BSI veröffentlicht Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung

Lokaler Ansprechpartner

Christoph Fabritius

Das BSI veröffentlichte am 26.09.2022 eine Orientierungshilfe, um betroffenen Unternehmen Anhaltspunkte dafür zu geben, welche Funktionen von Systemen zur Angriffserkennung erwartet werden und wie die Umsetzung ausgestaltet wird.

Nach § 11 Abs. 1e EnWG müssen alle Betreiber von Energieversorgungsnetzen und von Energieanlagen, die nach der BSI-KritisV als kritische Infrastruktur gelten, spätestens ab dem 01.05.2023 Systeme zur Angriffserkennung einsetzen. Um den Betreibern Kritischer Infrastrukturen und den prüfenden Stellen einen Anhaltspunkt für die individuelle Umsetzung und Prüfung der Vorkehrungen zu geben, hat das BSI am 26.09.2022 eine entsprechende Orientierungshilfe veröffentlicht. Die nachfolgend dargestellten Pflichten gelten für die Betreiber Kritischer Infrastrukturen i.S.d. § 8a Abs. 1 BSIG gleichermaßen, werden im Folgenden jedoch nicht gesondert aufgeführt.

Systeme zur Angriffserkennung sind nach der Legaldefinition in § 2 Abs. 9b BSIG durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten. Deshalb müssen die Systeme nach § 11 Abs. 1e S. 2 und 3 EnWG geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten (Protokollierung) und sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren (Detektion) und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen (Reaktion).

Welche Fähigkeiten des Systems informationstechnisch erforderlich sind, bestimmt sich nach dem Stand der Technik, § 11 Abs. 1e S. 4 EnWG. Rechtsunsicherheiten über die notwendigen Fähigkeiten des Systems zur Angriffserkennung können sich jedoch aus der Verwendung unbestimmter Rechtsbegriffe in § 11 Abs. 1e S. 5 EnWG ergeben. Danach ist der Einsatz von Systemen zur Angriffserkennung dann „angemessen“, wenn der dafür erforderliche Aufwand nicht „außer Verhältnis“ zu den möglichen Folgen eines Ausfalls oder einer Beeinträchtigung des betroffenen Energieversorgungsnetzes oder der betroffenen Energieanlage steht. Wann dies der Fall sein soll, definiert das Gesetz nicht; ein entsprechender Sicherheitskatalog der Bundesnetzagentur ist ebenfalls nicht vorgesehen. Diese Unsicherheiten können sich nicht nur auf die Frage auswirken, ob entsprechende Kosten in den Erlösobergrenzen berücksichtigt werden dürfen, sondern auch auf etwaige zivilrechtliche Haftungsfälle. Schließlich ist es denkbar, dass die Bundesnetzagentur im Falle nicht ordnungsgemäßer Systeme zur Angriffserkennung Aufsichtsmaßnahmen einleitet.

Um diesen Unsicherheiten entgegenzuwirken, formuliert die Orientierungshilfe Anhaltspunkte für die individuelle Umsetzung und Prüfung der Vorkehrungen. Die in der Orientierungshilfe benannten Anforderungen betreffen die Bereiche Protokollierung, Detektion und Reaktion und lassen sich jeweils weiter unterteilen in MUSS-, SOLLTE- und KANN-Anforderungen. Je nachdem, in welchem Umfang diese Anforderungen umgesetzt wurden, kann das jeweilige System zur Angriffserkennung mit einem Umsetzungsgrad von 0 bis 5 bewertet werden.

Um den Anforderungen nach § 11 Abs. 1e EnWG zu entsprechen, sieht die Orientierungshilfe vor, dass mindestens ein Umsetzungsgrad der Stufe 4 zu erreichen ist. Stufe 4 sieht vor, dass alle MUSS- und SOLL-Anforderungen erfüllt wurden, außer letztere wurden stichhaltig und nachvollziehbar begründet ausgeschlossen. Auch auf Stufe 4 muss ein kontinuierlicher Verbesserungsprozess etabliert worden sein. Das BSI hat indes in der Orientierungshilfe angekündigt, im ersten Nachweiszyklus im Ausnahmefall auch einen Umsetzungsgrad der Stufe 3 als ausreichend zu akzeptieren, sofern die Abweichung nach unten hinreichend begründet ist.

Zur Nachweiserbringung stellt das BSI für die Betreiber von Energieversorgungsnetzen und Energieanlagen ein eigenständiges Nachweisformular bereit. Nach der Orientierungshilfe gilt ein Nachweis zu Angriffserkennungssystemen als vollständig, wenn die Ergebnisse der Prüfung der Systeme zur Angriffserkennung inklusive der aufgedeckten Sicherheitsmängel enthalten sind.

Betroffene Unternehmen sollten nunmehr sicherstellen, dass die von ihnen eingesetzten Systeme zur Angriffserkennung den Maßstäben der Orientierungshilfe genügen und die entsprechenden Nachweise erbracht werden können. Wir unterstützen Sie gerne bei der Umsetzung und der Nachweiserbringung.

Autoren: RA Christoph Fabritius, RA Philip Debray