IT-Sicherheitsgesetz und Angriffserkennung

Das IT-Sicherheitsgesetz und die Angriffserkennung

Das im Mai dieses Jahres verabschiedete IT-Sicherheitsgesetz 2.0, kurz IT-SiG 2.0, verpflichtet (unter anderem) KRITIS-Betreiber zum Einsatz von sogenannten Systemen zur Angriffserkennung, welche durch technische Werkzeuge und organisatorische Einbindung unterstützter Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme erfolgen muss. Der Einsatz solcher Systeme ist ab dem 1. Mai 2023 verpflichtend. Die Angriffserkennung muss gemäß Gesetzgeber dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten, erfolgen.

KRITIS-Betreiber aus unterschiedlichen Sektoren setzen dieses System bereits seit mehreren Jahren ein. Das System weist dabei Sensorik in Netzwerken, z.B. im Netz der Leitstellenebene, auf und wertet die Kommunikation im Netzwerk hinsichtlich verschiedener Erkennungsfunktionen (Assets, Kommunikation untereinander, Schwachstellen, Anomalien und Hinweise auf versteckte Angriffe) aus. secunet monitor schützt dabei vor allem den IT/OT-Mischbetrieb und deckt mit den Sensoren nicht nur den internen IT- und OT-Bereich ab, sondern auch den Übergang IT-OT – denn viele Gefahren für das OT-Netz gehen aktuell vom angebundenen IT-Bereich aus.

IDS- bzw. IPS-, SIEM- und Virenscanner-Lösungen sind bei vielen Unternehmen bereits im Einsatz und werden in der aktuellen Diskussion leider häufig nicht sauber voneinander differenziert. Die Einsatzzwecke und technischen Möglichkeiten solcher Systeme sind grundsätzlich verschieden. Ein klassisches IDS/IPS basiert häufig auf vordefinierten Signaturen und dient zum Erkennen von bekannten, dedizierten Angriffen. Da in diesen aber z.B. kein Verlaufsmonitoring enthalten ist sind diese damit nicht in der Lage, zeitliche Anomalien auszuwerten und unbekannte Angriffe zu detektieren. Um diese Bedrohungen zu erkennen, muss das jeweilige Normalverhalten mittels Machine Learning festgestellt (sog. „Baselining“) und im Live-Betrieb mit den Modellen auf Abweichungen verglichen werden. Da jedes Netzwerk mit seinen Systemen verschieden ist, muss eine solche Anomalie Erkennung pro Sensorstandort erfolgen.

Eine Virenscanner-Lösung arbeitet ebenfalls hauptsächlich Signaturen von bekannter Malware ab. Gerade der Umstand, dass diese klassischerweise auf den jeweiligen Host-Systemen laufen müssen, schiebt dem Einsatz in vielen ICS-Systemen der kritischen Infrastrukturen einen Riegel vor – sei es aufgrund fehlender Kompatibilität zum verwendeten Betriebssystem oder dem Verlust der Garantie des ICS-Herstellers durch die Veränderung mittels installierter Zusatz-Software.

Ein SIEM setzt eine Ebene höher an und erfüllt andere Aufgaben: Der Aufnahme von Daten verschiedenster Netzwerk- oder Host-Sensoren anderer Hersteller und deren Auswertung auf diesen, wobei konkrete Vorfälle im Vorfeld anhand komplexer Regeln definiert werden müssen. Die technische Lücke der Notwendigkeit von geeigneten Sensoren können durch den Einsatz eines modernen Angriffserkennungssystem à la secunet monitor mit Anbindung an ein möglicherweise vorhandenes SIEM-System geschlossen werden.

Das IT-Sicherheitsgesetz 2.0 empfiehlt drei Maßnahmen zur Angriffserkennung: Abgleich mit statischen Mustern, generische Muster sowie Verfahren der künstlichen Intelligenz und die Erkennung von Abweichungen des störungsfreien Betriebs. secunet monitor bedient alle vorgeschlagenen drei Punkte mit der Verwendung von IOCs (Indicators Of Compromise; „bekannte Signaturen“), einer fortschrittlichen Angriffsdetektion mit Mustererkennung ohne Verwendung von IOCs und der Anomalie Erkennung mit vorheriger Baseline-Erstellung. Damit werden die Anforderungen aus dem IT-SiG 2.0 vollwertig erfüllt.

Mehr über secunet monitor erfahren Sie hier.

Kontaktanfrage
Sie haben Fragen oder benötigen Beratung?
Sie haben Fragen oder benötigen Beratung?

Schreiben Sie uns und wir melden uns schnellstmöglich bei Ihnen!

Seite 1