Fragen und Antworten zu secunet monitor KRITIS
1. An welcher Stelle im BSI-Gesetz (BSIG) ist nachzulesen, dass der Nachweis über den Einsatz eines Systems zur Angriffserkennung (SzA) im Rahmen von Audits durchzuführen ist?
In der Orientierungshilfe steht: KRITIS-Betreiber müssen gegenüber dem BSI allgemein die Erfüllung der Anforderungen aus § 8a Absatz 1 und Absatz 1a BSIG durch die entsprechenden Nachweise bestätigen. Daher muss ein Nachweis nach §8a Absatz 3 BSIG, um als vollständig zu gelten, ab dem 1. Mai 2023 auch die Ergebnisse der Prüfung der Systeme zur Angriffserkennung inklusive der aufgedeckten Sicherheitsmängel enthalten.
Analog gilt gemäß § 11 Absatz 1f EnWG ein Nachweis zu Angriffserkennungssystemen als vollständig, wenn die Ergebnisse der Prüfung der Systeme zur Angriffserkennung inklusive der aufgedeckten Sicherheitsmängel enthalten sind. Daraus kann man ableiten, dass es mit der normalen Prüfung/Zertifizierung erfolgen kann. Der erste Nachweis ist aber nach EnWG am 1.5.23 zu erbringen.
2. Wenn man auf Basis des EnWG zertifiziert ist, muss man bereits zum 01.05.2022 Nachweise über den Einsatz eines SzA vorlegen?
Siehe auch Orientierungshilfe:
Analog gilt gemäß § 11 Absatz 1f EnWG ein Nachweis zu Angriffserkennungssystemen als vollständig, wenn die Ergebnisse der Prüfung der Systeme zur Angriffserkennung inklusive der aufgedeckten Sicherheitsmängel enthalten sind. Laut EnWG ist ein initialer Nachweis am 1.5.2023 vorzulegen.
3. Was kann von secunet monitor KRITIS überwacht werden?
Über secunet monitor KRITIS erfolgt die Überwachung in Netzwerken. Zusätzlich gibt es die Möglichkeit, Log-Daten aus konfigurierten Endsystemen per Syslog aufzunehmen und im Core zu verarbeiten.
4. Sind Kunden bei der Wahl der Hardware herstellerunabhängig?
Sensor und Core-System können auf verschiedenen Hardware-Plattformen (x64) unterschiedlicher Hersteller laufen. Die genaue Hardwarespezifikation sollte mit den secunet Beratern vor der Beschaffung nochmals abgestimmt werden. Bei Bedarf kann ein Gesamtangebot (Hard- und Software) bei secunet bestellt werden.
5. Wie funktioniert der Sensor?
Die Sensoren sind auf adäquater Hardware/Virtualisierungsumgebung installierte Docker-Pakete, welche den Netzwerkverkehr passiv (z.B. über Mirror-Ports) analysieren. Der Sensor leitet detektierte Informationen an das Core-System weiter, wo diese gespeichert werden. Der Sensor selbst speichert diese Informationen im Falle einer nicht erreichbaren Core-Instanz zwischen (Caching).
6. Gibt es auch Sensoren für den Einsatz in SPS-Netzwerken?
Alles, was über Ethernet kommuniziert wird, kann verarbeitet werden. Zukünftig sind auch kleinere Sensoren für die maschinennahe Anwendung geplant.
7. Wer nimmt die Bewertung eines Events vor?
Zum einen wird von einem secunet-Kurator eine duale Bewertung auf alle Event-erzeugenden Signaturen oder dessen Feeds angewandt, zum anderen kann durch den Kunden eine Filterung in Form des Relevanzbereiches auf Basis der Vorbewertung durchgeführt werden. Zusätzlich beinhalten Events i.d.R. eigene Kritikalitäten, welche ebenfalls als Indikatoren gewertet werden können.
8. Sind Event Push Mails oder SMS möglich?
Für Alarmierungen steht eine Notification-Funktion über E-Mail zur Verfügung. Der Versand als SMS wird in einer kommenden Version integriert sein.
9. Welche Anbindungen hat das System an Incident Management Tools?
Der Sensor kann auch als eigenständige Einheit an SIEM-Systeme anderer Hersteller über die Standardschnittstelle Syslog angebunden werden, alternativ steht eine umfangreiche API zur Verfügung.
10. Bietet secunet einen SOC mit an?
secunet bietet keinen Dienst als Security Operation Center (SOC) an. Wenn dies benötigt wird, kann secunet Partner benennen, die einen solchen Dienst etabliert haben.
Schicken Sie uns eine Anfrage. Wir helfen gerne weiter.