Ich komme aus dem Bereich und ich interessiere mich für

Angriffserkennung im IT-SiG 2.0:
KRITIS wirksam schützen

Protect & Act.

Mehr erfahren Beratung anfordern

Angriffserkennung für KRITIS

IT Security gemäß IT-SiG 2.0 zukunftssicher gestalten

Das IT-Sicherheitsgesetz (IT-SiG) verpflichtet Betreiber kritischer Infrastrukturen, ihre IT gemäß dem "Stand der Technik" abzusichern. Mit dem IT-SiG 2.0 bietet der Gesetzgeber auch Orientierung, welche Technologien er zum Schutz vor Cyber-Risiken künftig als geeignet erachtet. SIEM wird explizit verpflichtend.

Im Mai ist das "Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme", kurz IT-SiG 2.0, in Kraft getreten. Es bringt zusätzliche Pflichten für die betroffenen Unternehmen und Behörden mit, um die Cyber-Sicherheit für kritische Infrastrukturen weiter zu erhöhen. Konkret müssen KRITIS-Betreiber u.a. den Einsatz von Security Incident & Event Managemenyt Systemen (SIEM) nachweisen.

Als eine geeignete Methode der Angriffserkennung betont das IT-SiG die Anomalieerkennung. Was automatisierte, AI-gestützte Anomalieerkennung leistet, welche Schutzziele sie unterstützt und welche Rolle sie im IT-SiG spielt, lesen Sie auf dieser Seite.

AI-gestützte Angriffserkennung ALS Wegbereiter für DIE IT Security

Kritische IT-Infrastruktur mit Anomalieerkennung automatisiert absichern

Eindringen, Verbergen, Ausspähen: Viele Angreifer arbeiten sich Schritt für Schritt in die IT-/OT-Systeme ihres Zieles vor, bevor sie spürbaren Schaden anrichten. Gegen das komplette Spektrum der Angriffsoptionen ist eine vollständige Absicherung kaum möglich. 

Erfolgreiche IT-Security-Strategien bündeln daher die Ressourcen bei Personal- und Technologieeinsatz, um die attraktivsten Ziele in ihrer Organisation mit höchster Priorität zu schützen. Automatisierbare Aufgaben, insbesondere bei der permanenten Überwachung aller Netzwerkkomponenten, lassen sich an IT-Security-Tools delegieren. Wir nennen wesentliche Angriffspunkte und zeigen, wie eine Anomalieerkennung dort das Schutzniveau erhöhen kann.

Sicherheitskritische Situationen können schneller entstehen, als man es wahrhaben will, gerade wenn ein Angreifer Schwächen in der Verteidigung wahrnimmt. Aus meiner Sicht kann in einem wettbewerbsorientierten Umfeld nur über starke gesetzliche Regularien wie das IT-SiG 2.0 das nötige Maß an Resilienz und Robustheit garantiert werden.

Steffen Ullrich, Software-Ingenieur Forschung, Produkte und Strategie

Welche Schwachstellen Ihrer IT-Sicherheit nehmen Angreifer ins Visier?

Und wie kann Anomalieerkennung schützen?

Bekannte Schwachstellen

Viele Angriffe adressieren öffentlich bekannte Schwachstellen. Die Angreifer konzentrieren sich in diesem Fall auf veraltete Softwarestände – wobei dies schon nach wenigen Stunden gelten kann, in denen Updates ausbleiben.

Protect

Eine Anomalieerkennung kann hier hilfreich sein, allerdings sollten Sie den Zeitpunkt des Updates berücksichtigen. Ändert sich das Verhalten eines Systems, nachdem eine Sicherheitslücke bekannt wird, aber vor dem Einspielen des Updates, so kann es sich um einen Angriff handeln. Ändert es sich danach, so kann es sein, dass das neue Verhalten erstrebenswert ist. In diesem Fall sollte die Anomalieerkennung dies als neue Norm erkennen.

Nicht veröffentlichte Schwachstellen

Verfügen Angreifer über hohe finanzielle Mittel oder Expertise, kaufen sie nicht veröffentlichte Schwachstellen ein (Zero-Day-Exploits oder "0-days") oder ermitteln diese selbst. Neben Konfigurationsfehlern können dies auch ausnutzbare Punkte in der Software sein.

Protect

Eine Anomalieerkennung ist hier hilfreich, sofern das detektierte Verhalten stark von der Norm abweicht und gewollte Änderungen an den Systemen nachvollziehbar sind. Berücksichtigen Sie aber, dass der Technologie in diesem Fall auch Grenzen gesetzt sind: Angreifer, die über genügend Budget bzw. Zeit verfügen, können zuerst das normale Verhalten beobachten und diese Erkenntnisse zur Tarnung späterer Aktionen nutzen.

Lateral-Movement-Angriff

Gelingt einem Angreifer z.B. über Phishing der Zugriff auf einen Rechner, kann er nach Informationen wie Anmeldedaten und Berechtigungen suchen. Erhält er Daten für den Zugang zu weiteren Systemen im Netzwerk, ist die "seitliche Weiterbewegung" sein nächster Schritt.

Protect

Setzen Sie Anomalieerkennung zur Erfassung und Überwachung des internen Verkehrs in den einzelnen Segmenten des Netzwerks ein. Modellieren Sie das Verhalten aller legitimen Netzwerkteilnehmer sowie ungewöhnliches oder unerwünschtes Verhalten. Horizontale Bewegungen von Angreifern in den Segmenten fallen nun frühzeitig auf, so dass Sie die Schwachstellen schließen und Angreifer aus dem System entfernen können.

Wegbereiter für eine zuverlässige Angriffserkennung

In drei Phasen schaffen Sie die Vorraussetzungen für einen effektiven Einsatz von AI-gestützter Anomalieerkennung

Phase 1

Angriffsflächen reduzieren

Wer seine Angriffsflächen begrenzt, hat diese besser im Blick und kann seine Security-Ressourcen je Einsatzfeld priorisieren und verstärken. Somit sinkt das Risiko unerwünschter Zugriffe erheblich. Hierzu sollten Sie vor allem die kritischen Netze weitestgehend von unsicheren Netzen trennen und streng regeln, wer sich über die Grenzen hinweg bewegen darf. Das betrifft den Perimeter zum Internet oder den Übergang zwischen Produktions- und Monitoring-Netz.

Wichtig: Gehen Sie davon aus, dass sich ein Angreifer am Netzperimeter nicht aufhalten lässt – oder es dort erst gar nicht versucht. Angriffe über die Lieferkette von IT-Services sind ebenfalls eine attraktive Option für Cyber-Kriminelle, etwa indem sie Netzwerkmanagementsoftware kompromittieren. Daher sollten Sie stets auch das Verhalten innerhalb eines Netzsegments überwachen und reglementieren.

Phase 2

Risiken und Bedrohungen klassifizieren

Anomalieerkennung deckt Abweichungen von einer modellierten Erwartung auf. In der Cyber-Sicherheit geht es meist um Angriffe – aber auch Fehler und Probleme im Betrieb können Anomalien sein. Verschaffen Sie sich einen Überblick zu möglichen Bedrohungen und Problemen in Ihrer IT-/OT-Infrastruktur. Klassifizieren Sie diese mindestens in grobe Risiko-Kategorien und stellen Sie Regeln für die Zuordnung als "problematisch" oder "unproblematisch" auf.

Die wesentlichen Herausforderungen bei der Modellierung sind Komplexität und Dynamik des Verhaltens. Versucht man, das Verhalten granular zu beschreiben, finden sich viele problematische (True Positives) und unproblematische (False Positives) Abweichungen. Eine gröbere Modellierung des Verhaltens reduziert diese Fehler, verringert aber die Chance, tatsächlich relevante Probleme zu entdecken.

Phase 3

Synergieeffekte erzeugen

Je konstanter und geregelter die Kommunikation in einem Netzwerk gestaltet ist, desto besser können Sie ein Normalverhalten modellieren und desto einfacher haben es Lösungen zur Anomalieerkennung. Anomalieerkennung bietet den größten Mehrwert in Kombination mit weiteren Separations- und Kontrollmechanismen. Dabei kann es sich z.B. um Firewalls an den Netzperimetern handeln oder um eine Mikrosegmentierung innerhalb der Netze.

Zudem sind Netze mit einem überwiegend statischen Verhalten deutlich besser für eine Anomalieerkennung modellierbar als hochdynamische Netze. Typischerweise findet man in OT-Produktionsnetzen ein eher statisches Verhalten, während Enterprise-IT-Netze eine deutlich größere Dynamik aufweisen.

Ressourcen & Events

Case Study

Anomalieerkennung schützt internen Datenverkehr

mehr erfahren

Informationsmaterial

IT-SiG 2.0:
Direkter Schutz für KRITIS-Organisationen

Download PDF

Netzwerke schützen, Compliance stärken

Ganzheitliche Angriffserkennung für KRITIS mit Artificial Intelligence

Wirksame Softwarelösungen zur Detektion von Anomalien und Abwehr von Angriffen übernehmen auf Basis von modernen Methoden des Data Science und Machine Learning automatisiert wichtige Aufgaben der IT Security. Sie schaffen Transparenz im Netzwerk, verbessern den Überblick über laufende Prozesse, weisen in Echtzeit auf Auffälligkeiten hin, setzen diese in den richtigen Kontext und helfen bei der Durchsetzung von Sicherheitsanforderungen.

Der Fokus der Anomalieerkennung sollte darauf ausgerichtet sein, IT- und OT-Systeme kontinuierlich gegen heutige und künftige Schadprogramme sowie mehrstufige, schwer zu entdeckende Angriffe abzusichern. Mit Schutzmaßnahmen zur Gewährleistung der Business Continuity bis zur Förderung der Cyber-Resilienz können Sie somit zukunftsgerichtet den Schutz und die Compliance von kritischen IT-Infrastrukturen verbessern.

Je mehr der Angreifer über das Unternehmen weiß, desto gefährlicher ist der Angriff. Denn dieser wird professioneller getarnt sein und zugleich stärker auf besonders kritische Ressourcen bzw. Komponenten abzielen. Diese sind also per Angriffserkennung prioritär zu schützen.

Arnold Krille, Abteilungsleiter cognitix Threat Defender

Wir erläutern am Beispiel des cognitix Threat Defenders, welche Schutzziele durch eine AI-gestützte Anomalieerkennung wirksam unterstützt werden können.

1. Business Continuity absichern

Die durchgängige Verfügbarkeit (Continuity) geschäftskritischer Prozesse ist für Unternehmen existenziell und muss durch präventive Maßnahmen und Notfallvorsorgepläne (Business Continuity Management) sichergestellt werden.

Mit IT-Security-Technologien zur Anomalieerkennung identifizieren Sie Probleme im Netzwerk frühzeitig. Zudem können Sie Vorhersagen für zukünftige Probleme/ Hotspots treffen – zum Beispiel, wenn sich durch den Backup-Verkehr schleichend eine Überlastsituation im Netzwerk aufbaut. Diese Überlast kann unternehmenskritische Anwendungen stören oder zu Unterbrechungen führen.

Als unterstützendes Tool visualisiert der cognitix Threat Defender von genua für Sie die Entwicklung des Netzwerkverkehrs und liefert Ihnen Informationen über problemverursachende Applikationen. Durch Regelvorgaben können Sie geschäftskritischen Traffic priorisieren und anderen Traffic in Extremsituationen zeitbasiert limitieren oder komplett unterbinden. Somit lässt sich sicherstellen, dass der Netzwerkverkehr des Backups die wertschöpfenden Prozesse nicht beeinträchtigt, aber dennoch wichtiger ist als etwa E-Mails oder die Webnutzung der Mitarbeiter.



2. Verrat und Wirtschaftsspionage erkennen

Mit cognitix Threat Defender machen Sie auffällige Zugriffe von Nutzern oder Geräten abseits „des Üblichen“ im Netzwerkverkehr sichtbar, ebenso wie ungewöhnliche Datenströme zu externen Zielen. Dabei kann es sich um unauffälligen, kurzen Verkehr (Exfiltration einzelner "Erkenntnisse") oder einen auf harmlose Datenraten beschränkten Datenstrom zur Exfiltration größerer Mengen von Daten handeln.

Möglich ist auch die Kombination der beiden Verhaltensmuster, und zwar sowohl gleichzeitig als auch nacheinander, indem auf das interne "Ermitteln" die Exfiltration folgt. Auch die Nutzung von nicht zugelassenen File-Sharing-Diensten (Dropbox etc.), bisher nicht genutzten Cloud-Diensten oder Webmail-Providern kann ein Merkmal von Spionage sein.

3. Sabotage verhindern

Zu den typischen Sabotageangriffen zählen DoS-Attacken (Denial-of-Service) mit einer Vielzahl von gezielten Anfragen, um einzelne Komponenten des Datennetzes wie E-Mail-Server oder Citrix-Terminal-Server zu überlasten, zu blockieren und damit Ausfälle der Produktivität zu verursachen.

cognitix Threat Defender kann als zusätzliche Schutzebene für die Server fungieren, indem nur eine bestimmte Anzahl von Verbindungen pro Absender zugelassen wird. Zugleich erkennt die IT-Security-Lösung in Echtzeit, welche Verbindungen im Netzwerk nicht dem Normalverhalten entsprechen. Diese werden gekennzeichnet und können manuell oder automatisch geblockt werden. Durch weitere Regeln können Sie z. B. Zugriffsbeschränkungen für systemkritische File Server festlegen, sodass Zugriffe nur von bestimmten Rechnern aus möglich sind.

4. Verstöße gegen Import-/Exportvorschriften vermeiden

Der Datenaustausch mit Ländern mit Exportbeschränkungen unterliegt strengen Reglementierungen. Dies gilt auch für Angestellte, die z. B. mit einem Laptop in solchen Ländern tätig sind. Verstöße gegen Import-/Exportvorschriften werden mit empfindlichen Strafen belegt und unterliegen der persönlichen Haftung des Geschäftsführers.

Mithilfe von cognitix Threat Defender können Sie den Datenaustausch mit entsprechenden Ländern auf verdächtige Protokolle/Applikationen filtern – und unproblematische Protokolle wie NTP zur Zeitsynchronisation zulassen bzw. Protokolle wie BitTorrent oder Traffic im Tor-Netzwerk blockieren.

5. Cyber-Resilienz fördern

Um die Cyber-Resilienz Ihrer Infrastrukturen zu fördern, sollten Sie geschäftskritische Systeme und Prozesse besonders schützen. Mit dem cognitix Threat Defender können Sie etwa den Datenverkehr von Produktionsanlagen in einem SAP-System als besonders schützenswerten, unternehmenskritischen Prozess definieren, der nicht unterbrochen werden darf.

HIerfür werden die Produktionsanlagen und Arbeitsstationen als SAP-Devices markiert und für diese Assets Regeln definiert. Es lassen sich z. B. Priorisierungen im Datenverkehr, eine maximale Anzahl von Anfragen oder zugelassene Kommunikationsprotokolle festlegen – sowie unerwünschte oder problematische Zugriffe auf das SAP-System blockieren. Darüber hinaus können Sie die Security-Eigenschaften Ihrer Netzwerkkomponenten per Markieren/Taggen einzeln festlegen und das Kommunikationsverhalten einschränken.

Informieren Sie sich noch heute:

Füllen Sie das Kontaktformular aus oder rufen Sie gleich an T +49 89 991950-902.

*
*
*

Zukunftsorientierte IT Security für KRITIS-Organisationen

Reduzieren Sie die Risikozonen Ihrer IT-Landschaft. Mit unseren zertifizierten und vielfach ausgezeichneten Sicherheitslösungen können Sie fristgerecht IT-SiG-konforme Systeme zur Angriffserkennung zum Einsatz bringen.