gesponsertStichtag 1. Mai für IT-SiG 2.0 So setzen KRITIS-Betreiber Angriffserkennung pünktlich um

Protokollierung, Detektion, Reaktion: Anhand dieser drei Stufen hat das BSI kürzlich seine Anforderungen an Systeme zur Angriffserkennung konkretisiert. Wie diese sich mit cognitix Threat Defender zuverlässig erfüllen lassen, und das zu Sonderkonditionen, lesen Sie hier.

Mit dem zweiten IT-Sicherheitsgesetz (IT-SiG 2.0) vom Mai 2021 wurden sowohl das „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ (BSIG) als auch das „Gesetz über die Elektrizitäts- und Gasversorgung“ (Energiewirtschaftsgesetz, EnWG) in Bezug auf KRITIS nachgeschärft. Sie verlangen nun verpflichtend die Einrichtung von Systemen zur Angriffserkennung (SzA), um Cyberangriffe frühzeitig zu erkennen, Schäden zu vermeiden oder wenigstens zu reduzieren. Diese müssen spätestens ab dem 1. Mai 2023 zur Zertifizierung nachgewiesen werden.

Um die Betreiber Kritischer Infrastrukturen bei der individuellen Umsetzung der Vorkehrungen zur IT-Security zu unterstützen, hat das BSI eine Orientierungshilfe für Systeme zur Angriffserkennung veröffentlicht. Sie erläutert die Anforderungen anhand der drei Stufen der Gefahrenabwehr:

• 1. Protokollierung,

• 2. Detektion,

• 3. Reaktion

Protokollierung: Datenerfassung sicherstellen

In der gängigen IT-Infrastruktur haben sich zentrale Protokollierungsdienste und Log-Management-Lösungen weitgehend etabliert. Sie ermöglichen eine umfassende Analyse von Vorgängen und Angriffen. Anders sieht es dagegen im Internet der Dinge aus, beispielsweise bei vernetzten Maschinen und Anlagen in der industriellen Produktion. Ein zentrales Logging ist hier bisher nur sehr selten anzufinden, für eine effektive Erkennung und Bekämpfung von Störungen und Angriffen aber unerlässlich. Die zentrale Erfassung der relevanten Logdaten aller Komponenten ist darum Pflicht.

Auch gibt es Komponenten im Netz, die aufgrund ihrer beschränkten Ressourcen neben der normalen Funktion keine zusätzlichen Logging-Aufgaben übernehmen können. In solchen Fällen ist eine Überwachung des entsprechenden Netzwerksegments von außen notwendig. Auch diese Überwachungserkenntnisse müssen in das zentrale Logging eingespeist werden.

Die Qualität der Erkennung ist davon abhängig, dass das Netzwerk vom System zur Angriffserkennung vollständig gescannt werden kann. Relevante Daten sind beispielsweise, welche Geräte im Netzwerk vorhanden sind, wer mit wem kommuniziert, und welche Kommunikationsprotokolle wie häufig verwendet werden. Daher empfiehlt das BSI, zusätzlich ein System zur Netzwerküberwachung zu installieren, selbst wenn alle Geräte ihre Aktivitäten eigenständig protokollieren können. Denn nur mit einer breiten Datenbasis kann die nachfolgende Detektion erfolgreich sein.

Detektion: Auffälligkeiten erkennen und bewerten

Die durch die Protokollierung erzeugten Daten müssen auf Abweichungen analysiert werden. Dabei darf sich nicht allein auf eine technische und automatische Analyse verlassen werden, es muss zwingend ein Mensch die Protokolle regelmäßig vollständig auf Auffälligkeiten prüfen.

Das BSI ist sich hier der Schwierigkeit bewusst, dass technische Systeme zwar sehr gut Abweichungen von gelernten Mustern erkennen, jedoch nur sehr schlecht deren Auswirkungen einschätzen können. Zumal in gängigen Anlagen die (gewollten) Änderungen die Lernfähigkeiten von automatischen Methoden regelmäßig überfordern. Das Erkennen von neuen und unbekannten Störungen und die Bewertung ob es sich um Störfälle, Probleme oder gar Angriffe handelt, obliegt also explizit dem Fachpersonal.

Reaktion: Zwischen Abwehr und Betriebssicherheit

Auf die mit der Detektion erkannten (sicherheitsrelevanten) Ereignisse muss dann adäquat reagiert werden. Neben der Benennung von Verantwortlichen sind hier vor allem die Definition und Einhaltung von standardisierten Vorgehensweisen wichtig. Nur wenn alle Beteiligten und Betroffenen schnell ein klares Bild von der Bedrohung und der nötigen Reaktion haben, kann auch effektiv reagiert werden.

Dabei ist die Abwägung zwischen mehr oder weniger drastischen Maßnahmen der Angriffsbekämpfung auf der einen und der Sicherstellung der eigentlichen Kernaufgabe der kritischen Infrastruktur auf der anderen Seite von elementarer Wichtigkeit. Auch die passende und zeitnahe Information an die jeweils relevanten Meldestellen muss hier definiert sein.

Da Maßnahmen um so effektiver sind, je schneller und umfassender sie erfolgen, wird zumindest in den weniger kritischen Bereichen auch die automatische Reaktion nicht nur empfohlen sondern muss sogar möglich sein. Die Überwachung des Netzwerkes mit der Möglichkeit des aktiven und automatisierten Eingreifens muss also von Anfang ein mit eingeplant werden.

Angriffserkennung nach aktuellem Stand der Technik

cognitix Threat Defender von genua unterstützt IT- und OT-Verantwortliche dabei, die technischen Anforderungen an die Angriffserkennung gemäß IT-SiG 2.0 umfassend und rechtzeitig zum Stichtag 1. Mai 2023 zu erfüllen und KRITIS nach dem Stand der Technik abzusichern. Das System zeichnet sich unter anderem durch eine exzellente Erkennung von Netzwerkkomponenten aus.

Anwender loben die hohe Visibilität von Geräten und Ereignissen. Bei der Detektion von Anomalien deckt die Lösung alle Typen von Kritischen Infrastrukturen ab. Sie ist nicht nur auf eine Branche, beispielsweise die Energiewirtschaft, ausgelegt.

Darüber hinaus übernimmt cognitix Threat Defender auch den aktiven Part. Werden Auffälligkeiten entdeckt, steht ein abgestuftes Spektrum an Reaktionsmöglichkeiten zur Verfügung. Neben der Meldung von Anomalien können Geräte und Kommunikationen beispielsweise isoliert, verlangsamt oder vollständig blockiert werden. Um bei unklarer Bedrohungslage unnötige Beeinträchtigungen im Netzwerk zu vermeiden, kann cognitix Threat Defender im Fall einer Inzidenz auch adaptiv reagieren. Dann lässt er für das betroffene Gerät im Netzwerk nur jene Aktionen zu, die in den vergangenen 24 Stunden als „normal“ gelernt wurden. Alles, was davon abweicht, wird gedrosselt oder blockiert und an die Security-Verantwortlichen gemeldet. Damit gewinnen diese Zeit für eine angepasste und effektive Reaktion.

Organisatorische Maßnahmen unterstützen

Ein System zur Abwehrerkennung beschränkt sich laut BSI allerdings nicht allein auf technische Lösungen, sondern umfasst auch organisatorische Maßnahmen, um die Cybersicherheit eines Unternehmens sicherzustellen. cognitix Threat Defender als technische Komponente ist darum auch mit Blick auf die Usability entwickelt worden. Mit der modernen Benutzeroberfläche werden dem Verantwortlichen die relevanten Informationen auf einfache Weise dargestellt und geben damit schnell die „situational awareness“.

Ein weiterer Vorteil der Lösung ist ihre Herkunft: cognitix Threat Defender ist „Made in Germany“. Hersteller genua ist Teil der Bundesdruckerei-Gruppe. Entwicklung, Programmierung, Herstellung und Service liegen vollständig in deutscher Hand. Damit genießt das Produkt im Markt eine besondere Vertrauensstellung.

(ID:49201288)