen und IS-Vorfällen müssen durch die Informationssicherheit zentrale Prozesse im IT-Betrieb der KRITIS-Anlagen definiert werden, u.a.:
- Detektion: Störungen, Angriffe und IS-Vorfälle müssen anhand von Logs, Mustern und Indikatoren in der IT erkannt und festgestellt werden
- Reaktion: Erkannte Vorfälle müssen von Fachpersonal klassifizert und behandelt, und die weitere Bewältigung eingeleitet werden (zum Incident-/Notfall-/Krisen-Management)
- Meldungen: Festgestellte IS-Vorfälle und Störungen müssen dokumentiert und gemeldet werden, falls diese BSIG-meldepflichtig sind (ggf. über die Meldeorganisation)
- Auswertung: Vorfälle und Bewältigung müssen für Lessons Learned ausgewertet werden
Nachweise
Artefakte als Nachweis für funktionierende Governance für Vorfälle sind u.a.:
- Detektierte Angriffsmuster
- Erkannte Angriffe
- Bewältigte Vorfälle
- Meldungen
Systeme und Auswertung
Um Vorfälle und Cyber-Angriffe in KRITIS-Anlagen zu erkennen, müssen Ereignisse (Events) in den IT-Systemen protokolliert, zentral korreliert und ausgewertet werden. Basierend auf den Informationen aus Log-Dateien von IT-Systemen und SIEM-Lösungen (Indikatoren) kann die Organisation für Sicherheitsvorfälle mit ihren Prozessen tätig werden.
| BSI-ID | Anforderung |
|---|---|
| BSI-80 | Security Incident Event Management (SIEM) |
| BSI-90 | Systematische Log-Auswertung - Konzept |
| BSI-91 | Systematische Log-Auswertung - kritische Assets |
| BSI-92 | Systematische Log-Auswertung – Aufbewahrung |
| BSI-93 | Systematische Log-Auswertung – Konfiguration |
| BSI-94 | Systematische Log-Auswertung – Verfügbarkeit |
| SZA-P | OH SzA P1 bis P5: Protokollierung |
Logs und Assets
In den wichtigen IT-Systemen (kritische Assets) der KRITIS-Anlagen müssen sicherheitsrelevante Ereignisse protokolliert und zentral (geschützt) aufbewahrt werden. Die Ereignisse umfassen in der Regel mindestens alle Vorgänge zu Nutzern, Berechtigungen und Anmeldungen in Systemen und speziell die Aktivitäten von Administratoren oder anderen privilegierten Benutzern. Der Scope der wichtigen IT-Systeme sollte regelmäßig überprüft und angepasst werden.
Systeme
Das IT-Sicherheitsgesetz 2.0 fordert ab 2023 explizit Systeme zur Angriffserkennung: technische Werkzeuge
und unterstützende Prozesse, die kontinuierlich Bedrohungen im laufenden Betrieb mittels Mustern erkennen und vermeiden
.
Die Anforderungen werden in der Orientierungshilfe für Systeme zur Angriffserkennung (OH SzA) präzisiert, womit ab 2023 viel automatische und kontinuierliche Überwachung und Auswertung mittels zentralisierter Systeme verpflichtend wird.
Nachweise
Nachweise für die effektive Auswertungen von Logs und Vorfällen sind u.a.:
- Zentrale Log-Auszüge
- Assets im SIEM
- Ausgewertete Ereignisse
- Indikatoren
Penetrationstests
Mit regelmäßigen Sicherheitstests (Penetrationstests) können KRITIS-Betreiber Angriffe auf die KRITIS-Anlagen simulieren, um Schwachstellen in der IT und OT aufzudecken und die Reaktion der Organisation auf Vorfälle zu überprüfen.
Penetrationstest können zur Awareness im Unternehmen beitragen und neben technischen Schwachstellen systematische Lücken — wie mangelndes Schwachstellen- oder Konfigurations-Management — aufdecken.
| BSI-ID | Anforderung |
|---|---|
| BSI-95 | Penetrationstest |
Nachweise
Artefakte von regelmäßigen und effektiven Penetrationstests sind u.a.:
- Testberichte
- Jahresplanung von Tests
- Maßnahmen
- Geschlossene Schwachstellen
Management von Schwachstellen
Der Umgang mit kritischen Schwachstellen in IT-Systemen und Prozessen muss Vorgaben aus dem ISMS folgen. Dies umfasst Schwachstellen in KRITIS-Anlagen, die durch die Prozesse der Angriffserkennung in Protokollen, Scans oder Tests erkannt werden, aber auch automatisierte Scans durch das Schwachstellen-Management. Zur Behebung ist eine enge Integration mit dem Change-Management der IT und Betrieb notwendig.
| BSI-ID | Anforderung |
|---|---|
| BSI-96 | Umgang mit Schwachstellen, Störungen und Fehlern |
Nachweise
Nachweise für ein effektives Schwachstellen-Management sind u.a.:
- Behobene Schwachstellen
- Kennzahlen aus Scans
- Kennzahlen von Vorfällen
Integration im Unternehmen
Die IS-Vorfallserkennung muss zur Behebung mit weiteren Organisationen vernetzt sein.
- ISMS: Integration der Organisation und Verantwortlichkeiten in übergreifende IS-Governance, Meldung von Trends und Risiken aus der Angriffserkennung ans ISMS, Input zur Bedrohungslage; Austausch zu Schwachstellen, Maßnahmen und Schwerpunkten
- KRITIS-Organisation: Information über Vorfälle, Notfälle und Angriffe als meldepflichtige Störungen der KRITIS-Anlage für die Meldepflicht an das BSI
- IT und Incident Management: Zusammenarbeit bei der Bewältigung von Vorfällen und Störungen in der IT; Schnittstellen zu Change und Configuration Management; Austausch zu operativen Risiken, Bedrohungen und Schwachstellen
- BCM: Meldung von betriebsrelevanten Störungen und Zusammenarbeit bei der Behandlung von IT-Notfällen und Krisen mit dem IT-Notfallmanagement
Weitere Informationen
Literatur
- Orientierungshilfe zur Angriffserkennung (OH SZA) bei KRITIS-Betreibern, OpenKRITIS 2022
- Fragen und Antworten zum Einsatz von Systemen zur Angriffserkennung, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- ENISA-Studie Proactive detection – Measures and information sources, European Union Agency for Cybersecurity, Mai 2020
- ENISA-Studie Proactive detection - Good practices gap analysis recommendations, European Union Agency for Cybersecurity, Mai 2020
- ENISA-Studie ENISA Threat Landscape 2020 - Main Incidents, European Union Agency for Cybersecurity, Oktober 2020
- Kritische Infrastrukturen und weitere meldepflichtige Unternehmen: Einen Vorfall bewältigen, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik
- Die Lage der IT-Sicherheit in Deutschland, Bundesamt für Sicherheit in der Informationstechnik, jährliches Lagebild
Standards
- ISO/IEC 27035-1:2016, Information technology - Security techniques - Information security incident management - Part 1: Principles of incident management, International Organization for Standardization
- ISO/IEC 27035-2:2016, Information technology - Security techniques - Information security incident management - Part 2: Guidelines to plan and prepare for incident response, International Organization for Standardization
- ISO/IEC 27035-3:2020, Information technology - Security techniques - Information security incident management - Part 3: Guidelines for ICT incident response operations, International Organization for Standardization
Quellen
- Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist