Angriffserkennung in KRITIS | IT-SiG 2.0
von Ralph Belfiore
Angriffserkennung in KRITIS
Betreiber Kritischer Infrastrukturen haben die Verpflichtung, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen.
Das BSIG benennt nach Umsetzung des 2. IT-Sicherheitsgesetzes im neuen § 8a Absatz 1a BSIG nun auch ausdrücklich den Einsatz von Systemen zur Angriffserkennung (SzA).
Systeme zur Angriffserkennung | OH
Ziel des vorliegenden Entwurfs einer Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung ist es, den Betreibern Kritischer Infrastrukturen sowie den prüfenden Stellen einen Anhaltspunkt für die individuelle Umsetzung und Prüfung der Vorkehrungen zu geben.
KRITIS Angriffserkennung | Reifegrad Entwicklung
Die Systeme zur Angriffserkennung müssen von KRITIS-Prüfern ab 2023 in Prüfungen explizit untersucht werden und der Reifegrad festgestellt werden.
Die Umsetzung wird in einer Skala von 0 (keine Anforderungen), über 3 (alle Muss-Anforderungen), 4 (Muss und Soll) bis 5 (alles) bewertet und in den Nachweisformularen eingetragen.
Betreiber sollen einen Reifegrad 4 erreichen! In dem ersten Prüfzyklus ab 2023 ist wohl der Reifegrad 3 noch erlaubt.
Alle zwei Jahre muss der Reifegrad ermittelt und dokumentiert werden...
Systeme zur Angriffserkennung | Ergänzende Themen
Weitere Orientierung zum Thema Angriffserkennung bietet der IT-Grundschutz des BSI, dort unter anderem die Bausteine
- OPS.1.1.4 Schutz vor Schadprogrammen
- OPS.1.1.5 Protokollierung
- NET.1.2 Netzmanagement
- NET.3.2 Firewall
- DER.1 Detektion von sicherheitsrelevanten Ereignissen
- DER.2.1: Behandlung von Sicherheitsvorfällen
BWL Aspekt der Informationssicherheit
Aus Sicht der reinen BWL ist die Frage, ob sich die Investitionen für IT-Sicherheitsmaßnahmen lohnen, nicht wirklich einfach zu beantworten. Warum ist das so? Es gibt aktuell noch zu wenig belastbare Erfahrungswerte für die Eintrittswahrscheinlichkeit von IT Sicherheitsvorfällen.
Allerdings gibt es ein qualitatives Entscheidungskriterium: IT-Sicherheitsmaßnahmen sind erforderlich - unabhängig von den Kosten - wenn die Existenz des Unternehmens gefährdet ist oder gesetzliche Regelungen die Maßnahme erzwingen..
Angriffsvektoren | Business Risks
Gegenüber der BWL Sicht von IT-Sicherheitsmaßnahmen stehen die aktuellen Angriffsvektoren und Risiken für das Business. Neben Phishing und Malware nehmen auf Grund der zunehmenden Komplexität der IT-Welt auch gleichermaßen "Fehlkonfigurationen" zu. Auch die Fälle, wo gar nicht genau bekannt ist, ob und was passiert ist, werden immer mehr.
Egal wie man es sieht, diese "Incidents" wiegen aber genau so schwer wie von außen initiierte Angriffe und kann nicht wirklich bei einer zentralen Sicherheitsüberwachung getrennt werden!
KRITIS Angriffserkennung
Wie komplex diese Aufgabe geworden ist, zeigt diese Grafik. Themen wie Multi-Hybrid-Cloud oder Container-Technologien verstärken die Herausforderung, Transparenz und Sichtbarkeit herzustellen, um mögliche IT-Sicherheitsvorfälle besser und vor allem zeitnah zu erkennen!
SIEM Architektur zur Angriffserkennung in KRITIS
Eine entsprechende SIEM Architektur kann dabei helfen, die relevanten Logdatenquellen im Blick zu haben und Daten-Silos weitestgehend zu eliminieren. Hilfreichen Kontext für eine SIEM Auswahl kann beispielsweise über das SIEM Gartner Ranking hinzugezogen werden.
Wir haben dazu eine SIEM Auswahl Matrix mit über 100 Auswahlkriterien erstellt, die individuell mit einem Punktesystem bewertet werden kann. Alles zusammen führt dann am Ende zu einer „balanced Score Card“, die eine Entscheidung für ein geeignetes SIEM unterstützen kann.
Gleichermaßen kann aber damit aber auch eine bereits bestehende SIEM Infrastruktur den neuen Anforderungen entsprechend angepasst werden.
SIEM Markt | SIEM Auswahl | Systeme zur Angriffserkennung
Den Gartner Quadranten kennen sicherlich viele. Mindestens so interessant sind aber auch die Aussagen im Gartner Report, sehr empfehlenswert sich das durchzulesen.
Hier sind Pros & Cons zu den Lösungen beschrieben und geben eine Orientierung aus Sicht der Hersteller. Genau das gilt es in der Praxis mit den eigenen Anforderungen und Rahmenbedingungen (Ressourcen, Skill, Zeit & Budget) in Einklang zu bringen.
Erst am Ende einer vollumfänglichen Betrachtung zeigt sich, welches SIEM Tool sich im Gesamtpaket eignet!
Angriffserkennung in KRITIS | SIEM Auswahl-Kriterien | MSK
Es ist nicht immer einfach, herauszufinden, welche Produkte in die engere Auswahl einbezogen werden sollen. Noch schwieriger ist es, das beste Produkt für eine Organisation oder eine Abteilung innerhalb einer größeren Einheit zu finden.
Teil der Evaluierung von SIEM-Lösungen sollte aus diesen Gründen die Erstellung einer Liste mit Anforderungen und wichtigen Kriterien sein (M-S-K), die dann genutzt werden kann, um benötigte Fähigkeiten herauszufiltern, die für das jeweilige Unternehmen besonders wichtig sind.
Ein weiteres sehr wichtiges Kriterium für die SIEM-Tool-Auswahl sind die "Use-Cases", die später mit dem Tool umgesetzt werden sollen. Selbst das "beste" Tool erfordert gegebenenfalls manuellen Projekt-Aufwand für die Umsetzung eines "Use-Cases", da dieser im Standard des Tools nicht enthalten ist.
SIEM Auswahl | Angriffserkennung in KRITIS | Kick-Off
Die SIEM Kampagne "SIEM Auswahl zur Angriffserkennung in KRITIS" startet mit einem gemeinsamen Kickoff, bei dem die Ziele, soweit noch nicht festgelegt, und vor allem die detaillierte Vorgehensweise festgelegt werden. Der Projektplan inklusive Meilensteine wird anschließend verabschiedet und wenn notwendig angepasst.
SIEM Security Experts | Strategien mit Blick fürs Machbare!
In der IT-Welt hängt inzwischen alles mit allem zusammen! Auch bei der Cyber-Security und Angriffserkennung in KRITIS.
Wir unterstützen SIEM Security Strategien mit dem Blick auf das Machbare!
Buchen Sie ein Erstgespräch und/oder folgen uns auf LinkedIn oder Twitter, wenn es um Informationen rundum SIEM Security geht.