IT-Sicherheitsgesetz 2.0 – Systeme zur Angriffserkennung

Prozesse, Systeme, Produkte – Wie können KRITIS-Betreiber jetzt die Anforderungen erfüllen?

IT-Sicherheitsgesetz 2.0 – Systeme zur Angriffserkennung
Prozesse, Systeme, Produkte – Wie können KRITIS-Betreiber jetzt die Anforderungen erfüllen?

Mit dem IT-Sicherheitsgesetz 2.0 müssen KRITIS-Betreiber ab 01. Mai 2023 Systeme zur Angriffserkennung einsetzen. Bei Nichtbefolgung drohen hohe Bußgelder. Die „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ formuliert die Anforderungen, die als maßgebliche Beurteilungsgrundlage für solche Systeme herangezogen werden – und zu denen unter anderen eine signaturbasierte Angriffserkennung oder der Einsatz verschiedener Logdatenfunktionen zählt.

Wie müssen betroffene Unternehmen jetzt darauf reagieren? Der Gesetzestext lässt Fragen zum Gestaltungsspielraum auf Unternehmensebene offen. Die Experten von secunet beantworten die wichtigsten Fragen und bieten Hilfestellung.

1. Mit welchen Problemstellungen sind betroffene Unternehmen konfrontiert?

Die meisten Unternehmen sehen sich vor die Herausforderung gestellt, dass die Anforderungen der Orientierungshilfe bekannt sind, jedoch die Frage nach der konkreten Umsetzung Schwierigkeiten bereitet. Die Fragen und Herausforderungen sind sehr individuell und unterschiedlich. So sind einige Unternehmen technisch schon sehr weit, benötigen aber Hilfe bei der organisatorischen Einbettung und Implementierung der entsprechenden Prozesse. Andere Unternehmen beherrschen die organisatorischen Themen, benötigen jedoch Hilfe bei der technischen Planung und Umsetzung. Die Vielzahl der Implementierungs- und Umsetzungsmöglichkeiten kann Freiheit, aber auch Überforderung bedeuten. Es gibt eine Vielzahl an Betriebsmodellen, die von einem kompletten Eigenbetrieb, bis zu einer (Teil)-Auslagerung oder auch Mischformen reichen kann, mit entsprechenden Vor- und Nachteilen. Zusammenfassend besteht also die Schwierigkeit darin, den individuellen Bedarf festzustellen und einen entsprechenden Projektplan auszugestalten.

2. Wie können Unternehmen am besten darauf reagieren?

Ein Austausch mit anderen betroffenen Unternehmen oder auch Beratern, die bereits mehrere Projekte begleitet haben, kann hilfreich sein. Wichtig ist in jedem Fall, mit einer Bestandsaufnahme zu beginnen, denn Unternehmen haben oftmals bereits mehr im Einsatz, als ihnen bewusst ist. Es handelt sich insgesamt um ein komplexes Vorhaben, das als Projekt aufgesetzt und mit entsprechenden Ressourcen ausgestattet werden muss.

3. Wie kann secunet bei der Erreichung der Gesetzeskonformität unterstützen?

Wir haben drei Beratungspakete entwickelt: Bronze, Silber und Gold. Jedes Beratungspaket umfasst einen Workshop, zu dem die grundsätzlichen Anforderungen, als auch das Gesamtbild – zum Beispiel zu thematischen Zusammenhängen oder unterschiedlichen Betriebsmodellen - aufgezeigt werden. Der Kunde hat zudem die Gelegenheit, ein individuelles Fokusthema zu benennen, das ebenfalls in dem Workshop berücksichtigt und bearbeitet wird. Das Silber-Paket beinhaltet darüber hinaus einen Management-Workshop, der eine sinnvolle Integration in das bestehende Information Security Management (ISMS) zum Ziel hat. Zudem wird bei diesem Paket durch Ausschreibungsbausteine und einen Beispielprojektverlauf unterstützt. Bei dem Beratungspaket Gold wird zusätzlich ein Netzstruktur-Workshop angeboten, der das Ziel verfolgt, Detektionsobjekte zu benennen und Hilfestellung für zum Beispiel die Sensorplatzierung und den weiteren Technikeinsatz zu geben. Außerdem werden Ausschreibungsunterlagen qualitätsgesichert und kommentiert. Des Weiteren steht dem Kunden im Rahmen des Gold-Paketes zu, jederzeit bei spontanen Fragen – praktisch im Sinne einer Hotline – anzurufen und entsprechende Unterstützung zu erfahren.

4. Stichwort „Angriffserkennung“: Hier spielt die Datenprotokollierung eine wichtige Rolle. Kunden sind oftmals bezüglich der Auswahl der Datenquellen unsicher. Wie protokollieren Systeme ihre Daten?

Unternehmensnetzwerke sind voll von Log-Quellen. Server protokollieren Zugriffe, Firewalls erlaubte und geblockte Verbindungen. Im Active-Directory werden Logins, Logouts, Nutzung von besonderen Rechten sowie weitere Informationen protokolliert. Die Daten sind da, sie werden nur nicht genutzt. So ist die Retention-Time eines typischen Domänencontrollers auf vier Stunden eingestellt. Damit können vorhandene Log-Daten bereits nach vier Stunden überschrieben werden, wenn der für Log-Daten reservierte Speicherplatz knapp wird.

5. Was bedeutet das im Fall eines Incidents?

Im Allgemeinen bedeutet dies, dass im Fall eines Incidents keine relevanten Daten zur Auswertung vorhanden sind. Zudem werden Log-Daten häufig direkt auf dem System gespeichert, auf dem sie anfallen. Ein Angreifer, der ein System übernommen hat, kann daher durch das Löschen oder Verändern der lokalen Log-Daten seine Spuren sehr leicht verwischen.

6. Wie kann secunet dabei unterstützen?

Zusammen mit den Pentest- und Forensik-Experten von secunet werden die vorhandenen Log-Quellen bewertet und so eingestellt, dass die notwendigen Daten protokolliert und zeitnah zur Auswertung bereitgestellt werden.

7. Zum guten Schluss: Der Test auf Wirksamkeit

Ist das Logging eingerichtet und die Systeme aufgebaut, unterstützen die Pentester von secunet Kunden bei der Probe aufs Exempel. Dafür wird ein verdeckter Pentest (auch als Red Teaming bekannt) auf die interne Infrastruktur ausgeführt. Selbst wenn sich die Pentester viel Mühe geben, erzeugt auch ein verdeckter Pentest Log-Daten. Diese werden vom angepassten Logging-System erfasst, ausgewertet und Alarme werden verschickt, so dass die Betriebsmannschaft (auch als Blue-Team bezeichnet) die „Angreifer“ erkennen und Gegenmaßnahmen einleiten kann.

Und sollte der Angriff nicht erkannt werden, dann können die Log-Quellen und die Alarmierung zusammen mit dem Red Team angepasst werden, damit der nächste Angreifer noch besser erkannt werden kann.

Neben den genannten Beratungsleistungen bietet secunet auch ein Netzwerk-Monitoring-System, das auf Basis signaturbasierter Angriffserkennung Cyberattacken mittels Netzwerk- und Log-Analyse erkennt und dabei die MUSS-Anforderungen, die das BSI in der Orientierungshilfe zum IT-SiG 2.0 festlegt, erfüllt.

Weitere Informationen:
https://www.secunet.com/loesungen/secunet-monitor-kritis

 

Kontaktanfrage
Sie haben Fragen oder benötigen Beratung?
Sie haben Fragen oder benötigen Beratung?

Schreiben Sie uns und wir melden uns schnellstmöglich bei Ihnen!

Seite 1