
Prüfung §8a Abs. 1a BSIG

Systeme zur Angriffserkennung (SzA)Prüfung der Systeme zur Angriffserkennung (BSIG und EnWG)
Ab dem 01. Mai 2023 sind die Betreiber Kritischer Infrastrukturen dazu verpflichtet, Systeme zur Angriffserkennung nach dem geltenden Stand der Technik einzusetzen, durch unabhängigen Auditoren prüfen lassen und dies gegenüber dem BSI nachzuweisen.
„Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen“ 8§ 8a Absatz 1a Satz 1, 2 BSIG]
Darüber hinaus muss der Einsatz der Angriffserkennungssystemen alle zwei Jahre überprüft und gegenüber dem BSI nachgewiesen werden.
„Betreiber Kritischer Infrastrukturen haben die Erfüllung der Anforderungen nach den Absätzen 1 und 1a spätestens zwei Jahre nach dem in Absatz 1 genannten Zeitpunkt und anschließend alle zwei Jahre dem Bundesamt nachzuweisen“ [§ 8a Absatz 3 Satz 1 BSIG]
FunktionsumfangSysteme zur Angriffserkennung
Mit GAP View Software kann der Umsetzungsgrad der eingesetzten Systeme gemäß § 8 a Absatz 1a BSIG für KRITIS-Betreiber bestimmt werden.
- Kritische Infrastruktur: In der Vorbereitungsphase für ein Audit durch einen unabhängigen Prüfer, können diversen interne Audits für die Feststellung des aktuellen Umsetzungsgrades durchgeführt werden.
- Unabhängiger Prüfer: Führt ein Audit durch und bestimmt den aktuellen Umsetzungsrad gemäß dem Umsetzungsgradmodell (§8 8a Absatz 1a BSIG bzw. § 11 Absatz 1e EnWG.
-
Alle erforderlichen Stammdaten für die Planung und Durchführung einer IS-Revision erfasst. Dazu gehören alle Institutionen und Mitarbeiter, die in der langfristigen IS-Revisionsplanung und an den einzelnen IS-Revisionen beteiligt sind.
-
Die in der IS-Revision involvierten Mitarbeiter der auditierten Institution, das IS-Revisionsteam und Experten ggf. Beobachter werden mit den in der IS-Revision benötigten Informationen, wie z.B. Funktion, Kompetenzen/Qualifikationen und Kontaktdaten erfasst.
- Die für die IS-Revision benötigten Fragenkataloge (Checklisten) können importiert oder manuell erstellt werden. Die gewünschte Checkliste wird in einem dafür konzipierten MS Excel-Tabellentemplate in zwei Registerreitern strukturiert: BSI IT-Grundschutz Baustein/Anforderung und die dazu gehörigen IS-Revisionsfragen (beliebige Anzahl).
- Den einzelnen Sicherheitsanforderungen eines Bausteins in der Checkliste können die geplanten oder geschätzten Auditzeiten zugeordnet werden. Sie werden im weiteren Verlauf der IS-Revisionsplanung verwendet.
- Die erstellte Checklisten werden zentral verwaltet und berechtigten IS-Revisoren zur Verfügung gestellt.
-
Die Grundlage zur Erstellung eines IS-Prüfplans ist die bestehende IT-Grundschutz-Modellierung, aus der sich die Zuordnung der IT-Grundschutz-Bausteine zu den einzelnen Zielobjekten ergibt (Baustein-Zielobjekt). Dafür wird das BSI IT-Grundschutz-Kompendium importiert (XML-Format).
- Gemäß dem Umsetzungsplan Bund 2017 sollen die Bundesbehörden die IS-Revisionen regelmäßig durchführen. Es wird empfohlen ein mehrjähriges IS-Revisionsverfahren in der Institution zu etablieren, in dem die notwendigen organisatorischen und personellen Rahmenbedingungen geregelt sind.
- Erfassung der Grunddaten der IS-Revision, u.a. Bezeichnung, Standort und Art der IS-Revision (Kurz-, Querschnitt- oder Partialrevision), Kommentar über die Beauftragung, ggf. mit einer Kopie der Beauftragung (Anhang) dokumentiert.
- Festlegung der Ziele, Vorgaben und Prüfmethoden
- Dokumentation der organisatorischen und fachbezogenen Dokumente
- Festlegung der Kontaktperson(en), IS-Revisionsteams und Mitarbeiter der Institution
- Erstellung des Revisionshandbuches
-
Grundvoraussetzung einer möglichst genauen IS-Revisionsplanung ist die Festlegung des Zeitrahmens und bestimmter Zeitvorgaben. Dazu gehören u.a. von wann bis wann ist die IS-Revision geplant, Beginn und Ende eines regulären Arbeitstages sowie bestimmte festgelegte Tagestermine. Zu den Tagesterminen gehören u.a.: gesetzlich vorgeschriebene Pausen und unterschiedliche Meetings (Eröffnungs- und Abschlussbesprechung, Besprechungen der IS-Revisoren etc.).
- Einige dieser Termine sind einmalig und andere wiederholen sich täglich während der IS-Revision. Einige dieser Termine sind im Zeitrahmen der IS-Revision zu berücksichtigen (z.B. Meetings) und andere sind zeitneutral (z.B. Mittagspause).
-
Grundlage zur Erstellung des IS-Prüfplans ist die IT-Grundschutz-Modellierung. Aus der Grundschutz-Modellierung ergibt sich eine Zuordnung von Grundschutzbausteinen zu bestimmten Zielobjekten (Baustein-Zielobjekt). Für die stichprobenbasierte Prüfung sind mindesten 30% der modellierten Baustein-Zielobjekte zu berücksichtigen.
-
Die GAP View Software unterstützt das IS-Revisionsteam bei der Auswahl der erforderlichen Anzahl der Baustein-Zielobjekte. Die prozentuelle Berechnung der Stichprobe von mindestens 30% erfolgt automatisch. Zusätzlich werden die Zielobjekte eingetragen und die Prüfungsrelevanz dokumentiert.
-
In der Ressourcenplanung erfolgt die Zuordnung der IS-Revisoren, Experten und der Mitarbeiter zu den einzelnen Schichten, Bausteinen oder Anforderungen. Die einzelnen involvierten Personen können automatisch durch „Vererbung“ mehreren oder allen Schichten, Bausteinen oder Anforderungen zugeordnet werden.
- Neben den Ressourcen werden die verwendeten Prüfmethoden den einzelnen Schichten, Bausteinen oder Anforderungen festgelegt.
-
Die geplanten Aktivitäten im Rahmen der IS-Revision werden automatisch im Kalender eingetragen. Die in den Fragenkatalogen definierten benötigten Zeiten pro Normkapitel werden berücksichtigt.
-
Die automatisch definierten Termine können einfach manuell angepasst (Dauer) und/oder auf andere Tage verschoben werden.
-
Der Kalender kann nach unterschiedlichen Kriterien „filtriert“ werden. Auf diese Art und Weise können die Termine z.B. pro ausgewähltem IS-Revisor oder eines bestimmten Mitarbeiters angezeigt werden.
-
Die einzelnen Kalendereinträge verbergen detaillierte Angaben des geplanten Termins, u.a.: genaue Zeitangaben, Ort/Raum und die Teilnehmer (IS-Revisor(en), Mitarbeiter ggf. Experten).
- Alle geplanten Aktivitäten als IS-Revisionsagenda in Form einer Liste angezeigt werden.
- Ein mit den Verantwortlichen der zu prüfenden Institution abgestimmter IS-Prüfplan enthält alle relevanten Angaben über die anstehende IS-Revision und kann allen Beteiligten zur Verfügung gestellt werden.
- Optional können die festgelegten und abgestimmten Prüftermine allen oder bestimmten Beteiligten per E-Mail zugestellt werden.
-
Dem IS-Revisionsteam steht eine Liste der für die Prüfung ausgewählten Anforderungen zur Verfügung. Anhand der Statusanzeige kann einfach festgestellt werden, welche der Anforderungen bereits abgearbeitet (GRÜN), in Bearbeitung (ORANGE) oder noch nicht begonnen (ROT) sind.
-
Die IS-Revision erfolgt über die Auswahl einer Anforderung. Angezeigt werden die Referenznummer und Bezeichnung der Anforderung. Die Feststellung und die Referenzdokumente/Nachweise (auch als Anhang) können dokumentiert werden.
- Der IS-Revisor dokumentiert die Feststellung, kann Nachweise der Feststellung als Anhang einfügen und abschließend die Frage gemäß der BSI-Bewertung nach Umsetzungsstatus und Sicherheitsmangel bewerten.
-
Dem IS-Revisionsteam stehen zwei Standard-Berichte zu Verfügung. Das sind eine Kurz- und eine detaillierte Fassung. Die Kurzfassung besteht aus dem Inhaltsverzeichnis, der Darstellung der organisatorischen Aspekte der IS-Revision, einer Zusammenfassung der Ergebnisse und der Bewertung der einzelnen Anforderungen der Bausteine mit den Feststellungen.
-
Die detaillierte Fassung listet zusätzlich die Bewertungen aller in der IS-Revision gestellten Fragen auf.
-
Die festgestellten Abweichungen werden aufgelistet und können involvierten Mitarbeiter für die Durchführung der Korrekturmaßnahmen zugeordnet werden.
