Angriffserkennung in der Cyber Security

CYBERSECURITY: Angriffserkennung als Bestandteil einer wirksamen IT-Sicherheitsstrategie

Mitte Juni 2022 veröffentlichte das BSI den Entwurf einer neuen Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (SzA). Bis 19. August 2022 hat die Öffentlichkeit nun Zeit, Kommentare und Anpassungswünsche einzubringen.

Der Community Draft konkretisiert die bereits mit dem IT-Sicherheitsgesetz 2.0 im Mai 2021 vorgegebene Pflicht zu Planung, Einführung und Betrieb wirksamer SzA für die drei Bereiche Protokollierung, Detektion und Reaktion. Die Mindestanforderungen für diese drei Bereiche werden im Folgenden kurz dargestellt.

Laut der Orientierungshilfe sind Betreiber Kritischer Infrastrukturen, Betreiber von Energieanlagen und Energieversorgungsnetzen sowie prüfende Stellen zum 1. Mai 2023 verpflichtet, angemessene organisatorische und technische Sicherheitsvorkehrungen zu treffen und ihre informationstechnischen Systeme, Komponenten und Prozesse integer, authentisch und vertraulich zu betreiben. Die Beurteilung der Qualität der eingesetzten Systeme orientiert sich an einem mehrstufigen Reifegradmodell.

Dabei ist vorgesehen, dass die individuelle Umsetzung der gesetzlichen Anforderungen alle zwei Jahre erneut anhand standardisierter Compliance-Dokumentationen (z. B. mittels Formulare für den Nachweis zu § 8a (1a) BSIG und § 11 (1d) EnWG) nachgewiesen werden muss.

Zur konkreten Umsetzung empfiehlt sich laut BSI die Etablierung eines nach DIN EN ISO 27001 zertifizierten Informationssicherheits-Management-Systems (ISMS) – bei Bedarf in Zusammenarbeit mit branchenerfahrenen Sicherheitsspezialisten.

1. Protokollierung

Als Mindestanforderung sind in der Orientierungshilfe der Aufbau einer zentralen Protokollierungsinfrastruktur sowie die Bereitstellung von Protokollierungsdaten für die Auswertung angegeben. In größeren Informationsverbunden müssen außerdem alle gesammelten sicherheitsrelevanten Protokollierungsdaten an zentralen Stellen gespeichert werden. Dafür muss die Protokollierungsinfrastruktur ausreichend dimensioniert und mit genügend technischen, finanziellen und personellen Ressourcen ausgerüstet sein. Zudem sind die gesammelten Protokollierungsdaten zu filtern, zu normalisieren, zu aggregieren und zu korrelieren, damit sie geeignet verfügbar gemacht und ausgewertet werden können.

2. Detektion

Folgende Mindestanforderung stellt das BSI:

  • die kontinuierliche Überwachung und Auswertung von Protokolldaten
  • den Einsatz zusätzlicher Detektionssysteme
  • die Nutzung einer zentralen Protokollierungsinfrastruktur für die Auswertung sicherheitsrelevanter Ereignisse
  • die Auswertung von Informationen aus externen Quellen
  • die Auswertung der Protokolldaten durch spezialisiertes Personal
  • zentrale Detektion und Echtzeitprüfungen von Ereignismeldungen
  • die automatische Reaktion auf sicherheitsrelevante Ereignisse

3. Reaktion

Die Orientierungshilfe sieht mindestens vor, dass alle Basisanforderungen zur Behandlung von Sicherheitsvorfällen erfüllt werden. Die Systeme zur Angriffserkennung sollten automatisiert Maßnahmen zur Vermeidung und Beseitigung angriffsbedingter Störungen ergreifen können – ohne Beeinträchtigung der kritischen Dienstleistung.

Was jetzt zu tun ist

Für Kritische Infrastrukturen empfiehlt es sich, in drei Schritten vorzugehen:

  • Inventarisierung und Datenflussprüfung
  • Erarbeitung eines Protokollierungskonzeptes
  • Einführung einer Protokollierungsinfrastruktur

Hier hat sich eine zweistufige Umsetzung mit einem unmittelbar auf Angriffe reagierenden SOC (Security Operations Center) sowie einem SIEM (Security Information and Event Management) bewährt. Letzteres kann ggf. um ein zusätzliches IPS (Intrusion Prevention System) erweitert werden.

Informationen und Unterstützung finden Sie unter: https://www.secusys.de/it-sicherheit/

Kontakt: security-experts@oediv.de