Ich komme aus dem Bereich und ich interessiere mich für

Angriffserkennung im IT-SiG 2.0:
KRITIS wirksam schützen

Protect & Act.

Mehr erfahren Beratung anfordern

IT-Systeme nach IT-SiG 2.0 gestalten

Angriffserkennung im IT-SiG

Das IT‑Sicherheitsgesetz verpflichtet Betreiber kritischer Infrastrukturen, ihre IT gemäß dem "Stand der Technik" abzusichern. Damit stellt es bereits eine maßgebliche Grundlage für die Ausrichtung notwendiger IT-Security-Maßnahmen dar.

Die neue, im Mai 2021 in Kraft getretene Fassung des Gesetzes (IT-SiG 2.0) definiert einen erweiterten Geltungsbereich sowie zusätzliche Pflichten für die betroffenen Unternehmen und Behörden. So müssen diese innerhalb eines Jahres eine umfassende Angriffsabwehr durch den Einsatz so genannter Security Incident & Event Management Systeme (SIEM) nachweisen.

Welche Rolle die Anomalieerkennung hierbei spielt und was die weitere Entwicklung zum IT-SiG 3.0 mit sich bringt, erläutert Michael Barth, Head of Department Corporate Affairs bei genua, im Experteninterview.

Risikozonen im Netzwerk absichern

Wegbereiter für eine effektive Anomalieerkennung

Eindringen, Verbergen, Ausspähen: Viele Angreifer arbeiten sich Schritt für Schritt in die IT-/OT-Systeme ihres Zieles vor, bevor sie spürbaren Schaden anrichten. Gegen das komplette Spektrum der Angriffsoptionen ist eine vollständige Absicherung allerdings in der Regel nicht möglich.

Erfolgreiche IT-Security-Strategien bündeln die Ressourcen bei Personal- und Technologieeinsatz, um die attraktivsten Ziele in ihrer Organisation mit höchster Priorität zu schützen. Automatisierbare Aufgaben, insbesondere bei der permanenten Überwachung aller Netzwerkkomponenten, lassen sich an IT-Security-Tools delegieren. Wir nennen wesentliche Angriffsfelder und zeigen, wie eine Anomalieerkennung dort das Schutzniveau erhöhen kann.

Sicherheitskritische Situationen können schneller entstehen, als man es wahrhaben will, gerade wenn ein Angreifer Schwächen in der Verteidigung wahrnimmt. Aus meiner Sicht kann in einem wettbewerbsorientierten Umfeld nur über starke gesetzliche Regularien wie das IT-SiG 2.0 das nötige Maß an Resilienz und Robustheit garantiert werden.

Steffen Ullrich, Software-Ingenieur Forschung, Produkte und Strategie

Welche Schwachstellen in den Verteidigungslinien Ihrer IT-Sicherheit nehmen Angreifer ins Visier?

Hier erfahren Sie, was bei der Detektion verdächtiger Aktivitäten zu berücksichtigen ist.

Bekannte Schwachstellen

Viele Angriffe adressieren öffentlich bekannte Schwachstellen. Die Angreifer konzentrieren sich in diesem Fall auf veraltete Softwarestände – wobei dies schon nach wenigen Stunden gelten kann, in denen Updates ausbleiben.

Protect

Eine Anomalieerkennung kann hier hilfreich sein, allerdings sollten Sie den Zeitpunkt des Updates berücksichtigen. Ändert sich das Verhalten eines Systems, nachdem eine Sicherheitslücke bekannt wird, aber vor dem Einspielen des Updates, so kann es sich um einen Angriff handeln. Ändert es sich danach, so kann es sein, dass das neue Verhalten erstrebenswert ist. In diesem Fall sollte die Anomalieerkennung dies als neue Norm erkennen.

Nicht veröffentlichte Schwachstellen

Verfügen Angreifer über hohe finanzielle Mittel oder Expertise, kaufen sie nicht veröffentlichte Schwachstellen ein (Zero-Day-Exploits oder "0-days") oder ermitteln diese selbst. Neben Konfigurationsfehlern können dies auch ausnutzbare Punkte in der Software sein.

Protect

Eine Anomalieerkennung ist hier hilfreich, sofern das detektierte Verhalten stark von der Norm abweicht und gewollte Änderungen an den Systemen nachvollziehbar sind. Berücksichtigen Sie aber, dass der Technologie in diesem Fall auch Grenzen gesetzt sind: Angreifer, die über genügend Budget bzw. Zeit verfügen, können zuerst das normale Verhalten beobachten und diese Erkenntnisse zur Tarnung späterer Aktionen nutzen.

Lateral-Movement-Angriff

Gelingt einem Angreifer z.B. über Phishing der Zugriff auf einen Rechner, kann er nach Informationen wie Anmeldedaten und Berechtigungen suchen. Erhält er Daten für den Zugang zu weiteren Systemen im Netzwerk, ist die "seitliche Weiterbewegung" sein nächster Schritt.

Protect

Setzen Sie Anomalieerkennung zur Erfassung und Überwachung des internen Verkehrs in den einzelnen Segmenten des Netzwerks ein. Modellieren Sie das Verhalten aller legitimen Netzwerkteilnehmer sowie ungewöhnliches oder unerwünschtes Verhalten. Horizontale Bewegungen von Angreifern in den Segmenten fallen nun frühzeitig auf, so dass Sie die Schwachstellen schließen und Angreifer aus dem System entfernen können.

Angriff oder Normalität?

In drei Phasen schaffen Sie die Voraussetzungen für einen schnellen und effektiven Einsatz von IT-Security-Technologien zur Anomalieerkennung.

Phase 1

Angriffsflächen reduzieren

Wer seine Angriffsflächen begrenzt, hat diese besser im Blick und kann seine Security-Ressourcen je Einsatzfeld priorisieren und verstärken. Somit sinkt das Risiko unerwünschter Zugriffe erheblich. Hierzu sollten Sie vor allem die kritischen Netze weitestgehend von unsicheren Netzen trennen und streng regeln, wer sich über die Grenzen hinweg bewegen darf. Das betrifft den Perimeter zum Internet oder den Übergang zwischen Produktions- und Monitoring-Netz.

Wichtig: Gehen Sie davon aus, dass sich ein Angreifer am Netzperimeter nicht aufhalten lässt – oder es dort erst gar nicht versucht. Angriffe über die Lieferkette von IT-Services sind ebenfalls eine attraktive Option für Cyber-Kriminelle, etwa indem sie Netzwerkmanagementsoftware kompromittieren. Daher sollten Sie stets auch das Verhalten innerhalb eines Netzsegments überwachen und reglementieren.

Phase 2

Risiken und Bedrohungen klassifizieren

Anomalieerkennung soll Abweichungen von einer modellierten Erwartung aufdecken. In der Cyber-Sicherheit geht es dabei meist um Angriffe – aber auch Fehler und Probleme im Betrieb können Anomalien sein. Entwickeln Sie daher einen Überblick zu möglichen Bedrohungen und Problemen in Ihrer IT-/OT-Infrastruktur. Klassifizieren Sie diese mindestens in groben Risiko-Kategorien und stellen Sie Regeln für die Zuordnung als "problematisch" oder "unproblematisch" auf.

Die wesentlichen Herausforderungen bei der Modellierung sind Komplexität und Dynamik des Verhaltens. Versucht man, dass Verhalten sehr granular zu beschreiben, so finden sich viele tatsächlich problematische (True Positives) und unproblematische Abweichungen (False Positives). Eine gröbere Modellierung des Verhaltens reduziert diese Fehler, verringert aber die Chance, tatsächlich relevante Probleme zu entdecken.

Phase 3

Synergieeffekte erzeugen

Je konstanter und geregelter die Kommunikation im Netzwerk gestaltet ist, desto besser können Sie ein Normalverhalten modellieren und desto einfacher haben es Lösungen zur Anomalieerkennung. Anomalieerkennung bietet daher den größten Mehrwert in Kombination mit weiteren Separations- und Kontrollmechanismen. Dabei kann es sich etwa um Firewalls an den Netzperimetern handeln oder um eine Mikrosegmentierung innerhalb der Netze.

Zudem sind Netze mit einem überwiegend statischen Verhalten deutlich besser für eine Anomalieerkennung modellierbar als hochdynamische Netze. Typischerweise findet man in OT-Produktionsnetzen ein eher statisches Verhalten, während Enterprise-IT-Netze eine deutlich größere Dynamik aufweisen.

Mehr Informationen & Events

Webinar

27. Juli 2021: "IT Security bei KRITIS und Netzbetreibern"

Jetzt anmelden

Case Study

Anomalieerkennung schützt internen Datenverkehr

mehr erfahren

Informationsmaterial

IT-SiG 2.0:
Direkter Schutz für KRITIS-Organisationen

Download PDF

Netzwerke schützen, Compliance stärken

Wirksame Schutzmaßnahmen für Unternehmen

Neue Softwarelösungen zur Detektion und Abwehr von Anomalien übernehmen automatisierbare Aufgaben: Sie verbessern den Überblick über die laufenden Prozesse, weisen in Echtzeit auf Auffälligkeiten hin, setzen diese in den richtigen Kontext und helfen bei der Durchsetzung von Sicherheitsanforderungen.

Der Fokus der Anomalieerkennung sollte darauf ausgerichtet sein, IT- und OT-Systeme kontinuierlich gegen Schadprogramme und mehrstufige, schwer zu entdeckende Angriffe abzusichern. Mit Schutzmaßnahmen zur Gewährleistung der Business Continuity bis zur Förderung der Cyber-Resilienz können Sie somit auch die Compliance Ihrer Organisation verbessern.

Je mehr der Angreifer über das Unternehmen weiß, desto gefährlicher ist der Angriff. Denn dieser wird professioneller getarnt sein und zugleich stärker auf besonders kritische Ressourcen bzw. Komponenten abzielen. Diese sind also per Angriffserkennung prioritär zu schützen.

Arnold Krille, Abteilungsleiter cognitix Threat Defender

Mit Anomalie-Detektion das Schutzniveau in Netzwerken verbessern

Wir erläutern am Beispiel des cognitix Threat Defenders, welche Schutzmaßnahmen durch eine Anomalieerkennung im Netzwerkverkehr unterstützt werden können.

1. Business Continuity absichern

Die durchgängige Verfügbarkeit (Continuity) geschäftskritischer Prozesse ist für Unternehmen existenziell und muss durch präventive Maßnahmen und Notfallvorsorgepläne (Business Continuity Management) sichergestellt werden.

Mit IT-Security-Technologien zur Anomalieerkennung identifizieren Sie Probleme im Netzwerk frühzeitig. Zudem können Sie Vorhersagen für zukünftige Probleme/ Hotspots treffen – zum Beispiel, wenn sich durch den Backup-Verkehr schleichend eine Überlastsituation im Netzwerk aufbaut. Diese Überlast kann unternehmenskritische Anwendungen stören oder zu Unterbrechungen führen.

Als unterstützendes Tool visualisiert der cognitix Threat Defender von genua für Sie die Entwicklung des Netzwerkverkehrs und liefert Ihnen Informationen über problemverursachende Applikationen. Durch Regelvorgaben können Sie geschäftskritischen Traffic priorisieren und anderen Traffic in Extremsituationen zeitbasiert limitieren oder komplett unterbinden. Somit lässt sich sicherstellen, dass der Netzwerkverkehr des Backups die wertschöpfenden Prozesse nicht beeinträchtigt, aber dennoch wichtiger ist als etwa E-Mails oder die Webnutzung der Mitarbeiter.



2. Verstöße gegen Import-/Exportvorschriften vermeiden

Der Datenaustausch mit Ländern mit Exportbeschränkungen unterliegt strengen Reglementierungen. Dies gilt auch für Angestellte, die z. B. mit einem Laptop in solchen Ländern tätig sind. Verstöße gegen Import-/Exportvorschriften werden mit empfindlichen Strafen belegt und unterliegen der persönlichen Haftung des Geschäftsführers.

Mithilfe von cognitix Threat Defender können Sie den Datenaustausch mit entsprechenden Ländern auf verdächtige Protokolle/Applikationen filtern – und unproblematische Protokolle wie NTP zur Zeitsynchronisation zulassen bzw. Protokolle wie BitTorrent oder Traffic im Tor-Netzwerk blockieren.

3. Sabotage verhindern

Zu den typischen Sabotageangriffen zählen DoS- Attacken (Denial-of-Service) mit einer Vielzahl von gezielten Anfragen, um einzelne Komponenten des Datennetzes wie E-Mail-Server oder Citrix-Terminal-Server zu überlasten, zu blockieren und damit Ausfälle der Produktivität zu verursachen.

cognitix Threat Defender kann hier als zusätzliche Schutzebene für die Server fungieren, indem nur eine bestimmte Anzahl von Verbindungen pro Absender zugelassen wird. Zugleich erkennt die IT-Security-Lösung in Echtzeit, welche der Verbindungen im Netzwerk nicht dem Normalverhalten entsprechen. Diese werden gekennzeichnet und können manuell oder automatisch geblockt werden. Durch weitere Regeln können Sie z. B. Zugriffsbeschränkungen für systemkritische File Server festlegen, sodass Zugriffe nur von bestimmten Rechnern aus möglich sind.

4. Verrat und Wirtschaftsspionage erkennen

Mit cognitix Threat Defender machen Sie auffällige Zugriffe von Nutzern oder Geräten abseits „des Üblichen“ im Netzwerkverkehr sichtbar, ebenso wie ungewöhnliche Datenströme zu externen Zielen. Dabei kann es sich um unauffälligen, kurzen Verkehr (Exfiltration einzelner "Erkenntnisse") oder einen auf harmlose Datenraten beschränkten Datenstrom zur Exfiltration größerer Mengen von Daten handeln.

Möglich ist auch die Kombination der beiden Verhaltensmuster, und zwar sowohl gleichzeitig als auch nacheinander, indem auf das interne "Ermitteln" die Exfiltration folgt. Auch die Nutzung von nicht zugelassenen File Sharing-Diensten (Dropbox etc.), bisher nicht genutzten Cloud-Diensten oder Webmail-Providern kann ein Merkmal von Spionage sein.

5. Cyber-Resilienz fördern

Um die Cyber-Resilienz Ihrer Infrastrukturen zu fördern, sollten Sie geschäftskritische Systeme und Prozesse besonders schützen. Mit dem cognitix Threat Defender können Sie etwa den Datenverkehr von Produktionsanlagen in einem SAP-System als besonders schützenswerten, unternehmenskritischen Prozess definieren, der nicht unterbrochen werden darf.

Um das zu erreichen, werden die Produktionsanlagen und Arbeitsstationen als SAP-Devices markiert und für diese Assets Regeln definiert. Darin lassen sich z. B. Priorisierungen im Datenverkehr, eine maximale Anzahl von Anfragen oder zugelassene Kommunikationsprotokolle festlegen – und unerwünschte oder problematische Zugriffe auf das SAP-System blockieren. Darüber hinaus können Sie die Security-Eigenschaften Ihrer Netzwerkkomponenten per Markieren/Taggen einzeln festlegen und das Kommunikationsverhalten einschränken.

Informieren Sie sich noch heute:

Füllen Sie das Kontaktformular aus oder rufen Sie gleich an T +49 89 991950-902.

*
*
*

Zukunftsorientierte IT Security für KRITIS-Organisationen

Reduzieren Sie die Risikozonen Ihrer IT-Landschaft. Mit unseren zertifizierten und vielfach ausgezeichneten Sicherheitslösungen können Sie fristgerecht IT-SiG-konforme Systeme zur Angriffserkennung zum Einsatz bringen.