System zur Angriffserkennung für KRITIS-Unternehmen
Konform mit regulatorischen Vorgaben
Seit Mai 2021 ist das IT-Sicherheitsgesetz 2.0 in Kraft getreten. Dies beinhaltet insbesondere verschärfte Anforderungen für KRITIS-Unternehmen.
- Erweiterte Meldepflicht: Es wird von KRITIS-Unternehmen erfordert, dass sie IT-Sicherheitsvorfälle, welche sowohl die Verfügbarkeit als auch die Vertraulichkeit ihrer Systeme beeinflussen können, unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
- Zertifizierungsverpflichtung: Kritische Infrastrukturen sind dazu verpflichtet, sich und ihre Systeme kontinuierlich nach den definierten Sicherheitsstandards zertifizieren zu lassen. Dies soll die richtige und effiziente Umsetzung der IT-Sicherheitsmaßnahmen gewährleisten.
- Optimierte Sicherheitsstandards: Die Technologien und Sicherheitsmaßnahmen, die ein KRITIS-Unternehmen verwendet, müssen regelmäßig aktualisiert und den aktuellen Bedrohungslagen flexibel angepasst werden.
- Implementierung von Systemen zur Angriffserkennung: Um Angriffe auf die IT-Infrastruktur frühzeitig erkennen und geeignete Maßnahmen zum Schutze bzw. zur Abwehr einleiten zu können, müssen kritische Infrastrukturen ein effizientes System zur Angriffserkennung implementieren.
- Erweiterte Befugnisse: Das BSI verfügt nun über erweiterte Befugnisse zur Kontrolle von KRITIS-Unternehmen. Dies umfasst insbesondere die Durchführung von Sicherheitsüberprüfungen und das Verhängen von Sanktionen bei Missachtung der Sicherheitsstandards.
Diese deutlich gestiegenen Erwartungen an die IT-Sicherheit der KRITIS-Unternehmen verpflichtet Sie dazu, umfangreiche Maßnahmen zu ergreifen, um die Sicherheit Ihrer IT- und OT-Infrastrukturen zu gewährleisten und Ihre Technik auf dem neuesten Stand zu bringen. Dies erfordert neben den oben genannten Verantwortungen auch eine Erweiterung des IT-Sicherheitsbudgets und regelmäßige Schulungen der Mitarbeiter.
Die Orientierungshilfen des BSI unterbreiten umfassende Anleitungen sowie auch Empfehlungen für eine vollständige und effektive Umsetzung der IT-Sicherheitsmaßnahmen für Unternehmen und Behörden. Sie verfolgen primär das Ziel, die Resilienz gegen Cyberangriffe zu fördern und die IT-Sicherheit zu optimieren. In Bezug zu kritischen Infrastrukturen sind folgende Orientierungshilfen relevant:
Technische Richtlinien
Die technischen Richtlinien definieren konkrete technische Anforderungen und Best Practices für eine erfolgreiche Implementierung und Verwendung von IT-Systemen und -Netzwerken. Dies umfasst bspw. die Richtlinie TR-03108 (Sicherheitsanforderungen für Betreiber von KRITIS).
IT-Grundschutz-Kataloge
Die Grundschutz-Kataloge konzentrieren sich auf potenzielle Risiken und Maßnahmen sowie auch Module, mithilfe dessen Organisationen ihre IT-Sicherheitsprozesse gestalten können. Sie sind in Basis-, Kern- und ergänzende Sicherheitsmaßnahmen unterteilt.
BSI-Standards
Die BSI-Standards enthalten verschiedene systematische Ansätze zur IT-Sicherheit, die auf unterschiedliche Unternehmen angewendet werden können. Ein Beispiel wäre der BSI-Standard 200-2 (IT-Grundschutz-Methodik). Dieser befasst sich primär mit der strukturierten Implementierung und Pflege eines Informationssicherheitsmanagementsystems (ISMS).
Meldepflichten und Incident-Response
Die Orientierungshilfen des BSI bieten unter anderem auch Anleitungen für den richtigen Umgang bei Sicherheitsvorfällen. Dazu gehört insbesondere:
- die vollständige Dokumentation des Sicherheitsvorfalls
- eine zügige Meldung des Vorfalls
- die Zusammenarbeit mit dem BSI und weiteren relevanten Behörden
Zertifizierungen
Eine weitere relevante Thematik sind die Zertifizierungen nach BSI-Standards. Hierfür werden Informationen preisgegeben, die sich sowohl auf die Anforderungen als auch die durchzuführenden Prozesse beziehen. Dies schließt auch kontinuierliche Sicherheitsüberprüfungen und Audits mit ein.
Risikoanalysen
Das BSI stellt KRITIS-Unternehmen Leitfäden zur Durchführung von Sicherheits- und Risikoanalysen zur Verfügung. Diese Analysen sind wichtige Hilfsmittel, um potenzielle Schwachstellen und Bedrohungen erkennen zu können, sodass geeignete Maßnahmen entwickelt werden können.
Angriffserkennung und -abwehr
Ein System zur Angriffserkennung hat zum Ziel, frühzeitig Cyberangriffe zu identifizieren und zu verhindern. Die Orientierungshilfen des BSI helfen bei der Implementierung dieser Systeme, indem sie bspw. Anleitungen zur Netzwerksicherheit und zur Kontrolle der Protokolldaten bereitstellen.
secunet monitor KRITIS richtet sich an KRITIS-Unternehmen und setzt alle technischen MUSS-Anforderungen der BSI-Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung um – und das sowohl auf Netzebene zur Überwachung der übertragenen Daten, in IT-/OT-Netzen, als auch auf Systemebene zur Überwachung der Protokollierungsdaten einzelner Anwendungssysteme. In der Praxis stellt secunet monitor KRITIS neben der reinen Angriffserkennung auch die für die Übermittlung von meldepflichtigen Ereignissen an das BSI erforderlichen Daten zusammen.
secunet monitor KRITIS fokussiert sich auf die Gesetzgebung, ist passiv und rückwirkungsfrei anwendbar, leicht zu integrieren und zu bedienen – und damit die wohl umfassendste Lösung am Markt für IT- und OT-Infrastrukturen.
Was sind Systeme zur Angriffserkennung?
Systeme zur Angriffserkennung, oder auch Intrusion Detection Systems (IDS), sind Technologien, die insbesondere darauf spezialisiert sind, unautorisierte Zugriffe, Missbrauch oder verdächtiges bzw. schädliches Verhalten innerhalb der IT- und OT-Netzwerke zu erkennen. Um dies zu gewährleisten, überwachen sie kontinuierlich sowohl den Datenverkehr als auch alle möglichen Aktivitäten im Netzwerk, um Abweichungen zu identifizieren. Dies hilft kritischen Infrastrukturen erheblich bei der flexiblen Reaktion auf potenzielle Bedrohungen und bei der Wahrung ihrer Netzwerkstabilität. Es gibt verschiedene Angrifferkennungssysteme, die sich jeweils nach ihrem Einsatzbereich bzw. ihren Funktionen differenzieren:
Netzwerkbasierte IDS (NIDS)
- Überwachung & Analyse des Netzwerkverkehrs in Echtzeit
- Platzierung an strategischen Punkten des Netzwerks, bspw. Router oder Firewalls
- Untersuchung einzelner Datenpakete, die über das Netzwerk übertragen werden. Dies umfasst sowohl Header-Informationen als auch die Nutzlast der Pakete
- Verwendung von Datenbanken mit bekannten Angriffssignaturen, um Muster im Datenverkehr ausfindig zu machen
- Erkennung von Anomalien durch Aneignung des normalen Verhaltens des Netzwerkverkehrs & Identifizierung von Abweichungen
- Generierung von Benachrichtigungen, die bspw. an die Netzwerkadministratoren geleitet werden, wenn ein bösartiges Verhalten identifiziert wurde
Host-basierte Intrusion Detection Systems (HIDS)
- Kontrolle von allen Aktivitäten auf einzelnen Computern oder Servern
- Überwachung und Analyse von Systemereignissen, Netzwerkverbindungen und weiteren Aktivitäten
- Analyse von Systemprotokollen (Logs), darunter
- Installation einer neuen Software
- Anmeldeversuche
- Änderungen an einer Datei, etc.
- Überwachung von relevanten System- und Anwendungsdateien, insbesondere in Bezug auf Veränderungen
- Kontrolle der Ausführung von Prozessen, um sicherzustellen, dass nur autorisierte Software läuft
- Überwachung von eingehenden und ausgehenden Netzwerkverbindungen
- Echtzeit-Alarm und Benachrichtigungen
Hybride Intrusion Detection Systems (Hybride IDS)
Anomalieerkennungssysteme
- Identifizierung von Abweichungen von normalen Aktivitätsmustern innerhalb eines Netzwerks oder auf einem Host
- Nutzung von Algorithmen und maschinellem Lernen zur Erkennung von untypischen Mustern
- Analyse des normalen Verhaltens des Netzwerks bzw. Hosts und Erstellung eines Baseline-Profils
- Kontinuierliche Überwachung des Netzwerkverkehrs & der Aktivitäten im System & Vergleich dessen mit dem zuvor definierten Profil
- Identifizierung von Abweichungen (Anomalien)
- Generierung von Alarm bzw. Benachrichtigungen bei Erkennung einer Anomalie
KRITIS-Unternehmen stellen grundlegende Dienstleistungen und Funktionen bereit, die sowohl für das Wohl als auch die Gesundheit der Bevölkerung und Wirtschaft essenziell sind. Dies umfasst wichtige Sektoren, wie bspw. Energie, Wasser und Finanzwesen. Aufgrund dessen übernehmen sie eine bedeutsame Rolle in der Gesellschaft, weshalb klare Verantwortlichkeiten und Abläufe bei Sicherheitsvorfällen erforderlich sind, um Risiken und Fehler zu reduzieren und Ausfallzeiten zu minimieren. Dafür müssen die Sicherheitsprozesse stets optimiert und eine enge Zusammenarbeit mit allen Abteilungen des Unternehmens sowie externen Partnern und Behörden gewährleistet werden.
Zwei Ebenen der Angriffserkennung
secunet monitor KRITIS vereint die Detektionsmechanismen sowohl der Netzwerk- als auch der Systemebene. Daten werden gegen existierende Muster abgeglichen und zur Alarmierung und weiteren Analyse aufbereitet.
Die Systemebene nutzt Log-Daten von unterschiedlichen IT- und OT-Systemen. Diese Protokoll- und Protokollierungsdaten werden kontinuierlich in einem zentralen System (SIEM) aggregiert, überwacht und ausgewertet. So kann man kostengünstig auch in diesen Protokoll- und Protokollierungsdaten potenzielle Sicherheitsrisiken (z.B. auch durch verhaltensbasierte Erkennung) identifizieren und eine Alarmierung eines Verantwortlichen vornehmen.
Auf Netzwerkebene wird ein netzbasiertes IDS (NIDS) zur Analyse genutzt. Nahezu in Echtzeit werden dann die Flow-Daten bewertet und die sicherheitsrelevanten Eventdaten an einen zentralen Speicher übermittelt.
Anforderungen an Systeme zur Angriffserkennung (SzA)
Gemäß dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) und den Orientierungshilfen des Bundesamts für Sicherheit in der Informationstechnik (BSI) müssen die Systeme zur Angriffserkennung spezifischen technischen Anforderungen gerecht werden, die essenziell sind, um die Sicherheit, Vertraulichkeit und Verfügbarkeit der Systeme zu gewährleisten. Durch die Umsetzung dieser Anforderungen können Schwachstellen erkannt werden, wodurch KRITIS-Unternehmen proaktiv gegen Cyberangriffe vorgehen können. Somit würden kritische Infrastrukturen nicht nur den regulatorischen Richtlinien gerecht werden, sondern sie würden auch ein robusteres Sicherheitsniveau etablieren. Im Folgenden werden die technischen Anforderungen im Detail erläutert:
Protokollierung
Bei der Protokollierung liegt der Fokus auf der Sammlung, Speicherung & Bereitstellung von allen relevanten Protokolldaten, um verdächtige Aktivitäten erkennen und bewerten zu können. Dafür müssen folgende Punkte berücksichtigt werden:
- Verpflichtende Erhebung: Es ist dringend erforderlich, dass sämtliche Protokolldaten erfasst und protokolliert werden. Nur so kann sichergestellt werden, dass alle Aktivitäten erfasst werden können, die die IT-Sicherheit in jeglicher Form beeinträchtigen können.
- Erfassung auf System- und Netzwerkebene: Für eine umfassende Identifizierung relevanter Ereignisse ist eine Erfassung sowohl auf der Ebene einzelner Systeme als auch im gesamten Netzwerk notwendig.
- Filter & Korrelation: Vor der Speicherung der Protokolldaten, müssen diese erst gefiltert, aggregiert und korreliert werden, sodass brauchbare und relevante Informationen hervorgehoben werden können.
- Zentrale Speicherung: Die erhobenen Daten müssen an zentralen Speicherorten für den jeweiligen Netzwerkbereich abgelegt werden. Durch diesen Schritt kann eine konsistente Datenspeicherung gefördert werden.
- Bereitstellung: Die Bereitstellung der Protokolldaten in einem Format, welches effektive Auswertungen und Analysen ermöglicht, ist fundamental, um Sicherheitsvorfälle angemessen analysieren und bewerten zu können.
Detektion
Die Detektion konzentriert sich in erster Linie auf eine frühzeitige Erkennung von potenziellen Risiken und verdächtigem Verhalten. Dies wird durch eine kontinuierliche Überwachung von sämtlichen Netzwerk- und Systemaktivitäten mithilfe verschiedener Mechanismen, wie bspw. Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) sichergestellt. Des Weiteren werden folgende Vorgehensweisen berücksichtigt:
- Automatisierte Detektionstechniken: Durch die Verwendung von Signaturen, Mustern und Algorithmen können sämtliche Aktivitäten kontrolliert und verdächtige Verhaltensweisen identifiziert werden.
- Integration von KI und maschinellem Lernen: Die Systeme eignen sich normale Verhaltensweisen des Netzwerkverkehrs an, um auf Basis dessen ein Baseline-Profil zu erstellen. Mit dieser Vorlage können Abweichungen zügig erkannt werden.
Die Detektion erfolgt in Echtzeit, sodass bei der Identifizierung von verdächtigen Sicherheitsvorfällen, unverzüglich Benachrichtigungen ausgelöst werden. Dabei ist ein effektives Management von False Positives (falsche Alarme) essenziell, um unnötige Störungen zu verhindern. Die Detektionsdaten werden im weiteren Verlauf für die Analyse und Berichterstattung benötigt, um Trends und Muster erkennen und Sicherheitsmaßnahmen agil anpassen zu können.
Reaktion
Die Reaktion befasst sich mit einer zügigen und effektiven Handhabung von Risiken nach dessen Identifizierung. Dies schließt folgende Punkte mit ein:
- Ergreifung von sofortigen Maßnahmen: Bei der Erkennung von verdächtigem Verhalten werden unverzüglich passende Gegenmaßnahmen entwickelt und umgesetzt, um Schäden und negative Auswirkungen auf das Unternehmen zu minimieren.
- Frühzeitige Reaktionsplanung: Um zügig in einer Bedrohungssituation agieren zu können, sollten bereits im Vorfeld umfangreiche Reaktionspläne definiert werden, wobei auch klare Verantwortlichkeiten verteilt und der Ablauf im Falle eines Sicherheitsvorfalles besprochen wird.
- Analyse des Vorfalls: Der Vorfall sollte gründlich analysiert werden, sodass sowohl die Ursache dessen ermittelt werden kann, als auch das Ausmaß des Schadens bewertet werden kann.
- Transparente Kommunikation: Zur Wahrung des Vertrauens ist es empfehlenswert, alle relevanten Stakeholder, inklusive der Mitarbeiter, Behörden und Kunden, über den Vorfall zu informieren.
- Abschließende Nachbesprechung: Auch nach erfolgreicher Verhinderung des Risikos ist eine detaillierte Nachbesprechung des Vorfalls vonnöten, um die durchgeführten Maßnahmen zu bewerten und Optimierungen für die Zukunft zu definieren.
Modular, leicht nutzbar und kosteneffizient
Das System bietet eine passive und rückwirkungsfreie Funktionsweise in IT & OT, globales Whitelisting, Echtzeit-Monitoring, Installations- und Betriebsfähigkeit in Airgapped-Umgebungen sowie Logdatensenke mit Auswertungsmöglichkeit.
Für eine transparente Übersicht über wichtige KPIs stellt das System einen Managementreport bereit. Das übersichtliche Changelog gewährleistet eine sichere Dokumentation. Die Lösung ist optimiert für MSS/SOCs sowie die Selbstverwaltung.
Das System unterstützt die Meldung von Sicherheitsvorfällen an das BSI sowie Audits und bindet zusätzlich externe Signaturen wie den BSI MISP Feed ein. Dabei werden sowohl aktuelle als auch zukünftige Regularien berücksichtigt.
Neben der Bereitstellung des Systems zur Angriffserkennung bietet secunet auch umfassende Beratungsdienstleistungen zur technischen Integration in die organisatorischen Prozesse eines ISMS (z. B. ISO/IEC 27001) an.
Schicken Sie uns eine Anfrage über das Kontaktformular. Wir helfen gerne weiter.