Insights
Drei Schritte zur Angriffserkennung gemäß BSI
Mit dem zweiten IT-Sicherheitsgesetz (IT-SiG 2.0) wurden sowohl das „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ (BSIG) als auch das „Gesetz über die Elektrizitäts- und Gasversorgung“ (Energiewirtschaftsgesetz, EnWG) in Bezug auf KRITIS nachgeschärft. Sie verlangen nun verpflichtend die Einrichtung von Systemen zur Angriffserkennung (SzA). Wie lassen sich die Anforderungen des BSI zuverlässig erfüllen?
Im Video: Was Sie über Angriffserkennung wissen müssen
Für Schnellleser
- Seit dem 1. Mai 2023 müssen KRITIS-Betreiber Systeme zur Angriffserkennung nach Stand der Technik zur Zertifizierung nachweisen ►
- Die „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ des BSI definiert dessen Anforderungen näher
- Sie soll außerdem künftig prüfenden Stellen als Anhaltspunkt dienen
- Gemäß Orientierungshilfe lassen sich die Aufgaben von Systemen zur Angriffserkennung drei Bereichen zuordnen ►
- Systeme müssen durch fortlaufende Auswertung der gesammelten Informationen sicherheitsrelevante Ereignisse erkennen ►
- Die durch die Protokollierung erzeugten Daten müssen auf Abweichungen analysiert werden ►
- Auf die mit der Detektion erkannten sicherheitsrelevanten Ereignisse muss adäquat reagiert werden ►
- Praxistipp: Intelligente Angriffserkennung mit einem NDR-System nach Stand der Technik ►
Angriffserkennung gemäß BSI
Paragraph 8a des BSI-Gesetzes (BSIG) verpflichtet Betreiber kritischer Infrastrukturen sowie Unternehmen im besonderen öffentlichen Interesse, seit dem 1. Mai 2023 Systeme zur Angriffserkennung (SzA) einzusetzen. Denn diese gelten als effektive Maßnahme, um Cyberangriffe frühzeitig zu erkennen, Schäden zu vermeiden oder zumindest zu vermindern. Um für betroffene Unternehmen bei der individuellen Umsetzung der neuen gesetzlichen Anforderungen zusätzliche Klarheit und Sicherheit zu schaffen, hatte das BSI Ende September 2022 eine „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ herausgegeben. Sie soll künftig auch prüfenden Stellen als Anhaltspunkt dienen.
Funktionen und Aufgabenbereiche von Systemen zur Angriffserkennung
Gemäß Orientierungshilfe lassen sich die technischen Funktionen und Aufgabenbereiche von Systemen zur Angriffserkennung drei Bereichen zuordnen:
- Protokollierung
- Detektion
- Reaktion.
So müssen die Systeme durch fortlaufende Auswertung der gesammelten Informationen sicherheitsrelevante Ereignisse erkennen, beispielsweise durch Missbrauchs- oder Anomalie-Erkennung. Sie sollten ferner Maßnahmen implementieren, um Störungen infolge von Angriffen zu verhindern oder auf sie zu reagieren. Dies kann sowohl durch technische als auch durch organisatorische Maßnahmen umgesetzt werden.
1. Protokollierung in der Angriffserkennung
In der gängigen IT-Infrastruktur haben sich zentrale Protokollierungsdienste und Log-Management-Lösungen weitgehend etabliert. Sie ermöglichen eine umfassende Analyse von Vorgängen und Angriffen. Anders sieht es dagegen im Internet der Dinge aus, beispielsweise bei vernetzten Maschinen und Anlagen in der industriellen Produktion. Ein zentrales Logging ist hier bisher nur sehr selten anzufinden, jedoch unerlässlich, um Störungen und Angriffe effektiv zu erkennen und zu bekämpfen. Eine zentrale Erfassung der relevanten Logdaten aller Komponenten ist darum Pflicht.
Auch gibt es Komponenten im Netz, die aufgrund ihrer beschränkten Ressourcen neben der normalen Funktion keine zusätzlichen Logging-Aufgaben übernehmen können. In solchen Fällen ist eine Überwachung des entsprechenden Netzwerksegments von außen notwendig. Auch diese Überwachungserkenntnisse müssen in das zentrale Logging eingespeist werden.
Die Qualität der Erkennung ist davon abhängig, dass ein Netzwerk vom System zur Angriffserkennung vollständig gescannt werden kann. Relevante Daten sind beispielsweise, welche Geräte im Netzwerk vorhanden sind, wer mit wem kommuniziert, und welche Kommunikationsprotokolle wie häufig verwendet werden. Daher empfiehlt das BSI, zusätzlich ein System zur Netzwerküberwachung zu installieren, selbst wenn alle Geräte ihre Aktivitäten eigenständig protokollieren können. Denn nur mit einer breiten Datenbasis kann die nachfolgende Detektion erfolgreich sein.
2. Auf Abweichungen analysieren - und richtig bewerten
Die durch die Protokollierung erzeugten Daten müssen auf Abweichungen analysiert werden. Dabei ist es nicht empfohlen, sich alleine auf eine technische und automatische Analyse zu verlassen. Stattdessen muss zwingend ein Mensch die Protokolle regelmäßig und vollständig auf Auffälligkeiten prüfen.
Das BSI ist sich der Schwierigkeit bewusst, dass technische Systeme zwar sehr gut Abweichungen von gelernten Mustern erkennen, jedoch nur sehr schlecht deren Auswirkungen einschätzen können. Zumal in gängigen Anlagen (gewollte) Änderungen die Lernfähigkeiten von automatischen Methoden regelmäßig überfordern. Das Erkennen von neuen und unbekannten Störungen und die Bewertung ob es sich um Störfälle, Probleme oder gar Angriffe handelt, obliegt also explizit dem Fachpersonal.
3. Effektive Reaktion braucht ein klares Lagebild
Auf die mit der Detektion erkannten sicherheitsrelevanten Ereignisse muss dann adäquat reagiert werden. Neben der Benennung von Verantwortlichen sind hier vor allem die Definition und Einhaltung von standardisierten Vorgehensweisen wichtig. Nur wenn alle Beteiligten und Betroffenen schnell ein klares Bild von der Bedrohung und der nötigen Reaktion haben, kann auch effektiv reagiert werden.
Dabei ist es elementar wichtig, zwischen mehr oder weniger drastischen Maßnahmen der Angriffsbekämpfung auf der einen und der Sicherstellung der eigentlichen Kernaufgabe der kritischen Infrastruktur auf der anderen Seite abzuwägen. Auch die passende und zeitnahe Information an die jeweils relevanten Meldestellen muss definiert sein.
Je schneller und umfassender Maßnahmen erfolgen, um so effektiver wirken sie. Daher wird zumindest in weniger kritischen Bereichen auch die automatische Reaktion nicht nur empfohlen sondern muss möglich sein. Die Überwachung eines Netzwerkes mit der Möglichkeit des aktiven und automatisierten Eingreifens muss also von Anfang an berücksichtigt werden.
Angriffserkennung nach Stand der Technik umsetzen
Wie sich Protokollierung, Detektion und Reaktion mit Anomalierkennung nach aktuellem Stand der Technik unterstützen lassen, sei am Beispiel des Network Detection and Response (NDR) Systems cognitix Threat Defender erklärt. Die intelligente Lösung erfüllt alle wesentlichen gesetzlichen Anforderungen an ein technisches System zur Angriffserkennung. cognitix Threat Defender zeichnet sich unter anderem durch eine exzellente Erkennung von Netzwerkkomponenten aus und bezieht alle maßgeblichen Systeme, Komponenten oder Prozesse wie IT, OT, Rechenzentren und Embedded-Systeme ein. Betreiber können relevante Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten.
Werden Auffälligkeiten entdeckt, steht ein abgestuftes Spektrum an Reaktionsmöglichkeiten zur Verfügung. Neben der Meldung von Anomalien können Geräte und Kommunikationen beispielsweise isoliert, verlangsamt oder vollständig blockiert werden. Um bei unklarer Bedrohungslage unnötige Beeinträchtigungen im Netzwerk zu vermeiden, kann cognitix Threat Defender im Fall einer Inzidenz auch adaptiv reagieren. Dann lässt er für das betroffene Gerät im Netzwerk nur jene Aktionen zu, die in den vergangenen 24 Stunden als „normal“ gelernt wurden. Alles, was davon abweicht, wird gedrosselt oder blockiert und an die Security-Verantwortlichen gemeldet. Damit gewinnen diese Zeit für eine angepasste und effektive Reaktion.
Organisatorische Maßnahmen unterstützen
Ein System zur Abwehrerkennung beschränkt sich laut BSI allerdings nicht allein auf technische Lösungen, sondern umfasst auch organisatorische Maßnahmen, um die Cybersicherheit eines Unternehmens sicherzustellen. cognitix Threat Defender als technische Komponente ist darum auch mit Blick auf die Usability entwickelt worden. Mit der modernen Benutzeroberfläche werden dem Verantwortlichen die relevanten Informationen auf einfache Weise dargestellt und geben damit schnell die „situal awareness“.
Quellen und weiterführende Links
- PDF Download des BSI: Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung
- Performante Angriffserkennung für zuverlässigen Schutz von IT- und OT-Netzen: cognitix Threat Defender
- Interview mit Michael Barth, genua GmbH: Angriffserkennung rechtssicher gestalten
- Themenseite: Kritische IT-Infrastruktur mit Anomalieerkennung automatisiert absichern