:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Orientierungshilfe „Systeme zur Angriffserkennung“ Angriffserkennung bei kritischen Infrastrukturen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Mit der Orientierungshilfe für die Implementierung von Systemen zu Angriffserkennung (SzA) hat das BSI verbindliche Anforderungen für Protokollierung, Detektion und Reaktion auf Cyberangriffe veröffentlicht. Die Vorgaben sind in Kritischen Infrastrukturen und Energieversorgungsnetzen bis Mai 2023 umzusetzen.
Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat am 26.09.2022 die finale Fassung der Orientierungshilfe (OH) für die Implementierung von Systemen zu Angriffserkennung (SzA) veröffentlicht. Das 18-seitige Dokument beschreibt verbindliche Anforderungen für Protokollierung, Detektion und Reaktion. Der verwendete Terminus „System“ ist dabei nicht nur im technischen Zusammenhang zu interpretieren – er ist vielmehr als übergeordnetes Rahmenwerk zu interpretieren, dessen Inhalte es in Kritischen Infrastrukturen und Energieversorgungsnetzen bis 01.05.2023 nachweislich (alle 2 Jahre) umzusetzen gilt.
Das BSI fasst in dem Dokument die Anforderungen zusammen, die es für nachweiserbringungspflichtige Organisationen innerhalb der gesetzten Fristen anhand eines Reifegradmodell prüfungsfest umzusetzen gilt. Einleitend wird im Überblick kurz auf die gesetzlichen Grundlagen (BSI-Gesetz § 8a Absatz 1a, Energiewirtschaftsgesetz) eingegangen und die Eignung der Inhalte als Grundlage für die Fortentwicklung weiterer, branchenspezifische Standards (B3S) genannt.
Glossar & referenzierte BSI Bausteine
Vor dem Lesen der Folgekapitel lohnt es sich, vorab einen Blick in das Glossar am Ende der Orientierungshilfe zu werfen. Dabei fällt auf, dass die Verfasser bis auf die genutzte Terminologie NIDS keinerlei konkrete Anforderungen an die Technologien machen, die eingesetzt werden müssen, sollen oder können. Es bleibt vorerst unklar, was sich konkret hinter „Angriffsmuster für technische Vulnerabilitäten“ bzw. „zentrale automatisierte Analyse mit Softwaremitteln“ verbirgt bzw. durch welche Maßnahmen, Ziele erreicht werden. Das Verarbeiten entsprechender Inhalte der im Abschnitt „Weiterführende Informationen“ referenzierten BSI Grundschutzbausteine ist daher ebenfalls zu empfehlen, da erst die darin formulierten „Basis-Anforderungen“ mess- und prüfbare Parameter liefern.
Hervorzuheben sind dabei insbesondere DER.1 und DER2.1. Sehr konkret sind die Inhalte in der OH bezüglich dem Scope, der „informationstechnische Systeme, Komponenten und Prozesse“ beinhaltet, „die für die Funktionsfähigkeit der … beschriebenen Kritischen Infrastrukturen maßgeblich sind.“ Explizit genannt werden dabei „sowohl IT als auch OT, Rechenzentren oder Embedded Systems und schließt weitere Bereiche mit ein“. Dem versierten Leser wird spätestens nun klar, welche Dimension das Planen, Ausrollen und Betreiben entsprechender Systeme zur Angriffserkennung annehmen kann.
Anforderungen und Umsetzungsgradmodell
Diese Punkte sind in der OH formal beschrieben und werden in Kapitel 3 ausgeführt. Die technischen Funktionalitäten werden dabei in die 3 Blöcke „Protokollierung, Detektion und Reaktion“ unterteilt, erstgenannte jeweils zusätzlich in die 2 Unterblöcke „Planung und Umsetzung“. Hinsichtlich der Priorisierung der Anforderungen wird ein 3-stufiges System mit absteigender Priorität angewendet. MUSS-Anforderungen müssen umgesetzt werden, Ausnahmen bei der Anwendung von SOLL-Anforderungen gilt es stichhaltig zu begründen, die Erfüllung von KANN-Anforderungen wird, abhängig vom angestrebten Reifegrad, als nicht zwingend notwendig definiert. Die Muss-Anforderung „Mitarbeitende von Dienstleistern speziell damit zu beauftragen, alle Protokoll- und Protokollierungsdaten auszuwerten“ ist dabei als Verpflichtung zu interpretieren, Dritte aktiv zu integrieren. Neben der Abdeckung der Anforderungen ist die Sicherstellung des Kontinuierlichen Verbesserungsprozesses (KVP) übergreifend sicherzustellen und ebenfalls Teil der Nachweisverpflichtung, die auf Basis der Bewertung des Grades der Erfüllung von Anforderungen letztendlich durch Anwendung eines 5-stufigen Bewertungsgradmodells nachzukommen ist.
Messlatte
Betreiber sollen, so das definierte Ziel des BSI, grundsätzlich den Reifegrad 4 erreichen, um den Nachweis nach BSI-Gesetz zu erbringen. Eine Abweichung nach unten ist nur begründet zulässig. Im ersten Prüfzyklus 2023 ist aber Reifegrad 3 noch erlaubt. Dennoch setzt die Zieldefinition, gepaart mit der oben erwähnten Dimension, ein ambitioniertes Vorgehen voraus – auch vor dem Hintergrund zeitlicher Aspekte (Stichwort 01.05.2023).
Fazit
Das BSI strebt mit den Anforderungen aus der OH SzA an, dass betroffene Organisationen die Implementierung adäquater Maßnahmen für die Einführung von Systemen zur Angriffserkennung, in Form eines „längerfristig angesetzten Prozess“ umsetzen. Insbesondere vor dem Hintergrund der weltpolitischen Lage ist der zeitliche Druck dabei sicher gerechtfertigt – aber sicher auch einer der kritischen Faktoren bei einer Umsetzung.
Über den Autor: Markus Thiel ist Experte in den Bereichen ISMS, SIEM/SOC und Incident Response Management.
(ID:48839062)
:quality(80)/p7i.vogel.de/wcms/c1/87/c187643f818e4cb0ac1204bd3695e8c0/0111925819.jpeg "Die praktische Umsetzung der Orientierungshilfe für die Implementierung von Systemen zu Angriffserkennung des BSI offenbart an vielen Stellen schnell große Herausforderungen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/97/3897fc02666631708709ec8b1f5bdfa5/0109843742.jpeg "Der cognitix Threat Defender von genua hilft bei der Erfüllung der Anforderungen an die Angriffserkennung gemäß IT-SiG 2.0. (Bild: stock.adobe.com - JT_Jeeraphun)")