:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit für kritische Infrastrukturen (KRITIS) Systeme zur Angriffserkennung in der Leit- und Fernwirktechnik
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
Mit der Einführung des IT-SiG 2.0 rückt die Erkennung und der Umgang mit Cyberangriffen in der Leit- und Fernwirktechnik von Energie- und Wasserversorgern immer mehr in den Vordergrund. Das Verständnis über Werkzeuge, Prozesse und Betriebsleistungen ist dabei ein entscheidender Faktor.
Für große Versorgungsunternehmen ist es ein leichtes adäquate Überwachungswerkzeuge im eigenen Security Operations Center zu betreiben. Anders geht es dabei mittelständischen Betrieben, welche oft weder über die finanziellen Mittel noch über das nötige Fachpersonal verfügen. Ein angemessenes Sicherheitssystem zu etablieren, stellt solche Betreiber schnell vor eine große Herausforderung. Unglücklicherweise nutzen findige Softwarehersteller diesen Umstand nur zu gern aus.
Ein System zur Angriffserkennung ist…
Bis Mai 2023 (BSIG §8a Abs. 1a, EnWG §11 Abs 1f) verlangen das BSIG (§2 Abs. 9b, §8a Abs 1) und EnWG (§11 Abs. 1e) von Betreibern Kritischer Infrastrukturen und Energieverteilungsnetzen ein System zur Angriffserkennung (SzA). Es ist ein System aus Werkzeugen, Prozessen und Spezialisten. Geeignete Betriebsparameter sollen mit angemessenem Aufwand nach Stand der Technik automatisiert untersucht werden. Auf diese Weise können Cyberangriffe nicht nur erkannt, sondern auch behandelt werden. Das schafft einen eindeutigen Sicherheitsmehrwert].
Die nach BSIG (§8a) zertifizierten Versorgungsunternehmen haben einen zeitlichen Vorteil. Sie müssen den Nachweis erst im nächsten regulären Audit erbringen, welches dem Termin des 01.05.23 nachfolgt. Ein entsprechendes Sicherheitssystem rechtzeitig in Betrieb zu nehmen, ist dennoch unerlässlich. Besonders im Hinblick auf die Frage der Haftung müssen sich Energie- und Wasserversorger unbedingt absichern.
Alle anderen Unternehmen, welche die in der KRITIS-V festgelegten Schwellenwerte unterschreiten, unterliegen bislang noch nicht den gesetzlichen Vorgaben. Es ist jedoch die nationale Umsetzung der europäischen NIS2-Richtlinie für 2024 abzusehen. Die Gruppe der KRITIS Betreiber wird sich dadurch bedeutend vergrößern. Grund dafür sind die in der Richtlinie vorgegebenen Kennwerte, wie Umsatz und Mitarbeiterzahl. Durch die steigenden Anforderungen müssen sich nun noch mehr Versorgungsunternehmen dem Thema SzA in der Zukunft dringend annehmen.
Bei der Planung eines funktionierenden SzA muss man sich zunächst über die erforderlichen Bestandteile im Klaren sein. Mit der Beschaffung und Installation von Software für Intrusion Detection (IDS) und oder Logmanagement bzw. Security Information & Event Management (SIEM) können die Anforderungen eines SzA nur teilweise erfüllt werden. Zur Vermeidung solcher Missverständnisse definiert die Orientierungshilfe (OH) des BSI die Auslegung genauer.
Bestandteile eines Systems zur Angriffserkennung
Ein System zur Angriffserkennung kann in die folgenden Bestandteile aufgeteilt werden:
Datenerfassung (Protokollierung)
- Die Erfassung relevanter Protokolldaten der betreffenden Systeme und Netzwerke, die Aufschluss über einen Cyberangriff geben können
Detektion
- Die Durchsuchung der Protokolldaten nach geeigneten Hinweisen auf sicherheitsrelevante Ereignisse, wie mögliche Angriffe oder Schwachstellen
Reaktion
- Der angemessene Umgang mit entdeckten sicherheitsrelevanten Ereignissen
Wie geht man so ein Thema an?
Bei der Planung eines Systems zur Angriffserkennung ist der Umfang nicht zu unterschätzen. Die technischen Werkzeuge sind nur ein Bestandteil, der berücksichtigt werden muss. Der Startpunkt der Planung sollte die Festlegung der genauen Anforderungen sein. Die Suche nach geeigneten Werkzeugen und deren Betriebsmodell erfolgt dann auf Basis dessen im nächsten Schritt.
Ratsam ist es auch sich zu Beginn der Planung einen Überblick über bereits vorhandene Protokollierungs- und Erkennungsmaßnahmen zu verschaffen. Auf diese kann später aufgebaut werden. Dies gibt schon viel Aufschluss darüber, welche Optionen beim Betrieb eines solchen Systems in Frage kommen und welches Know-how extern besorgt werden muss.
Vorgehensweise einer Planung
- Prüfung aller relevanten Datenquellen (Systeme und Netzwerke) und zu erfassenden Daten anhand des Risikomanagements (Angriffsvektoren, Eintrittswahrscheinlichkeiten, Schadenshöhen) und der Netzwerkstrukturpläne
- Prüfung der zentralen Auswertbarkeit der Daten (Datenformate, verfügbare Hard- und Softwareschnittstellen)
- Festlegung von geeigneten Speicherdauern und resultierenden Speichervolumen
- Beachtung der DSGVO und BetrVG Anforderungen
- Festlegung der Erkennungsmethoden anhand der Angriffsvektoren
- Festlegung eines Prozesses für die systematische und regelmäßige Erfassung und Integration von Angriffsdaten in die Erkennungsmethodik
- Festlegung des gewünschten Betriebsmodells (Leistungen selbst erbringen oder zukaufen). Bei der Nutzung von Dienstleistern, Definition der Schnittstellen
- Prüfung und ggf. Ergänzung vorhandener Notfallmanagement Prozesse
Vorgehensweise Umsetzung
- Abhängig vom Betriebsmodell, Auswahl der Werkzeuge bzw. Dienstleister
- Aufbau der erforderlichen Personalorganisation
- Implementierung der Prozesse
- Implementierung eines KVP – Ein System zur Angriffserkennung erfordert im Betrieb eine kontinuierliche Verbesserung, um effizient und wirksam zu funktionieren
- Durchführung von Übungen zur Feststellung und Verbesserung der Wirksamkeit
Make-or-Buy Entscheidung
Abhängig von der Auslastung des eigenen Informationssicherheitsbeauftragten (ISB), kann es eine große Hilfe sein, einen externen Berater in die Planung mit einzubeziehen. Bei der Auswahl eines externen Dienstleisters sollte man besonders auf Erfahrung und entsprechendes Hintergrundwissen (ISMS für Betreiber des entsprechenden Sektors) wert legen.
Besonders in kleinen und mittelständischen Unternehmen sind die Mitarbeiter oft vielen verschiedenen Aufgaben verpflichtet. Daher bietet sich an dieser Stelle der Einsatz eines externen Dienstleisters an. Dieser kann durch sein Know-how und seine zusätzliche Verfügbarkeit die Mitarbeiter geeignet ergänzen. Für Versorgungsbetriebe mit überschaubarer Größe bietet sich dadurch eine gute Alternative zu dem zeit- und kostenintensiven Aufbau einer, eigens für das SzA gedachten, Personalorganisation.
Will man einen Dienstleister verpflichten, muss man sich überlegen, welches Betriebsmodell für das eigene Unternehmen am sinnvollsten ist. Zunächst gibt es die Möglichkeit dem Dienstleister nur den unmittelbaren Betrieb der Überwachungssysteme zu überlassen. Hierbei wird sich allein um die Verfügbarkeit und Aktualität aller Komponenten gekümmert. Darüber hinaus kann der Dienstleister auch mit der Datenanalyse betraut werden. Das bedeutet, er erbringt eine ganzheitliche Leistung. Der Vorteil dabei ist, dass es klare Verantwortlichkeiten für die Leistungserbringung gibt und lästige Schnittstellendiskussionen vermieden werden.
Ein weiterer wichtiger Punkt ist der Verarbeitungsort aller erhobenen Daten. Demnach sollten Datenverarbeitung und Datenhaltung innerhalb derselben Infrastruktur stattfinden. Der Dienstleister absolviert seine Aufgabe über einen sicheren Fernzugriff mit geeigneten Verschlüsselungs- und Authentisierungsverfahren. Diese Maßnahmen beugen einer ungewollten Verbreitung von sensiblen Daten vor und reduzieren das Risiko bei einer Kompromittierung des Dienstleisters erheblich.
Weitere Details zu Komponenten und der Umsetzung sind in Angriffserkennung in Leit- und Fernwirktechnik als Dienstleistung im vgbe energy journal 09/2022 beschrieben
Fazit
Der Aufbau eines Systems zur Erkennung von Cyberangriffen in der Produktionsumgebung eines Versorgungsunternehmens ist nicht nur sinnvoll, sondern auch notwendig. Erst ab einer ausreichenden Unternehmensgröße ist es für einen Betreiber wirtschaftlich möglich, diese Anforderungen aus eigener Kraft autark zu bewerkstelligen. Dazu kommt die Aufgabe geeignetes Personal zu finden und dauerhaft zu halten. Kleine- und mittelständische Unternehmen sind besser beraten, sich mit passenden Dienstleistern auszustatten.
Veränderungen der Produktionsumgebungen sind im Rahmen der Digitalisierung immer häufiger erforderlich. Umso mehr ist ein Partner auf Augenhöhe und mit ausreichend Flexibilität erforderlich. Hohe Investitionskosten und langfristige Bindungen sind hier eher hinderlich. Diese Anforderungen verlangen einen Paradigmenwechsel im Vergleich zu früheren Systemeinführungen.
Eingehendere Informationen zum Nachweisverfahren finden sich im Folgeartikel „Aktueller Stand zum Nachweis für Angriffserkennungssysteme“.
Über den Autor: Sascha Jäger ist Geschäftsführer und Gesellschafter bei der ausecus GmbH. Von 1996 bis 2013 war er in unterschiedlichen Positionen bei dem IT-Security Spezialisten Integralis/NTT in Deutschland, Österreich, Schweiz und Frankreich tätig, zuletzt als Geschäftsführer. Anschließend war er bei Fujitsu für den Aufbau des Bereichs Cybersecurity (Security Operations Center) in Zentraleuropa verantwortlich und leitete diesen bis zu seinem Start bei ausecus im Januar 2021.
(ID:49223071)
:quality(80)/images.vogel.de/vogelonline/bdb/1946000/1946093/original.jpg "Ein anspruchsvoller Rechtsrahmen soll in Europa den Schutz des Cyberspace steigern. Die großflächige Abhängigkeit europäischer Firmen von der Versorgung mit kritischen Komponenten aus Drittstaaten erschwert den Erhalt der Konformität. Abhilfe sollen neue legislative Initiativen schaffen. (viperagp - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1913800/1913874/original.jpg "BDO nutzt Künstliche Intelligenz und Maschinelles Lernen, um Anwender vor Hackingangriffen zu warnen. (peshkov - stock.adobe.com)")