OH SzA Mapping
Die Orientierungshilfe Angriffserkennung vom BSI legt umfangreiche Vorgaben für die Organisation und Infrastruktur zur Erkennung von Cyberangriffen fest. Die SzA-Anforderungen sind seit 2024 Teil der Konkretisierung der Anforderungen des BSI und werden im folgenden verbreiteten Sicherheitsstandards zugeordnet.
Mapping Angriffserkennung
OH SzA auf C5 und ISO 27001
Das OpenKRITIS-Mapping ordnet die Anforderungen der Orientierungshilfe Angriffserkennung zu Security-Standards zu: Konkretisierung der Anforderungen, C5:2020, ISO 27001/27002 und RUN Grade.
| SzA | Thema | BSI KRITIS KdA |
C5 2020 |
ISO 27001 2022 |
RUN Grad |
|---|---|---|---|---|---|
| SZA-A | Allgemeine Anforderungen | ||||
| Kap 1.2 | Rahmenbedingungen | BSI-2 BSI-17 |
OIS-02 OIS-01 BCM-01 |
A.5.2 A.5.24 4-10 A.5.31 |
3 |
| Kap 1.2 | Angriffsmuster | BSI-96 BSI-21 BSI-97 |
OPS-20 OPS-05 OIS-05 |
A.8.8 A.5.7 |
3 |
| Kap 1.2 | Plattform | BSI-25 | OPS-23 | A.8.19 A.8.8 |
3 |
| Kap 1.2 | Signaturen | BSI-21 | OPS-05 | A.8.7 | 3 |
| Kap 1.2 | Konfiguration | BSI-93 BSI-91 |
OPS-15 OPS-13 |
A.8.9 | 3 |
| SZA-P | Protokollierung und Logging | ||||
| BSI-101 | Planung | BSI-1 BSI-20 BSI-90 BSI-91 BSI-45 |
OIS-01 OPS-01 OPS-10 DEV-03 |
ISMS 4.2 A.8.6 A.8.15 |
3/4/5 |
| BSI-102 | Richtlinie Protokollierung | BSI-87 BSI-88 BSI-2 BSI-66 BSI-87 |
COM-02 SIM-01 OIS-02 SP-02 COM-03 |
A.5.36 A.5.1 A.5.24 |
3 |
| BSI-102.S | Planung SOLL |
BSI-20 BSI-90 BSI-91 |
OPS-01 OPS-10 |
A.8.6 A.8.15 |
4 |
| BSI-103 | Protokollierung Systeme, Netze, Daten, Infrastruktur |
BSI-36 BSI-37 BSI-80 BSI-85 BSI-20 |
COS-01 OPS-01 OPS-10 OPS-12 OPS-14 SIM-05 COS-01 COM-01 |
A.8.6 A.8.20 A.8.15 A.8.16 A.5.31 A.5.34 A.5.33 7.1 |
3 |
| BSI-103.S | Sichtbarkeit, Infrastruktur SOLL |
BSI-90 | OPS-10 OPS-14 |
A.8.15 A.8.20 |
4/5 |
| SZA-D | Erkennung (Detektion) | ||||
| BSI-104 | Bedrohungen und Risiken | BSI-14 | OIS-07 | 8.2 8.3 | 3/5 |
| BSI-105 | Richtlinie Detektion | BSI-2 BSI-66 BSI-77 BSI-87 |
OIS-02 SP-02 SIM-01 COM-03 |
A.5.1 A.5.24 |
3 |
| BSI-106 | Regulierung Detektion | BSI-85 | COM-01 | A.5.31 A.5.34 A.5.33 |
3 |
| BSI-107 | Meldewege | BSI-81 | SIM-04 | A.6.8 | 3 |
| BSI-107.S | Überprüfung Meldewege SOLL |
BSI-81 BSI-82 |
SIM-04 SIM-05 |
A.6.8 A.5.27 |
4 |
| BSI-108 | Awareness | BSI-68 BSI-82 |
HR-03 SIM-05 |
A.6.3 A.5.27 7.3 |
3 |
| BSI-109 | Systemfunktionen | BSI-36 BSI-90 BSI-91 BSI-93 |
COS-01 OPS-13 |
A.8.26 A.8.27 A.8.15 |
3 |
| BSI-109.S | Kontrolle Meldungen SOLL |
BSI-91 BSI-92 |
OPS-13 OPS-14 |
A.8.15 | 4 |
| BSI-110 | Kontinuierliche Überwachung | BSI-90 BSI-77 |
OPS-13 OPS-10 |
A.8.16 A.5.24 |
3/5 |
| BSI-111 | Schadcode, Netze, IDS | BSI-21 BSI-36 BSI-37 |
OPS-04 OPS-05 COS-01 COS-02 COS-03 |
A.8.7 A.8.20 A.8.21 A.8.23 |
3 |
| BSI-112 | Korrelation und Signaturen | BSI-80 BSI-21 |
SIM-05 OPS-05 |
A.8.15 | 3 |
| BSI-112.S | Korrelation SOLL |
BSI-90 BSI-21 |
OPS-10 OPS-05 |
A.8.15 A.8.17 |
3 |
| BSI-113 | Externe Quellen | BSI-97 | OIS-05 | A.5.5 A.5.6 |
3 |
| BSI-114 | Personal Detektion | BSI-20 BSI-78 |
OPS-01 SIM-02 |
A.8.6 7.1 A.5.26 |
3 |
| BSI-114.S | Personal Detektion SOLL |
BSI-20 BSI-78 |
OPS-01 SIM-02 |
A.8.6 A.5.26 |
4 |
| BSI-115 | Zentral und dauerhaft | BSI-80 BSI-91 |
COS-01 SIM-05 OPS-13 |
A.6.8 A.8.16 |
3 |
| BSI-116 | Sicherheitsrelevante Ereignisse | BSI-96 BSI-07 BSI-78 BSI-82 |
OPS-20 OIS-05 SIM-02 SIM-05 |
A.5.7 A.5.26 A.5.27 |
3 |
| BSI-116.S | Sicherheitsrelevante Ereignisse SOLL |
BSI-77 BSI-80 |
COS-01 SIM-01 SIM-02 |
A.5.24 A.5.25 A.5.26 |
4 |
| SZA-R | Reaktion und Wiederherstellung | ||||
| BSI-117 | Sicherheitsvorfall | BSI-77 | SIM-01 | A.5.24 A.5.25 |
3 |
| BSI-117.S | Umgang mit Vorfällen SOLL |
BSI-77 | SIM-01 | A.5.24 A.5.25 |
4 |
| BSI-118 | Richtlinie Reaktion | BSI-2 BSI-66 BSI-77 BSI-87 |
OIS-02 SP-02 SIM-01 COM-03 |
A.5.1 A.5.24 |
3 |
| BSI-118.S | Schnittstellen SOLL |
BSI-77 | SIM-01 | A.5.24 A.5.26 |
4 |
| BSI-119 | Verantwortlichkeiten Reaktion | BSI-17 BSI-77 |
BCM-01 SIM-01 |
A.5.24 A.5.29 |
3 |
| BSI-120 | Benachrichtigungen | BSI-100 | OIS-05 | A.5.5 A.5.31 |
3 |
| BSI-121 | Behebung | BSI-77 BSI-78 |
SIM-01 SIM-02 |
A.5.24 A.5.25 A.5.26 |
3 |
| BSI-122 | Wiederherstellung | BSI-18 | BCM-03 | A.5.30 | 3 |
| BSI-122.S | Wiederherstellung SOLL |
BSI-18 | BCM-03 OPS-19 |
A.5.30 A.5.29 A.8.8 |
4 |
| BSI-123 | Vorgehensweise SOLL |
BSI-77 BSI-78 |
SIM-01 SIM-02 |
A.5.24 A.5.25 A.5.26 |
4 |
| BSI-124 | Organisationsstruktur SOLL |
BSI-77 | SIM-02 | A.5.24 A.5.25 |
4 |
| BSI-125 | Meldewege SOLL |
BSI-81 BSI-100 |
SIM-04 OIS-05 |
A.6.8 A.5.24 A.5.5 |
4 |
| BSI-126 | Eindämmen SOLL |
BSI-78 | SIM-02 | A.5.26 | 4 |
| BSI-127 | Einstufung SOLL |
BSI-77 BSI-78 |
SIM-01 SIM-02 |
A.5.24 A.5.25 A.5.26 |
4 |
| BSI-128 | Schnittstellen SOLL |
BSI-77 BSI-3 |
SIM-01 OIS-01 OIS-03 |
A.5.24 A.5.26 A.5.2 |
4 |
| BSI-129 | Einbindung SOLL |
BSI-77 BSI-18 |
SIM-02 BCM-03 |
A.5.26 A.5.29 A.5.30 |
4 |
| BSI-130 | Eskalation SOLL |
BSI-77 | SIM-01 | A.5.24 | 4 |
| BSI-131 | Schulungen SOLL |
BSI-20 BSI-68 |
OPS-01 SIM-02 |
A.5.26 A.6.3 |
4 |
| BSI-132 | Dokumentation SOLL |
BSI-79 | SIM-03 | A.5.26 A.5.28 |
4 |
| BSI-133 | Nachbereitung SOLL |
BSI-82 | SIM-05 | A.5.27 | 4 |
| BSI-134 | Weiterentwicklung SOLL |
BSI-82 | SIM-05 | A.5.27 | 4 |
| BSI-135 | Automatische Reaktion | BSI-36 BSI-78 BSI-100 |
COS-01 COS-02 SIM-02 OIS-05 |
A.8.21 A.8.22 A.5.26 A.5.5 |
3 |
| BSI-135.S | Auswertung SOLL |
BSI-36 BSI-78 |
COS-01 COS-02 SIM-02 |
A.8.21 A.8.22 A.5.26 |
4 |
Weitere Informationen
Quellen
- Konkretisierung der KRITIS-Anforderungen (§ 8a Absatz 1 und Absatz 1a BSIG), OH SzA, Bundesamt für Sicherheit in der Informationstechnik, September 2024
- Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (PDF), OH SzA, Bundesamt für Sicherheit in der Informationstechnik, September 2022
- IT-Grundschutz-Baustein (200-1): DER.1: Detektion von sicherheitsrelevanten Ereignissen, Bundesamt für Sicherheit in der Informationstechnik, Februar 2021
- IT-Grundschutz-Baustein (200-1): DER.2.1: Behandlung von Sicherheitsvorfällen, Bundesamt für Sicherheit in der Informationstechnik, Februar 2021