:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Orientierungshilfe „Systeme zur Angriffserkennung“ Angriffserkennung bei kritischen Infrastrukturen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
Mit der Orientierungshilfe für die Implementierung von Systemen zu Angriffserkennung (SzA) hat das BSI verbindliche Anforderungen für Protokollierung, Detektion und Reaktion auf Cyberangriffe veröffentlicht. Die Vorgaben sind in Kritischen Infrastrukturen und Energieversorgungsnetzen bis Mai 2023 umzusetzen.
Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat am 26.09.2022 die finale Fassung der Orientierungshilfe (OH) für die Implementierung von Systemen zu Angriffserkennung (SzA) veröffentlicht. Das 18-seitige Dokument beschreibt verbindliche Anforderungen für Protokollierung, Detektion und Reaktion. Der verwendete Terminus „System“ ist dabei nicht nur im technischen Zusammenhang zu interpretieren – er ist vielmehr als übergeordnetes Rahmenwerk zu interpretieren, dessen Inhalte es in Kritischen Infrastrukturen und Energieversorgungsnetzen bis 01.05.2023 nachweislich (alle 2 Jahre) umzusetzen gilt.
Das BSI fasst in dem Dokument die Anforderungen zusammen, die es für nachweiserbringungspflichtige Organisationen innerhalb der gesetzten Fristen anhand eines Reifegradmodell prüfungsfest umzusetzen gilt. Einleitend wird im Überblick kurz auf die gesetzlichen Grundlagen (BSI-Gesetz § 8a Absatz 1a, Energiewirtschaftsgesetz) eingegangen und die Eignung der Inhalte als Grundlage für die Fortentwicklung weiterer, branchenspezifische Standards (B3S) genannt.
Glossar & referenzierte BSI Bausteine
Vor dem Lesen der Folgekapitel lohnt es sich, vorab einen Blick in das Glossar am Ende der Orientierungshilfe zu werfen. Dabei fällt auf, dass die Verfasser bis auf die genutzte Terminologie NIDS keinerlei konkrete Anforderungen an die Technologien machen, die eingesetzt werden müssen, sollen oder können. Es bleibt vorerst unklar, was sich konkret hinter „Angriffsmuster für technische Vulnerabilitäten“ bzw. „zentrale automatisierte Analyse mit Softwaremitteln“ verbirgt bzw. durch welche Maßnahmen, Ziele erreicht werden. Das Verarbeiten entsprechender Inhalte der im Abschnitt „Weiterführende Informationen“ referenzierten BSI Grundschutzbausteine ist daher ebenfalls zu empfehlen, da erst die darin formulierten „Basis-Anforderungen“ mess- und prüfbare Parameter liefern.
Hervorzuheben sind dabei insbesondere DER.1 und DER2.1. Sehr konkret sind die Inhalte in der OH bezüglich dem Scope, der „informationstechnische Systeme, Komponenten und Prozesse“ beinhaltet, „die für die Funktionsfähigkeit der … beschriebenen Kritischen Infrastrukturen maßgeblich sind.“ Explizit genannt werden dabei „sowohl IT als auch OT, Rechenzentren oder Embedded Systems und schließt weitere Bereiche mit ein“. Dem versierten Leser wird spätestens nun klar, welche Dimension das Planen, Ausrollen und Betreiben entsprechender Systeme zur Angriffserkennung annehmen kann.
Anforderungen und Umsetzungsgradmodell
Diese Punkte sind in der OH formal beschrieben und werden in Kapitel 3 ausgeführt. Die technischen Funktionalitäten werden dabei in die 3 Blöcke „Protokollierung, Detektion und Reaktion“ unterteilt, erstgenannte jeweils zusätzlich in die 2 Unterblöcke „Planung und Umsetzung“. Hinsichtlich der Priorisierung der Anforderungen wird ein 3-stufiges System mit absteigender Priorität angewendet. MUSS-Anforderungen müssen umgesetzt werden, Ausnahmen bei der Anwendung von SOLL-Anforderungen gilt es stichhaltig zu begründen, die Erfüllung von KANN-Anforderungen wird, abhängig vom angestrebten Reifegrad, als nicht zwingend notwendig definiert. Die Muss-Anforderung „Mitarbeitende von Dienstleistern speziell damit zu beauftragen, alle Protokoll- und Protokollierungsdaten auszuwerten“ ist dabei als Verpflichtung zu interpretieren, Dritte aktiv zu integrieren. Neben der Abdeckung der Anforderungen ist die Sicherstellung des Kontinuierlichen Verbesserungsprozesses (KVP) übergreifend sicherzustellen und ebenfalls Teil der Nachweisverpflichtung, die auf Basis der Bewertung des Grades der Erfüllung von Anforderungen letztendlich durch Anwendung eines 5-stufigen Bewertungsgradmodells nachzukommen ist.
Messlatte
Betreiber sollen, so das definierte Ziel des BSI, grundsätzlich den Reifegrad 4 erreichen, um den Nachweis nach BSI-Gesetz zu erbringen. Eine Abweichung nach unten ist nur begründet zulässig. Im ersten Prüfzyklus 2023 ist aber Reifegrad 3 noch erlaubt. Dennoch setzt die Zieldefinition, gepaart mit der oben erwähnten Dimension, ein ambitioniertes Vorgehen voraus – auch vor dem Hintergrund zeitlicher Aspekte (Stichwort 01.05.2023).
Fazit
Das BSI strebt mit den Anforderungen aus der OH SzA an, dass betroffene Organisationen die Implementierung adäquater Maßnahmen für die Einführung von Systemen zur Angriffserkennung, in Form eines „längerfristig angesetzten Prozess“ umsetzen. Insbesondere vor dem Hintergrund der weltpolitischen Lage ist der zeitliche Druck dabei sicher gerechtfertigt – aber sicher auch einer der kritischen Faktoren bei einer Umsetzung.
Über den Autor: Markus Thiel ist Experte in den Bereichen ISMS, SIEM/SOC und Incident Response Management.
(ID:48839062)
:quality(80)/p7i.vogel.de/wcms/c1/87/c187643f818e4cb0ac1204bd3695e8c0/0111925819.jpeg "Die praktische Umsetzung der Orientierungshilfe für die Implementierung von Systemen zu Angriffserkennung des BSI offenbart an vielen Stellen schnell große Herausforderungen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/97/3897fc02666631708709ec8b1f5bdfa5/0109843742.jpeg "Der cognitix Threat Defender von genua hilft bei der Erfüllung der Anforderungen an die Angriffserkennung gemäß IT-SiG 2.0. (Bild: stock.adobe.com - JT_Jeeraphun)")