Die KRITIS-Lösung zur Angriffserkennung

secunet monitor KRITIS
Für KRITIS-Unternehmen optimierte Lösung zur Angriffserkennung
secunet monitor KRITIS richtet sich an betroffene KRITIS-Unternehmen und berücksichtigt die nun gültigen Anforderungen aus der Orientierungshilfe des BSI (netzwerk- und logbasierte Angriffserkennung). secunet bietet damit erstmals eine passgenaue Lösung zur Erfüllung der Anforderungen. Im praktischen Einsatz stellt das Produkt neben der reinen Angriffserkennung die für die Übermittlung von meldepflichtigen Ereignissen an das BSI erforderlichen Daten zusammen und optimiert die Bereitstellung der für ein Audit notwendigen Informationen.
Mit der zielgerichteten Fokussierung auf die Gesetzgebung, einer passiven und rückwirkungsfreien Anwendung sowie der einfachen Handhabung stellt secunet monitor KRITIS die wohl umfassendste Lösung am Markt.

Einfache Handhabung mit C-Level Status App und Management Übersicht
secunet monitor KRITIS implementiert die IDS-Funktionen zur Angriffserkennung in Netzwerken und bietet optional und zusätzlich eine Sammelstelle für Logdaten, über die diese aggregiert, korreliert und ausgewertet werden können.
Diese logbasierte Angriffserkennung bietet Kunden ohne implementiertes SIEM-System die Möglichkeit, die Anforderungen der Orientierungshilfe des BSI zum IT-Sicherheitsgesetz 2.0 an die Speicherung und Verarbeitung von Logdaten ohne die ressourcenintensive Anschaffung eines solchen Systems abzudecken.
Für Kunden mit einem bereits implementierten SIEM-System kann diese Option entfallen und alle Logdaten können über eine Standardschnittstelle an das jeweilige SIEM übergeben werden.
Live Demo
Die KRITIS-Lösung zur Angriffserkennung – gemäß IT-Sicherheitsgesetz
Nachweise, die dem BSI ab dem 1. Mai 2023 vorgelegt werden, müssen auch Aussagen zur Umsetzung des Absatzes 1a, also zum Einsatz von Angriffserkennungssystemen, enthalten. Bußgelder werden erhöht – 4% vom Umsatz, bis zu 20 Mio. EUR.
BSI veröffentlicht konkrete Anforderungen zur Angriffserkennung in der Orientierungshilfe.
Für die Nachweiserbringung wird das BSI, analog zur etablierten Nachweiserbringung im Kontext des § 8a Absatz 3 und 1 BSIG, entsprechende Formulare veröffentlichen.
Unser Netzwerk-Monitoring-System auf Basis signaturbasierter Angriffserkennung:
■ MUSS-Anforderung laut BSI-Orientierungshilfe zum IT-Sicherheitsgesetz 2.0
■ passives und rückwirkungsfreies System in IT & OT
■ Anbindung des BSI IoC-Feeds für neue Signaturen und Vorbewertung der Events
■ optimiert für BSI-Meldungen & BSI-Audits
■ Updates für den Ausbau des Umsetzungsgrads (MUSS + KANN + SOLL)
■ optimiert für Managed Security Services & SOCs
secunet monitor KRITIS auf einen Blick

1. An welcher Stelle im BSI-Gesetz (BSIG) ist nachzulesen, dass der Nachweis über den Einsatz eines Systems zur Angriffserkennung (SzA) im Rahmen von Audits durchzuführen ist?
In der Orientierungshilfe steht: KRITIS-Betreiber müssen gegenüber dem BSI allgemein die Erfüllung der Anforderungen aus § 8a Absatz 1 und Absatz 1a BSIG durch die entsprechenden Nachweise bestätigen. Daher muss ein Nachweis nach §8a Absatz 3 BSIG, um als vollständig zu gelten, ab dem 1. Mai 2023 auch die Ergebnisse der Prüfung der Systeme zur Angriffserkennung inklusive der aufgedeckten Sicherheitsmängel enthalten.
Analog gilt gemäß § 11 Absatz 1f EnWG ein Nachweis zu Angriffserkennungssystemen als vollständig, wenn die Ergebnisse der Prüfung der Systeme zur Angriffserkennung inklusive der aufgedeckten Sicherheitsmängel enthalten sind. Daraus kann man ableiten, dass es mit der normalen Prüfung/Zertifizierung erfolgen kann. Der erste Nachweis ist aber nach EnWG am
1.5.23 zu erbringen.
2. Wenn man auf Basis des EnWG zertifiziert ist, muss man bereits zum 01.05.2022 Nachweise über den Einsatz eines SzA vorlegen?
Siehe auch Orientierungshilfe:
Analog gilt gemäß § 11 Absatz 1f EnWG ein Nachweis zu Angriffserkennungssystemen als vollständig, wenn die Ergebnisse der Prüfung der Systeme zur Angriffserkennung inklusive der aufgedeckten Sicherheitsmängel enthalten sind. Laut EnWG ist ein initialer Nachweis am 1.5.2023 vorzulegen.
3. Was kann von secunet monitor KRITIS überwacht werden?
Über secunet monitor KRITIS erfolgt die Überwachung in Netzwerken. Zusätzlich gibt es die Möglichkeit, Log-Daten aus konfigurierten Endsystemen per Syslog aufzunehmen und im Core zu verarbeiten.
4. Sind Kunden bei der Wahl der Hardware herstellerunabhängig?
Sensor und Core-System können auf verschiedenen Hardware-Plattformen (x64) unterschiedlicher Hersteller laufen. Die genaue Hardwarespezifikation sollte mit den secunet Beratern vor der Beschaffung nochmals abgestimmt werden. Bei Bedarf kann ein Gesamtangebot (Hard- und Software) bei secunet bestellt werden.
5. Wie funktioniert der Sensor?
Die Sensoren sind auf adäquater Hardware/Virtualisierungsumgebung installierte Docker-Pakete, welche den Netzwerkverkehr passiv (z.B. über Mirror-Ports) analysieren. Der Sensor leitet detektierte Informationen an das Core-System weiter, wo diese gespeichert werden. Der Sensor selbst speichert diese Informationen im Falle einer nicht erreichbaren Core-Instanz zwischen (Caching).
6. Gibt es auch Sensoren für den Einsatz in SPS-Netzwerken?
Alles, was über Ethernet kommuniziert wird, kann verarbeitet werden. Zukünftig sind auch kleinere Sensoren für die maschinennahe Anwendung geplant.
7. Wer nimmt die Bewertung eines Events vor?
Zum einen wird von einem secunet-Kurator eine duale Bewertung auf alle Event-erzeugenden Signaturen oder dessen Feeds angewandt, zum anderen kann durch den Kunden eine Filterung in Form des Relevanzbereiches auf Basis der Vorbewertung durchgeführt werden. Zusätzlich beinhalten Events i.d.R. eigene Kritikalitäten, welche ebenfalls als Indikatoren gewertet werden können.
8. Sind Event Push Mails oder SMS möglich?
Für Alarmierungen steht eine Notification-Funktion über E-Mail zur Verfügung. Der Versand als SMS wird in einer kommenden Version integriert sein.
9. Welche Anbindungen hat das System an Incident Management Tools?
Der Sensor kann auch als eigenständige Einheit an SIEM-Systeme anderer Hersteller über die Standardschnittstelle Syslog angebunden werden, alternativ steht eine umfangreiche API zur Verfügung.
10. Bietet secunet einen SOC mit an?
Die secunet bietet keinen Dienst als Security Operation Center (SOC) an. Wenn dies benötigt wird, kann secunet Partner benennen, die einen solchen Dienst etabliert haben.
Downloads
Schicken Sie uns eine Anfrage über das Kontaktformular. Wir helfen gerne weiter.

