Magazin | Ausgabe 1 2023 Im Mai 2021 wurde das IT-Sicherheitsgesetz 2.0, kurz IT-SiG 2.0, im deutschen Bundesrat gebilligt. Betreiber von kritischen Infrastrukturen sind gesetzlich verpflichtet, bis zum 1. Mai 2023 Systeme zur Angriffserkennung (SzA) einzuführen. Für Energieversorger bedeutet dies: Alle Anlagen mit einer Erzeugerleistung von größer 104 MW bzw. 36 MW Primärregelleistung sowie alle Schwarzstartanlagen fallen unter diese Regelung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte über ein Jahr nach Inkrafttreten des Gesetzes, am 26. September 2022, eine Orientierungshilfe. Sie ist allgemein gehalten, denn sie deckt viele verschiedene Sektoren (Strom, Wasser, Telekommunikation, etc.) mit teilweise unterschiedlichen Anforderungen ab und räumt keinem Hersteller bzw. keiner speziellen Technologie Vorrang ein. Das Problem mit den SzAs Im Gesetzestext steht unter § 8a, (1a): „… angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung …“ Dabei wird nicht festgelegt, was SzAs im Sinne des Gesetzes sind. Auch die Orientierungshilfe bietet nur allgemeine Empfehlungen an. Genügen etwa existierende Virenscanner oder Logmanagementsysteme? Security-Expert:innen und renommierte Berater:innen sagen: „Leider nein!“ Die Betreiber werden nicht umhinkommen, eine netzwerkbasierte Angriffserkennung zu etablieren, um Ausfälle durch Cyberattacken zu minimieren und gezielte Angriffe schnellstmöglich zu erkennen. Die Betreiber haben die Wahl zwischen drei unterschiedlichen Verfahren: › signaturbasierte, › lernbasierte (Anomalie-Detektion), › und auf Spezifikationen basierte, bekannt als Allowlist bzw. Whitelisting-Ansätze Signaturbasierter Ansatz Bei diesem Ansatz geht man davon aus, dass es ausreichend aktuelle Signaturen für alle Komponenten in den OT-Netzen der KRITIS-Betreiber gibt. Dieses Verfahren ist fehleranfällig, da häufig sogenannte „false positives“ auftreten. Das System warnt vor scheinbaren Angriffen, die jedoch gewollte Operationen und keine Attacken sind. Lernbasierter Ansatz Dieser Ansatz versucht obiges Problem zu lösen, indem die zu schützende Anlage ausreichend lang „beobachtet“ wird (mehrere Wochen). Nach der Lernphase setzt sich der Hersteller dieser Lösung »Die Betreiber werden nicht umhinkommen, eine netzwerkbasierte Angriffserkennung zu etablieren, um Ausfälle durch Cyberattacken zu minimieren und gezielte Angriffe schnellstmöglich zu erkennen.« Thomas Friedel, Sales Manager Cybersecurity, OMICRON 23
RkJQdWJsaXNoZXIy NTkxNzY=