Die Woche begann mit einer Reise in den Norden, genauer gesagt in die Nähe von Lüneburg. Am Montag erfolgte die Anreise, am Dienstag und Mittwoch stand die gesetzlich vorgeschriebene SzA-Prüfung an, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) für Betreiber kritischer Infrastrukturen vorgibt. In diesem Fall war ein Energieversorger Prüfungsgegenstand. Das Wetter in Norddeutschland zeigte sich typisch wechselhaft: mal Sonne, mal Wind, mal Regen. Während draußen die Wolken vorbeizogen, galt es drinnen, konzentriert und strukturiert den Auditplan abzuarbeiten. Denn eine solche Prüfung hat ein enges Zeitfenster, in dem viele Fragen beantwortet und umfangreiche Nachweise vorgelegt werden müssen.
Die SzA-Prüfung (System zur Angriffserkennung) basiert auf klaren gesetzlichen Anforderungen, insbesondere auf § 8a Absatz 1a des BSI-Gesetzes (BSIG). Ziel ist es, dass Betreiber kritischer Infrastrukturen geeignete organisatorische und technische Maßnahmen vorhalten, um Angriffe rechtzeitig zu erkennen. Im Zentrum der Prüfung stehen die Protokollierungsdaten, deren Erhebung, Planung und Umsetzung sowie deren Auswertung. Diese Daten bilden die Grundlage, um Sicherheitsereignisse nachvollziehbar zu machen und mögliche Angriffsmuster frühzeitig zu erkennen. Ohne eine strukturierte Protokollierung ist die Detektion von Vorfällen praktisch unmöglich – entsprechend detailliert wird dieser Bereich im Audit betrachtet.
Ein weiterer Schwerpunkt liegt auf der Planung und Umsetzung der Detektionsmaßnahmen. Hier wird erwartet, dass Unternehmen nachvollziehbar darstellen können, wie Bedrohungsszenarien bewertet werden, wie Systeme zur Angriffserkennung eingebunden sind und welche Verfahren zur kontinuierlichen Überwachung implementiert wurden. In der Praxis bedeutet das, dass Nachweise über eingesetzte Tools, deren Konfiguration sowie die Reaktionswege auf sicherheitsrelevante Ereignisse dokumentiert und vorgelegt werden müssen. Nur so kann ein Prüfer einschätzen, ob die geforderten Maßnahmen den Vorgaben entsprechen.
Auch die Reaktionsfähigkeit wird in der SzA-Prüfung hinterfragt. Denn das reine Erfassen und Erkennen von Angriffen reicht nicht aus – entscheidend ist, wie schnell und zielgerichtet ein Unternehmen auf erkannte Bedrohungen reagiert. Hierbei wird geprüft, ob ein definiertes Incident-Management vorhanden ist, ob klare Eskalationswege existieren und ob Personal entsprechend geschult ist. Ergänzt wird dies durch den Nachweis, dass Systeme zur Angriffserkennung nicht nur existieren, sondern auch im laufenden Betrieb eingesetzt und regelmäßig überprüft werden. Schließlich spielt das Umsetzungsgradmodell eine zentrale Rolle, mit dem bewertet wird, wie weit die Anforderungen bereits erfüllt sind.
Für die Unternehmen bedeutet dies: Eine gute Vorbereitung ist unerlässlich. Ohne geordnete Nachweise, klare Dokumentationen und strukturierte Prozesse lässt sich eine SzA-Prüfung nicht in den vorgesehenen zwei Tagen durchführen. Die Prüfer orientieren sich strikt am Auditplan, der alle relevanten Themenbereiche umfasst, sodass von Beginn an keine Zeit verloren gehen darf. Am Ende wurden alle Nachweise eingesehen und die Prüfung gemäß den Anforderungen abgeschlossen – ein intensives, aber notwendiges Verfahren, um die Resilienz kritischer Infrastrukturen sicherzustellen.
See english below 🇬🇧:
Between Sun, Wind and a Flood of Questions – An SzA Audit near Lüneburg
The week began with a trip to the north, more precisely to the area near Lüneburg. Monday was the day of arrival, while Tuesday and Wednesday were dedicated to the legally required SzA audit, mandated by the Federal Office for Information Security (BSI) for operators of critical infrastructures. In this case, the audit focused on an energy provider. The weather in northern Germany was typically unsettled: sometimes sunny, sometimes windy, sometimes rainy. While clouds passed outside, the task inside was to work through the audit plan in a concentrated and structured manner. Such an audit has a tight timeframe in which many questions must be answered and extensive evidence presented.
The SzA audit (System for Attack Detection) is based on clear legal requirements, in particular § 8a paragraph 1a of the BSI Act (BSIG). Its aim is for operators of critical infrastructures to implement appropriate organizational and technical measures to detect attacks in good time. At the center of the audit are the logging data – their collection, planning, implementation, and evaluation. These data form the basis for reconstructing security incidents and identifying potential attack patterns at an early stage. Without structured logging, detecting incidents is virtually impossible, which is why this area receives particularly detailed attention during the audit.
Another focus is on the planning and implementation of detection measures. Companies are expected to demonstrate how threat scenarios are assessed, how attack detection systems are integrated, and which procedures for continuous monitoring have been put in place. In practice, this means that evidence must be provided on the tools used, their configuration, and the response paths to security-relevant incidents. Only with such documentation can an auditor evaluate whether the required measures meet the specifications.
The audit also examines response capability. Simply recording and detecting attacks is not enough – the decisive factor is how quickly and effectively a company reacts to recognized threats. This includes verifying whether an incident management process exists, whether clear escalation paths are defined, and whether staff are appropriately trained. In addition, proof is required that attack detection systems are not only in place but are also actively used in operations and regularly reviewed. Finally, the degree of implementation model plays a key role in evaluating how far the requirements have been met.
For companies, this means one thing: good preparation is essential. Without structured evidence, clear documentation, and organized processes, an SzA audit cannot be carried out within the scheduled two days. Auditors follow the audit plan strictly, covering all relevant areas, so there must be no delays from the start. In the end, all evidence was reviewed, and the audit was completed in accordance with the requirements – an intensive but necessary procedure to strengthen the resilience of critical infrastructures.
Véase español abajo 🇪🇸:
Entre sol, viento y un torrente de preguntas – Una auditoría SzA cerca de Lüneburg
La semana comenzó con un viaje hacia el norte, concretamente a la región cercana a Lüneburg. El lunes tuvo lugar la llegada, mientras que el martes y el miércoles estuvieron dedicados a la auditoría SzA, obligatoria por ley y exigida por la Oficina Federal de Seguridad de la Información (BSI) para los operadores de infraestructuras críticas. En este caso, el objeto de la auditoría fue una empresa de suministro energético. El clima en el norte de Alemania se mostró típico e inestable: a veces sol, a veces viento, a veces lluvia. Mientras las nubes pasaban afuera, dentro había que trabajar de forma concentrada y estructurada en el plan de auditoría. Este tipo de auditoría tiene un tiempo muy limitado en el que se deben responder numerosas preguntas y presentar abundantes evidencias.
La auditoría SzA (Sistema de Detección de Ataques) se basa en requisitos legales claros, especialmente en el § 8a apartado 1a de la Ley BSI (BSIG). Su objetivo es que los operadores de infraestructuras críticas cuenten con medidas organizativas y técnicas adecuadas para detectar ataques a tiempo. En el centro de la auditoría se encuentran los datos de registro: su recopilación, planificación, implementación y evaluación. Estos datos constituyen la base para reconstruir incidentes de seguridad e identificar posibles patrones de ataque con antelación. Sin una estructuración adecuada del registro, la detección de incidentes es prácticamente imposible, razón por la cual este aspecto recibe especial atención en la auditoría.
Otro punto clave es la planificación e implementación de las medidas de detección. Se espera que las empresas muestren cómo evalúan los escenarios de amenaza, cómo integran los sistemas de detección de ataques y qué procedimientos de supervisión continua aplican. En la práctica, esto significa aportar evidencias sobre las herramientas utilizadas, sus configuraciones y las rutas de respuesta ante incidentes de seguridad. Solo con esta documentación un auditor puede valorar si las medidas cumplen con los requisitos establecidos.
La auditoría también revisa la capacidad de reacción. No basta con registrar y detectar ataques: lo decisivo es cómo una empresa responde de forma rápida y eficaz a las amenazas detectadas. Esto incluye comprobar si existe un proceso de gestión de incidentes, si se han definido rutas claras de escalado y si el personal ha recibido la formación adecuada. Además, se requiere demostrar que los sistemas de detección de ataques no solo existen, sino que se emplean en la operación diaria y se revisan periódicamente. Finalmente, el modelo de grado de implementación es fundamental para evaluar hasta qué punto se cumplen los requisitos.
Para las empresas, esto significa una cosa: la preparación es esencial. Sin evidencias ordenadas, documentación clara y procesos bien estructurados, una auditoría SzA no puede realizarse en los dos días previstos. Los auditores siguen estrictamente el plan de auditoría, que abarca todas las áreas relevantes, de modo que no se puede perder tiempo desde el inicio. Al final, todas las evidencias fueron revisadas y la auditoría se completó de acuerdo con los requisitos: un procedimiento intenso, pero necesario, para reforzar la resiliencia de las infraestructuras críticas.
Voir espagnol ci-dessous 🇫🇷:
Entre soleil, vent et avalanche de questions – Un audit SzA près de Lüneburg
La semaine a commencé par un déplacement vers le nord, plus précisément dans la région de Lüneburg. Le lundi fut consacré au voyage, tandis que le mardi et le mercredi étaient réservés à l’audit SzA, prescrit par la loi et exigé par l’Office fédéral de la sécurité des technologies de l’information (BSI) pour les opérateurs d’infrastructures critiques. Dans ce cas, l’audit portait sur un fournisseur d’énergie. Le temps en Allemagne du Nord était typiquement changeant : parfois ensoleillé, parfois venteux, parfois pluvieux. Tandis que les nuages défilaient à l’extérieur, il fallait à l’intérieur travailler de façon concentrée et structurée selon le plan d’audit. Un tel audit dispose d’un calendrier serré, durant lequel de nombreuses questions doivent être répondues et de nombreuses preuves présentées.
L’audit SzA (Système de Détection des Attaques) repose sur des exigences légales claires, notamment l’article 8a, paragraphe 1a, de la loi BSI (BSIG). L’objectif est que les opérateurs d’infrastructures critiques mettent en œuvre des mesures organisationnelles et techniques appropriées afin de détecter les attaques à temps. Au centre de l’audit figurent les données de journalisation – leur collecte, leur planification, leur mise en œuvre et leur évaluation. Ces données constituent la base pour reconstituer les incidents de sécurité et identifier précocement de possibles schémas d’attaque. Sans une journalisation structurée, la détection d’incidents est pratiquement impossible, raison pour laquelle ce domaine est examiné en détail lors de l’audit.
Un autre point essentiel concerne la planification et la mise en œuvre des mesures de détection. Il est attendu des entreprises qu’elles démontrent comment elles évaluent les scénarios de menace, comment elles intègrent les systèmes de détection d’attaques et quels procédés de surveillance continue elles mettent en place. En pratique, cela signifie fournir des preuves sur les outils utilisés, leur configuration ainsi que les procédures de réaction face aux incidents de sécurité. Ce n’est qu’ainsi qu’un auditeur peut évaluer si les mesures requises sont conformes aux attentes.
La capacité de réaction est également examinée dans le cadre de l’audit. En effet, enregistrer et détecter les attaques ne suffit pas – l’essentiel est de savoir comment une entreprise réagit rapidement et efficacement aux menaces détectées. Cela inclut la vérification de l’existence d’un processus de gestion des incidents, de voies d’escalade clairement définies et de la formation adéquate du personnel. Il faut également apporter la preuve que les systèmes de détection des attaques ne se contentent pas d’exister, mais qu’ils sont utilisés opérationnellement et régulièrement contrôlés. Enfin, le modèle de degré de mise en œuvre joue un rôle central pour évaluer l’état d’avancement des exigences.
Pour les entreprises, cela signifie une chose : une bonne préparation est indispensable. Sans preuves structurées, documentation claire et processus organisés, un audit SzA ne peut être mené à bien dans les deux jours prévus. Les auditeurs suivent strictement le plan d’audit, couvrant toutes les thématiques pertinentes, de sorte qu’il ne doit y avoir aucune perte de temps dès le début. À la fin, toutes les preuves ont été examinées et l’audit a été achevé conformément aux exigences – une procédure intensive mais nécessaire pour renforcer la résilience des infrastructures critiques.
#audit #sza #bsi #suhlingtooling