Mit dem IT-Sicherheitsgesetz 2.0 wurde im Mai 2021 die Verpflichtung zum Einsatz von Systemen zur Angriffserkennung (SzA) für KRITIS-Betreiber erlassen. Am 01. Mai 2023 endet die zweijährige Übergangsfrist zur Umsetzung der neuen Anforderung. Axel Amelung, Senior Account Manager bei der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA, beschäftigt sich bereits seit Jahren intensiv mit dem IT-Sicherheitsgesetz und dessen praktischer Umsetzung. Im Interview spricht er über die Anforderungen rund um Systeme zur Angriffserkennung und darüber, was Unternehmen jetzt noch tun können.
Herr Amelung, was ändert sich konkret zum 1. Mai dieses Jahres?
Erstmal muss unterschieden werden zwischen allgemeinen KRITIS-Betreibern und Energieversorgern und -erzeugern, da bei letzterem andere Regulierungen gelten. Für Kritische Infrastrukturen allgemein gilt der §8a, Absatz 1a BSIG, der die Verpflichtung zur Implementierung von Systemen zur Angriffserkennung bis spätestens 01.05.23 vorsieht, was auch alle zwei Jahre geprüft und somit nachgewiesen werden muss. Dafür werden Nachweispflichten, die KRITIS-Betreiber ohnehin schon haben, um die SzA-Prüfung ergänzt. Im Prinzip kommt somit keine komplett neue Prüfung auf die Unternehmen zu, die bestehende wird nur umfangreicher.
Was passiert, wenn diese Prüfung erst kürzlich abgelegt wurde?
In dem Fall werden auch die SzA erst mit der nächsten regulären Prüfung nachgewiesen. Wichtig ist aber, dass die Implementierung trotzdem bis zum 1. Mai 2023 stattgefunden haben muss. Kommen KRITIS-Betreiber dem nicht pünktlich nach, kann das BSI entsprechende Sanktionen verhängen. Und wenn tatsächlich nach dem Stichtag ein Cyberangriff mit möglichem Datendiebstahl stattfindet und dieser durch ein SzA hätte verhindert werden können, stellt sich zumindest die Frage einer Organhaftung wegen grober Fahrlässigkeit, weil man eine Rechtspflicht nicht umgesetzt hat. Man sollte in dem Zusammenhang aber auch erwähnen, dass der überwiegende Teil der Unternehmen dies sehr ernst nimmt und der Verpflichtung bereits frühzeitig nachgekommen ist. Wir haben bereits viele Rückmeldungen unserer KRITIS-Kunden bekommen, dass sie mit ihren implementierten SzA sehr gute Erfahrungen gemacht haben. Uns sind inzwischen Angriffe bekannt, die tatsächlich frühzeitig erkannt und erfolgreich eingedämmt werden konnten.
Und wie sieht es mit den Energieversorgern und -erzeugern aus?
Bei diesen Unternehmen ist die Rechtslage etwas anders, denn sie sind nach dem Energiewirtschaftsgesetz (EnWG) reguliert. Dieses wurde ebenfalls durch das IT-Sicherheitsgesetz 2.0 geändert, indem die Implementierung von Systemen zur Angriffserkennung ergänzt wurde. Auch hier gilt der 1. Mai 2023 als Stichtag für die Einführung. Anders als bei allgemeinen KRITIS-Betreibern muss der erste Nachweis dem BSI gegenüber aber bis zu diesem Stichtag erfolgen.
Ist das denn in der Praxis wirklich umsetzbar?
Bei insgesamt mehr als 1.500 Energieversorgern in Deutschland stauen sich so kurz vor dem Stichtag bei Prüfunternehmen wie der TÜV TRUST IT natürlich die Anfragen. Zudem herrscht bei vielen betroffenen Betreibern Unklarheit über die Anforderungen an die Prüfung, weil diese sich zwischenzeitlich mehrfach geändert haben. Klar ist: Eine Selbstprüfung ist nicht zulässig. Prüforganisationen haben aber definitiv nicht genug Kapazitäten, um bis zum 1. Mai alle Prüfungen abzunehmen. Daher ist es Energieversorgern und -erzeugern ausnahmsweise möglich, eine Fristverlängerung beim BSI zu erwirken, wenn nachweislich kein Prüftermin bis zum Stichtag angeboten werden konnte. Hier unterstützen wir auch gerne bei der Kommunikation mit dem BSI. Wichtig ist aber zu beachten, dass durch diese Ausnahmeregelung die Verpflichtung zur Implementierung eines SzA trotzdem unverändert bestehen bleibt.
Wie können Sie Unternehmen außerdem im Rahmen der SzA-Implementierung unterstützen?
Unternehmen, die aus unterschiedlichsten Gründen bisher kein SzA etabliert haben und das jetzt noch in Angriff nehmen wollen, bieten wir in Zusammenarbeit mit unserem Joint Venture, der Certified Security Operations Center GmbH (CSOC), auch kurzfristig die Implementierung von Systemen zur Angriffserkennung an. Diese Lösung ist insbesondere auch für kleine und mittelständische Energieversorger bestens geeignet. Außerdem führen wir Workshops inklusive einer individuellen Analyse im Unternehmen durch und geben auf Basis der Analyseergebnisse Ratschläge für notwendige und sinnvolle Maßnahmen. Auch bei der Anbieterauswahl stehen wir unseren Kunden gerne zur Seite. Und letztlich führen wir auch die Nachweisprüfungen im Rahmen von §8a bei allgemeinen KRITIS-Anbietern durch. Bei den Energieversorgern sind grundsätzlich die Zertifizierungsstellen auf Grundlage der Konformitätsbewertungsprogramms der Bundesnetzagentur (BNetzA) zuständig. Aufgrund der Engpässe kurz vor dem Stichtag verzichtet das BSI in diesem Jahr aber auf diese Anforderung und wir können auch hier unterstützen.
Welche Anforderungen gibt es außerdem für Prüfer?
Prüfer müssen generell unabhängig und neutral sein sowie die nötige Fachkompetenz mitbringen. Allgemein kann man sagen, wer berechtigt ist, die §8a-Prüfung durchzuführen, der kann auch die Anforderungen an ein SzA prüfen. Als BSI-zertifizierter IT-Sicherheitsdienstleister haben wir als TÜV TRUST IT unsere Kompetenz auf dem Gebiet bereits nachgewiesen. Es ist aber damit zu rechnen, dass das BSI in absehbarer Zeit seine Anforderungen verschärft und eine Akkreditierung für Prüfer auf dem Gebiet eingeführt wird. Wir bleiben hier natürlich am Ball und werden auch künftig alle nötigen Anforderungen erfüllen, um unsere Kunden nicht im Regen stehen zu lassen.
Vielen Dank für das Interview, Herr Amelung!