INCIDENT RESPONSE SERVICE

Garantierte Reaktionszeiten.
Umfassende Vorbereitung.

Mit unserem Incident Response Service stellen wir sicher, dass Ihrem Unternehmen im Ernstfall die richtigen Ressourcen und Kompetenzen zur Verfügung stehen. Sie zahlen eine feste monatliche Pauschale und wir bieten Ihnen dafür einen Bereitschaftsdienst mit garantierten Annahme- und Reaktionszeiten. Durch einen im Vorfeld von uns erarbeiteten Maßnahmenplan sparen Sie im Ernstfall wertvolle Zeit.

weiterlesen

© Efe Kurnaz | Unsplash

Umsetzung von Systemen zur Angriffserkennung (SzA) für KRITIS-Betreiber

9. Januar 2026

Cyberangriffe lassen sich nicht vollständig verhindern – entscheidend ist, sie frühzeitig erkennen und abwehren zu können. Systeme zur Angriffserkennung (SzA) sind deshalb für KRITIS-Betreiber seit Mai 2023 verpflichtend.
Mit dem deutschen Umsetzungsgesetz zur NIS-2-Richtlinie werden die Anforderungen an das Risikomanagement und die Detektion von Sicherheitsvorfällen auf weitere wichtige und besonders wichtige Unternehmen ausgeweitet. Auch wenn der Einsatz von SzA für diese Unternehmen nicht explizit vorgeschrieben ist, stellen sie ein zentrales techni-sches Mittel dar, um die geforderten Maßnahmen zur Erkennung, Bewertung und Be-handlung von Cyberbedrohungen wirksam umzusetzen.
r-tec zeigt, wie sich die Vorgaben aus dem BSI-Gesetz sowie der BSI-Orientierungshilfen praxisnah und angemessen in IT- und OT-Umgebungen berücksichtigen und umsetzen lassen.

MUSS - Anforderungen
weitere Anforderungen
Whitepaper
FAQ
Kontakt

Anforderungen durch BSI Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (SzA)

Betreiber Kritischer Infrastrukturen sowie Betreiber von Energieversorgungsnetzen müssen Systeme zur Angriffserkennung betreiben und deren Wirksamkeit regelmäßig nachweisen. Grundlage ist § 31 BSIG in der Fassung des Gesetzes zur Umsetzung der NIS-2-Richtlinie.
Für wichtige und besonders wichtige Einrichtungen besteht hingegen keine gesetzliche Pflicht zum Einsatz von Systemen zur Angriffserkennung. Gleichwohl fordert das BSIG für diese Einrichtungen ein wirksames, risikoorientiertes Cybersicherheits- und Risiko-management, das insbesondere die frühzeitige Erkennung sicherheitsrelevanter Ereig-nisse umfasst. Vor diesem Hintergrund stellt die Umsetzung von SzA-Funktionen eine sachgerechte und empfohlene Maßnahme dar, um den gesetzlichen Anforderungen an Prävention, Detektion und Reaktionsfähigkeit angemessen zu entsprechen und das ge-forderte Schutzniveau nach dem Stand der Technik zu erreichen.
Ein SzA – gemäß Orientierungshilfe – umfasst technisch und organisatorisch unterstütz-te Prozesse, die relevante Betriebsdaten kontinuierlich und automatisiert erfassen und auswerten, um Angriffe frühzeitig zu erkennen und Störungen zu vermeiden. Die Anforderungen gliedern sich in drei Kernbereiche:

  • Protokollierung – Erfassung und zentrale Auswertung sicherheitsrelevanter Ereignisse

  • Detektion – Identifikation und Alarmierung bei verdächtigen Aktivitäten

  • Reaktion – Behandlung und gegebenenfalls Meldung von Sicherheitsvorfällen

Ergänzend gelten übergreifende Rahmenbedingungen wie aktuelle Plattformen und Signaturen, Einbindung von Threat Intelligence und eine korrekte Systemkonfiguration. Die Umsetzung wird über ein Umsetzungsgradmodell (Stufen 0–5) bewertet und alle zwei Jahre geprüft. Ziel ist mindestens Stufe 3 (alle MUSS-Anforderungen erfüllt); Stufe 4 umfasst zusätzlich SOLLTE-Anforderungen, sofern keine Ausnahmen vorliegen.

MUSS ANFORDERUNGEN

Übergreifende MUSS-Anforderungen

Für alle Bereiche gelten gemeinsame Mindestanforderungen:

  • Rahmenbedingungen: Technische, organisatorische und personelle Voraussetzungen müssen geschaffen werden – etwa klare Rollen, Prozesse und Verantwortlichkeiten.
  • Aktualität: Hard- und Software sowie Signaturen der Detektionssysteme sind stets auf aktuellem Stand zu halten.
  • Bedrohungsinformationen: Informationen zu Angriffsmustern und Schwachstellen müssen fortlaufend eingeholt, bewertet und berücksichtigt werden.
  • Konfiguration: Systeme sind so einzurichten, dass Ausnutzungsversuche bekannter Schwachstellen erkannt werden können; Ausnahmen sind nur bei triftigen Gründen zulässig.

BSI‑Leitfaden praxisnah in IT & OT umsetzen

Protokollierung von Cyberangriffen im Rahmen von SzA

Die Protokollierung bildet die Grundlage der Angriffserkennung. Sie beginnt mit einer Planung auf Basis einer Risikoanalyse, um relevante Datenquellen zu priorisieren und eine angemessene Sichtbarkeit zu erreichen. Speicher-, IT-Sicherheits- und Datenschutzanforderungen sind von Anfang an einzubeziehen. Sicherheitsrelevante Protokolle müssen zentral gespeichert, gefiltert, normalisiert, aggregiert und korreliert werden. Die Erschließung erfolgt von außen nach innen – zunächst an Netzgrenzen, anschließend in inneren Bereichen bis hin zur Systemebene. Branchenspezifische Zusatzanforderungen sind ebenfalls zu berücksichtigen.

© Rahul Pugazhendi | Unsplash
© Solen Feyissa | Unsplash

Detektion: Systeme zur Angriffserkennung (SzA)

Die Detektion baut auf den erfassten Daten auf und muss die gesamte Bedrohungslandschaft abdecken. Alle Protokollierungsdaten sind kontinuierlich zu überwachen und auszuwerten. Bei sicherheitsrelevanten Ereignissen ist unverzüglich zu alarmieren, und verantwortliche Personen – intern oder extern – müssen benannt sein, um eine zeitnahe Reaktion sicherzustellen. Daten müssen zeitlich synchronisiert, Signaturen aktuell gehalten und externe Quellen regelmäßig ausgewertet werden. Zentrale Analysen, automatische Alarmierungen, regelmäßige Audits und Kalibrierungen (Baselining) sichern die Qualität der Erkennung.

Reaktion auf Cyberangriffe im Rahmen von SzA

Sicherheitsrelevante Ereignisse müssen behandelt und gegebenenfalls gemeldet werden. Automatische Schutzmaßnahmen sind dort umzusetzen, wo die kritische Dienstleistung nicht gefährdet wird; Abweichungen sind nachvollziehbar zu begründen. Darüber hinaus sind alle Meldepflichten zu prüfen und einzuhalten.

© Efe Kurnaz | Unplash

Ausblick: NIS-2 und zukünftige Anforderungen an Angriffserkennung

Während das IT-Sicherheitsgesetz 2.0 zusammen mit den SzA den Fokus hauptsächlich auf die physische Sicherheit kritischer Infrastrukturen setzt, hat das NIS-2-Umsetzungsgesetz eine europaweit einheitliche Cybersicherheitsgrundlage zum Ziel. Relevante Unterschiede:

  • Mehr betroffene Unternehmen: Nicht nur KRITIS-Betreiber, sondern auch viele mittelständische Unternehmen gelten künftig als „wichtige Einrichtungen“.
  • Pflicht zum Risikomanagement: Neben Systemen zur Angriffserkennung rücken Prozesse zur Risikoanalyse, Incident-Response und Business-Continuity stärker in den Fokus.
  • Strengere Meldepflichten: Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet und fortlaufend dokumentiert werden.

r-tec unterstützt Unternehmen schon heute dabei, ihre Sicherheitsarchitektur so auszurichten, dass sie sowohl den Anforderungen des BSIG als auch der kommenden NIS-2-Richtlinie entspricht.

WHITEPAPER DOWNLOAD

Whitepaper Angriffserkennung in KRITIS-Unternehmen: Anforderungen der Orientierungshilfe des BSI begegnen

Unser Whitepaper zeigt, wie sich die Anforderungen in IT- und OT-Umgebungen schrittweise und prüffähig realisieren lassen – entlang der vier Bausteine Planung, Protokollierung, Detektion und Reaktion

Jetzt kostenlos herunterladen

HÄUFIGE FRAGEN

Was gilt als System zur Angriffserkennung?

Ein SzA ist ein technisch und organisatorisch unterstützter Prozess, der Angriffe durch den Abgleich verarbeiteter Daten mit bekannten Mustern erkennt und relevante Parameter kontinuierlich und automatisch auswertet.

Welche Bereiche deckt die Orientierungshilfe ab?

Die Anforderungen sind in Protokollierung, Detektion und Reaktion gegliedert – mit MUSS-, SOLLTE- und KANN-Vorgaben, ergänzt um allgemeine Rahmenbedingungen.

Worauf prüft der Auditor?

Auf die Erfüllung der Muss-, Soll- und Kann-Anforderungen in Protokollierung, Detektion und Reaktion sowie auf den erreichten Umsetzungsgrad nach dem Stufenmodell (1–5).

Welcher Reifegrad ist nachzuweisen?

Langfristig ist Stufe 4 anzustreben. Im ersten Nachweiszyklus wird Stufe 3 akzeptiert; Abweichungen müssen begründet werden.

Wie läuft die Reaktion ab?

Die Reaktion erfolgt gemäß Playbooks und abhängig vom Schweregrad des Vorfalls. Der Ablauf umfasst Meldung, Eindämmung, Forensik, Analyse und Wiederherstellung. Eine teilweise oder vollständige automatische Reaktion ist möglich.

Warum r-tec?

  • Technisch voraus, menschlich auf Augenhöhe
  • Passgenaue Servicelösungen, kurze Reaktionszeiten, schnelle Terminierung, direkter Expertenkontakt
  • Schnelle Hilfe im Angriffsfall
  • ausgeprägte Service Struktur
  • 25 Jahre Erfahrung in Konzeption, Aufbau und Betrieb von Cyber Security Lösungen
  • ISO 9001 und ISO 27001 zertifiziert

Kontaktieren
Sie uns!

Sie haben ein IT Security-Projekt, bei dem wir Sie unterstützen können? Wir beraten Sie gerne! Hier können Sie ein unverbindliches und kostenloses Erstgespräch vereinbaren.

Bitte geben Sie eine geschäftliche E-Mail-Adresse ein!

Von Zeit zu Zeit möchten wir Sie über Neuigkeiten, Veranstaltungen, unsere Produkte und Dienstleistungen rund um das Thema IT-Security informieren. Ihr Nutzungsverhalten wird hierfür gespeichert und ausgewertet. Sie können unsere Benachrichtigungen jederzeit abbestellen. Klicken Sie dazu einfach auf den Abmelde-Link am Ende jeder E-Mail oder senden Sie eine Nachricht an marketing@r-tec.net.

Weitere Informationen finden Sie unter Datenschutz.
Bitte addieren Sie 4 und 9.