Ich komme aus dem Bereich und ich interessiere mich für

Interviews

IT-SiG 2.0: IT Security rechtssicher gestalten

 michael-barth.jpg

Das IT‑Sicherheitsgesetz (IT‑SiG) verpflichtet Betreiber kritischer Infrastrukturen (KRITIS), ihre IT gemäß dem "Stand der Technik" abzusichern. Damit stellt es eine maßgebliche Grundlage für die Ausrichtung von IT-Security-Maßnahmen dar. Die neue, im Mai 2021 in Kraft getretene Fassung,  IT-SiG 2.0, definiert einen erweiterten Geltungsbereich sowie zusätzliche Pflichten für die betroffenen Unternehmen und Behörden. So müssen diese innerhalb eines Jahres ein umfassendes Angriffs-Management durch den Einsatz von Security Incident & Event Management Systemen (SIEM) nachweisen.

Welche Rolle die Anomalieerkennung für KRITIS-Betreiber spielt und was IT-SiG 3.0 mit sich bringt, erläutert Michael Barth, Head of Department Corporate Affairs bei genua, im Experteninterview.

Herr Barth, was sind die zentralen Neuerungen des IT-SiG 2.0?

Michael Barth: Die Erweiterungen zum ursprünglichen IT‑SiG lassen sich auf drei wesentliche Themenfelder herunterbrechen: Erstens, den Kreis der adressierten Zielgruppen und zweitens deren gesetzliche Pflichten. Drittens ist eine umfangreiche Befugnis- und Verantwortungserweiterung für das BSI, dem Bundesamt für Sicherheit in der Informationstechnik, ein zentraler Bestandteil. Das BSI wird damit zur zentralen Stelle für IT-Sicherheit in Deutschland.

Wer ist betroffen?

Michael Barth: Nach wie vor adressiert das Gesetz die Betreiber kritischer Infrastrukturen (KRITIS), die in der BSI-Kritisverordnung benannt sind, also unter anderem die Sektoren Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation.

Die Sektoren wurden um die Kategorie „Unternehmen im besonderen öffentlichen Interesse“ erweitert, die etwa Rüstungsunternehmen oder solche mit einer hohen volkswirtschaftlichen Bedeutung umfasst. Diese müssen sich ebenfalls beim BSI registrieren und erhebliche Störungen ihrer IT-Sicherheit melden. Nach welchen Maßstäben ein Unternehmen konkret dieser Kategorie zugeordnet werden kann, ist allerdings noch offen. Hier sollte man die weitere Entwicklung im Blick behalten, etwa bei Entscheidungen der Monopolkommission.

Des Weiteren wird ein zentraler Fokus auf die Hersteller kritischer IT-Komponenten gelegt. Und die Befugnisse des BSI im Hinblick auf die IT-Sicherheit von Bundesbehörden wird mit dem neuen Legislativ-Akt auf Gesetzesrang gehoben.


Wer in Informations- und Cyber-Sicherheit investiert, investiert automatisch in die eigene Zukunft. Die Vorgaben des IT-SiG 2.0 stellen daher einen wertvollen Orientierungsrahmen für den Weg zu digitaler Souveränität dar.

Michael Barth, Head of Department Corporate Affairs bei genua


Eine zentrale Verpflichtung ist der Einsatz von Systemen zur aktiven Angriffserkennung. Was ist damit gemeint und welche Punkte sind besonders wichtig?

Michael Barth: Generell müssen die genannten Akteure konkrete IT-Sicherheitsvorkehrungen zur Stärkung der Cyber-Sicherheit aufbauen oder vorhandene Systeme entsprechend aufrüsten. Das IT-SiG 2.0 gibt Orientierungspunkte vor, welche Technologien geeignet sind und hat dabei auch die organisatorische Einbindung der Tools im Blick.

Konkret muss der Einsatz von Security Incident & Event Management Systemen (SIEM) innerhalb eines Jahres nachgewiesen werden. Diese sollen laut IT-SiG 2.0 kontinuierlich und automatisch die Daten des laufenden IT-Betriebs mit Parametern, Merkmalen und technischen Mustern abgleichen, die auf Angriffe hindeuten. Das stärkt die Cyber-Security von KRITIS-Betreiber insofern, dass sie Bedrohungen jederzeit identifizieren können. Treten Störungen auf, sollen die Systeme zudem über geeignete Reaktions- und Beseitigungsmaßnahmen verfügen.

Die Formulierung des Gesetzesentwurfes lässt sich allerdings auch in Richtung SOAR ("Security Orchestration, Automation and Response") interpretieren. Tatsächlich ist es ja auch in der Praxis nicht mit einer Erfassung von Security-Risiken getan, sondern es gilt, auf Angriffe möglichst automatisch und rasch mit Gegenmaßnahmen zu reagieren.

Welche Rolle spielt die Anomalieerkennung im IT-SiG 2.0?

Michael Barth: Anomalieerkennung wird als Methode explizit genannt, aber nicht weiter spezifiziert. Schließlich darf der Gesetzgeber keine konkreten Lösungen vorschlagen. Das wäre bei der schnellen Taktung der Digitalisierung und der Veränderung von Standards und Lösungswegen auch nicht sinnvoll.

Die Betonung der "Anomaliedetektion" ist daher als Richtungsvorgabe zu verstehen. Hier zeigt das Gesetz auch die hohe Varianz an Verfahren und Einsatzszenarien auf, die aus der großen Anzahl der verfügbaren SIEM resultieren. Daraus lassen sich erste Anhaltspunkte für die Auswahl und Einführung von IT-SiG-konformen Technologien ableiten. Sollen z. B. vor allem netzwerkinterne Datenflüsse überwacht werden? Oder stehen Daten an den Übergängen zu öffentlichen Netzen im Fokus? Was bieten KI-gestützte Verfahren? Die Anomalieerkennung wird als Methode genannt, "den störungsfreien Betrieb zu erfassen und dann Abweichungen von diesem Zustand zur Detektion zu verwenden".

Wichtig ist an dieser Stelle zudem der Hinweis, dass "der Einsatz der Systeme zur Angriffserkennung erfordert, dass die eingesetzten Erkennungsmuster ständig aktuell gehalten werden". Genau das leistet nur eine Anomalieerkennung in Echtzeit.

Wie wird sich die Anomalieerkennung in den nächsten Jahren weiterentwickeln?

Michael Barth: Bei genua sehen wir zwei wichtige Treiber: zum einen die zunehmende Verbindung mit neuen, immer leistungsfähigeren KI-Technologien, zum anderen die wachsende Komplexität und Dynamik der Netze. Letztere wird sich auf die Qualität der Anomalieerkennung auswirken. Zugleich können es aber Fortschritte in der KI-Entwicklung ermöglichen, mehr und komplexere Daten sinnvoll und performant in der Erstellung von Modellen zu verwenden und dies auszugleichen.

Ist künftig mit weiteren Auflagen seitens der Gesetzgebung zu rechnen, die Investitionen in Technik, Personal oder Dienstleistereinbindung nach sich ziehen könnten?

Michael Barth: Jedes Unternehmen sollte die Investition in IT Security auch immer als eine Investition in die Zukunft betrachten. Wer unabhängig von staatlichen Auflagen agiert und Wert auf eine sichere IT-Infrastruktur legt, muss auch keine Sorge vor neuen Auflagen haben.

Grundsätzlich entwickeln sich die aktuellen Auflagen natürlich ebenso weiter wie die Bedrohungslagen. Derzeit wird zum Beispiel die europäische Richtlinie für Netzwerk- und Informationssicherheit (NIS) überarbeitet, woraus sich neue Auflagen für Unternehmen und Staaten "zur Erhöhung der Widerstandsfähigkeit kritischer physischer und digitaler Einrichtungen" ergeben. Dem soll wiederum das IT-SiG 3.0 Rechnung tragen, über das im BMIBH (Bundesministerium des Inneren, für Bau und Heimat) bereits nachgedacht wird. Hier wird nach derzeitiger Bewertung der Fokus darauf liegen, die zahlreichen Einzelregulierungen in Sachen IT-Sicherheit stärker zu orchestrieren – ein sinnvoller Ansatz.