Gesponsert

Stichtag 1. Mai für IT-SiG 2.0 So setzen KRITIS-Betreiber Angriffserkennung pünktlich um

Gesponsert von

Protokollierung, Detektion, Reaktion: Anhand dieser drei Stufen hat das BSI kürzlich seine Anforderungen an Systeme zur Angriffserkennung konkretisiert. Wie diese sich mit cognitix Threat Defender zuverlässig erfüllen lassen, und das zu Sonderkonditionen, lesen Sie hier.

Der cognitix Threat Defender von genua hilft bei der Erfüllung der Anforderungen an die Angriffserkennung gemäß IT-SiG 2.0.
Der cognitix Threat Defender von genua hilft bei der Erfüllung der Anforderungen an die Angriffserkennung gemäß IT-SiG 2.0.
(Bild: stock.adobe.com - JT_Jeeraphun)

Mit dem zweiten IT-Sicherheitsgesetz (IT-SiG 2.0) vom Mai 2021 wurden sowohl das „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ (BSIG) als auch das „Gesetz über die Elektrizitäts- und Gasversorgung“ (Energiewirtschaftsgesetz, EnWG) in Bezug auf KRITIS nachgeschärft. Sie verlangen nun verpflichtend die Einrichtung von Systemen zur Angriffserkennung (SzA), um Cyberangriffe frühzeitig zu erkennen, Schäden zu vermeiden oder wenigstens zu reduzieren. Diese müssen spätestens ab dem 1. Mai 2023 zur Zertifizierung nachgewiesen werden.

Um die Betreiber Kritischer Infrastrukturen bei der individuellen Umsetzung der Vorkehrungen zur IT-Security zu unterstützen, hat das BSI eine Orientierungshilfe für Systeme zur Angriffserkennung veröffentlicht. Sie erläutert die Anforderungen anhand der drei Stufen der Gefahrenabwehr:

  • 1. Protokollierung,
  • 2. Detektion,
  • 3. Reaktion

Protokollierung: Datenerfassung sicherstellen

In der gängigen IT-Infrastruktur haben sich zentrale Protokollierungsdienste und Log-Management-Lösungen weitgehend etabliert. Sie ermöglichen eine umfassende Analyse von Vorgängen und Angriffen. Anders sieht es dagegen im Internet der Dinge aus, beispielsweise bei vernetzten Maschinen und Anlagen in der industriellen Produktion. Ein zentrales Logging ist hier bisher nur sehr selten anzufinden, für eine effektive Erkennung und Bekämpfung von Störungen und Angriffen aber unerlässlich. Die zentrale Erfassung der relevanten Logdaten aller Komponenten ist darum Pflicht.

Auch gibt es Komponenten im Netz, die aufgrund ihrer beschränkten Ressourcen neben der normalen Funktion keine zusätzlichen Logging-Aufgaben übernehmen können. In solchen Fällen ist eine Überwachung des entsprechenden Netzwerksegments von außen notwendig. Auch diese Überwachungserkenntnisse müssen in das zentrale Logging eingespeist werden.

Die Qualität der Erkennung ist davon abhängig, dass das Netzwerk vom System zur Angriffserkennung vollständig gescannt werden kann. Relevante Daten sind beispielsweise, welche Geräte im Netzwerk vorhanden sind, wer mit wem kommuniziert, und welche Kommunikationsprotokolle wie häufig verwendet werden. Daher empfiehlt das BSI, zusätzlich ein System zur Netzwerküberwachung zu installieren, selbst wenn alle Geräte ihre Aktivitäten eigenständig protokollieren können. Denn nur mit einer breiten Datenbasis kann die nachfolgende Detektion erfolgreich sein.

Jetzt Cognitix Threat Defender Angebot zu Sonderkonditionen sichern

Detektion: Auffälligkeiten erkennen und bewerten

Die durch die Protokollierung erzeugten Daten müssen auf Abweichungen analysiert werden. Dabei darf sich nicht allein auf eine technische und automatische Analyse verlassen werden, es muss zwingend ein Mensch die Protokolle regelmäßig vollständig auf Auffälligkeiten prüfen.

Der cognitix Threat Defender zeigt aufsummiert, welche Assets in den letzten 30 Tagen wie viel Datenverkehr initiiert bzw. beantwortet haben sowie den Datenverkehr zwischen den Assets. Die Qualität von Angriffserkennung ist davon abhängig, dass Assets und Kommunikation im Netzwerk vollständig gescannt werden können.
Der cognitix Threat Defender zeigt aufsummiert, welche Assets in den letzten 30 Tagen wie viel Datenverkehr initiiert bzw. beantwortet haben sowie den Datenverkehr zwischen den Assets. Die Qualität von Angriffserkennung ist davon abhängig, dass Assets und Kommunikation im Netzwerk vollständig gescannt werden können.
(Bild: genua)

Das BSI ist sich hier der Schwierigkeit bewusst, dass technische Systeme zwar sehr gut Abweichungen von gelernten Mustern erkennen, jedoch nur sehr schlecht deren Auswirkungen einschätzen können. Zumal in gängigen Anlagen die (gewollten) Änderungen die Lernfähigkeiten von automatischen Methoden regelmäßig überfordern. Das Erkennen von neuen und unbekannten Störungen und die Bewertung ob es sich um Störfälle, Probleme oder gar Angriffe handelt, obliegt also explizit dem Fachpersonal.

Reaktion: Zwischen Abwehr und Betriebssicherheit

Auf die mit der Detektion erkannten (sicherheitsrelevanten) Ereignisse muss dann adäquat reagiert werden. Neben der Benennung von Verantwortlichen sind hier vor allem die Definition und Einhaltung von standardisierten Vorgehensweisen wichtig. Nur wenn alle Beteiligten und Betroffenen schnell ein klares Bild von der Bedrohung und der nötigen Reaktion haben, kann auch effektiv reagiert werden.

Dabei ist die Abwägung zwischen mehr oder weniger drastischen Maßnahmen der Angriffsbekämpfung auf der einen und der Sicherstellung der eigentlichen Kernaufgabe der kritischen Infrastruktur auf der anderen Seite von elementarer Wichtigkeit. Auch die passende und zeitnahe Information an die jeweils relevanten Meldestellen muss hier definiert sein.

Da Maßnahmen um so effektiver sind, je schneller und umfassender sie erfolgen, wird zumindest in den weniger kritischen Bereichen auch die automatische Reaktion nicht nur empfohlen sondern muss sogar möglich sein. Die Überwachung des Netzwerkes mit der Möglichkeit des aktiven und automatisierten Eingreifens muss also von Anfang ein mit eingeplant werden.

Angriffserkennung nach aktuellem Stand der Technik

cognitix Threat Defender von genua unterstützt IT- und OT-Verantwortliche dabei, die technischen Anforderungen an die Angriffserkennung gemäß IT-SiG 2.0 umfassend und rechtzeitig zum Stichtag 1. Mai 2023 zu erfüllen und KRITIS nach dem Stand der Technik abzusichern. Das System zeichnet sich unter anderem durch eine exzellente Erkennung von Netzwerkkomponenten aus.

Blick ins Cockpit des cognitix Threat Defender. Nur wenn alle Beteiligten und Betroffenen schnell ein klares Bild von der Bedrohung und der nötigen Reaktion haben, kann effektiv reagiert werden.
Blick ins Cockpit des cognitix Threat Defender. Nur wenn alle Beteiligten und Betroffenen schnell ein klares Bild von der Bedrohung und der nötigen Reaktion haben, kann effektiv reagiert werden.
(Bild: genua)

Anwender loben die hohe Visibilität von Geräten und Ereignissen. Bei der Detektion von Anomalien deckt die Lösung alle Typen von Kritischen Infrastrukturen ab. Sie ist nicht nur auf eine Branche, beispielsweise die Energiewirtschaft, ausgelegt.

Darüber hinaus übernimmt cognitix Threat Defender auch den aktiven Part. Werden Auffälligkeiten entdeckt, steht ein abgestuftes Spektrum an Reaktionsmöglichkeiten zur Verfügung. Neben der Meldung von Anomalien können Geräte und Kommunikationen beispielsweise isoliert, verlangsamt oder vollständig blockiert werden. Um bei unklarer Bedrohungslage unnötige Beeinträchtigungen im Netzwerk zu vermeiden, kann cognitix Threat Defender im Fall einer Inzidenz auch adaptiv reagieren. Dann lässt er für das betroffene Gerät im Netzwerk nur jene Aktionen zu, die in den vergangenen 24 Stunden als „normal“ gelernt wurden. Alles, was davon abweicht, wird gedrosselt oder blockiert und an die Security-Verantwortlichen gemeldet. Damit gewinnen diese Zeit für eine angepasste und effektive Reaktion.

Organisatorische Maßnahmen unterstützen

Ein System zur Abwehrerkennung beschränkt sich laut BSI allerdings nicht allein auf technische Lösungen, sondern umfasst auch organisatorische Maßnahmen, um die Cybersicherheit eines Unternehmens sicherzustellen. cognitix Threat Defender als technische Komponente ist darum auch mit Blick auf die Usability entwickelt worden. Mit der modernen Benutzeroberfläche werden dem Verantwortlichen die relevanten Informationen auf einfache Weise dargestellt und geben damit schnell die „situational awareness“.

Ein weiterer Vorteil der Lösung ist ihre Herkunft: cognitix Threat Defender ist „Made in Germany“. Hersteller genua ist Teil der Bundesdruckerei-Gruppe. Entwicklung, Programmierung, Herstellung und Service liegen vollständig in deutscher Hand. Damit genießt das Produkt im Markt eine besondere Vertrauensstellung.

Jetzt Cognitix Threat Defender Angebot zu Sonderkonditionen sichern

Bis 30. April: cognitix Threat Defender zu Sonderkonditionen!

genua unterstützt KRITIS-Unternehmen bei der Einführung von Systemen zur Angriffserkennung mit einem speziellen Angebot.

Für Bestellungen, die vor dem Stichtag der gesetzlichen Regelung eingehen – also bis 30. April 2023 – gelten folgende Sonderkonditionen:

  • 35 Prozent Nachlass auf sämtliche cognitix Threat Defender Listenpreis-Softwarepakete
  • bzw. 20 Prozent Nachlass auf sämtliche cognitix Threat Defender Listenpreis-Softwarepakete in Kombination mit bestehenden vertraglichen Ermäßigungen.

Das Angebot gilt nicht für VS-NfD-Systemlösungen mit genugate/genuscreen.

(ID:49201288)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung