Ich komme aus dem Bereich und ich interessiere mich für
genuscreen
Schutz für Datentransfers und Netze
genugate
Für höchste Netzwerksicherheit an kritischen Schnittstellen durch umfassende Datenanalyse
genuwall
Starker Schutz für Produktionsnetze
genucrypt
Stark verschlüsselte Datentransfers
genubox
Sicherer Wartungszugriff in sensible Netze
GS.Gate
Hochsichere Digitalisierung mit Cloud Edge Gateway
cyber-diode
Hochsicheres Industrial Monitoring von Maschinen, Anlagen und KRITIS
vs-diode
Performante Einbahn-Datentransfers in GEHEIM-eingestufte Netze
genucenter
IT-Sicherheit im Griff mit genucenter
ECOS SecureBootStick SX
VS-NfD-konformes Arbeiten im Home Office
  1. Home
  2. Knowledge Base
  3. Drei Schritte zur Angriffserkennung gemäß BSI

Insights

Kritische Infrastrukturen und IT-SiG 2.0

Drei Schritte zur Angriffserkennung gemäß BSI

Mit dem zweiten IT-Sicherheitsgesetz (IT-SiG 2.0) wurden sowohl das „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ (BSIG) als auch das „Gesetz über die Elektrizitäts- und Gasversorgung“ (Energiewirtschaftsgesetz, EnWG) in Bezug auf KRITIS nachgeschärft. Sie verlangen nun verpflichtend die Einrichtung von Systemen zur Angriffserkennung (SzA). Wie lassen sich die Anforderungen des BSI zuverlässig erfüllen?

Im Video: Was Sie über Angriffserkennung wissen müssen

Für Schnellleser

Angriffserkennung gemäß BSI

Paragraph 8a des BSI-Gesetzes (BSIG) verpflichtet Betreiber kritischer Infrastrukturen sowie Unternehmen im besonderen öffentlichen Interesse, seit dem 1. Mai 2023 Systeme zur Angriffserkennung (SzA) einzusetzen. Denn diese gelten als effektive Maßnahme, um Cyberangriffe frühzeitig zu erkennen, Schäden zu vermeiden oder zumindest zu vermindern. Um für betroffene Unternehmen bei der individuellen Umsetzung der neuen gesetzlichen Anforderungen zusätzliche Klarheit und Sicherheit zu schaffen, hatte das BSI Ende September 2022 eine „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ herausgegeben. Sie soll künftig auch prüfenden Stellen als Anhaltspunkt dienen.

Funktionen und Aufgabenbereiche von Systemen zur Angriffserkennung

Gemäß Orientierungshilfe lassen sich die technischen Funktionen und Aufgabenbereiche von Systemen zur Angriffserkennung drei Bereichen zuordnen:

  1. Protokollierung
  2. Detektion 
  3. Reaktion.

So müssen die Systeme durch fortlaufende Auswertung der gesammelten Informationen sicherheitsrelevante Ereignisse erkennen, beispielsweise durch Missbrauchs- oder Anomalie-Erkennung. Sie sollten ferner Maßnahmen implementieren, um Störungen infolge von Angriffen zu verhindern oder auf sie zu reagieren. Dies kann sowohl durch technische als auch durch organisatorische Maßnahmen umgesetzt werden.

1. Protokollierung in der Angriffserkennung

cognitix Threat Defender: Wer spricht im Netzwerk mit wem?
Die Qualität von Angriffserkennung ist davon abhängig, dass Assets und Kommunikation im Netzwerk vollständig gescannt werden können. (Bild: Screenshot des cognitix Threat Defender für Angriffserkennung )

In der gängigen IT-Infrastruktur haben sich zentrale Protokollierungsdienste und Log-Management-Lösungen weitgehend etabliert. Sie ermöglichen eine umfassende Analyse von Vorgängen und Angriffen. Anders sieht es dagegen im Internet der Dinge aus, beispielsweise bei vernetzten Maschinen und Anlagen in der industriellen Produktion. Ein zentrales Logging ist hier bisher nur sehr selten anzufinden, jedoch unerlässlich, um Störungen und Angriffe effektiv zu erkennen und zu bekämpfen. Eine zentrale Erfassung der relevanten Logdaten aller Komponenten ist darum Pflicht.

Auch gibt es Komponenten im Netz, die aufgrund ihrer beschränkten Ressourcen neben der normalen Funktion keine zusätzlichen Logging-Aufgaben übernehmen können. In solchen Fällen ist eine Überwachung des entsprechenden Netzwerksegments von außen notwendig. Auch diese Überwachungserkenntnisse müssen in das zentrale Logging eingespeist werden.

Die Qualität der Erkennung ist davon abhängig, dass ein Netzwerk vom System zur Angriffserkennung vollständig gescannt werden kann. Relevante Daten sind beispielsweise, welche Geräte im Netzwerk vorhanden sind, wer mit wem kommuniziert, und welche Kommunikationsprotokolle wie häufig verwendet werden. Daher empfiehlt das BSI, zusätzlich ein System zur Netzwerküberwachung zu installieren, selbst wenn alle Geräte ihre Aktivitäten eigenständig protokollieren können. Denn nur mit einer breiten Datenbasis kann die nachfolgende Detektion erfolgreich sein.

2. Auf Abweichungen analysieren - und richtig bewerten

Die durch die Protokollierung erzeugten Daten müssen auf Abweichungen analysiert werden. Dabei ist es nicht empfohlen, sich alleine auf eine technische und automatische Analyse zu verlassen. Stattdessen muss zwingend ein Mensch die Protokolle regelmäßig und vollständig auf Auffälligkeiten prüfen.

Das BSI ist sich der Schwierigkeit bewusst, dass technische Systeme zwar sehr gut Abweichungen von gelernten Mustern erkennen, jedoch nur sehr schlecht deren Auswirkungen einschätzen können. Zumal in gängigen Anlagen (gewollte) Änderungen die Lernfähigkeiten von automatischen Methoden regelmäßig überfordern. Das Erkennen von neuen und unbekannten Störungen und die Bewertung ob es sich um Störfälle, Probleme oder gar Angriffe handelt, obliegt also explizit dem Fachpersonal.

3. Effektive Reaktion braucht ein klares Lagebild

Cockpit des Network Detection and Response Systems (NDR) cognitix Threat Defender
Blick ins Cockpit des cognitix Threat Defender. Nur wenn alle Beteiligten und Betroffenen schnell ein klares Bild von der Bedrohung und der nötigen Reaktion haben, kann effektiv reagiert werden.

Auf die mit der Detektion erkannten sicherheitsrelevanten Ereignisse muss dann adäquat reagiert werden. Neben der Benennung von Verantwortlichen sind hier vor allem die Definition und Einhaltung von standardisierten Vorgehensweisen wichtig. Nur wenn alle Beteiligten und Betroffenen schnell ein klares Bild von der Bedrohung und der nötigen Reaktion haben, kann auch effektiv reagiert werden.

Dabei ist es elementar wichtig, zwischen mehr oder weniger drastischen Maßnahmen der Angriffsbekämpfung auf der einen und der Sicherstellung der eigentlichen Kernaufgabe der kritischen Infrastruktur auf der anderen Seite abzuwägen. Auch die passende und zeitnahe Information an die jeweils relevanten Meldestellen muss definiert sein.

Je schneller und umfassender Maßnahmen erfolgen, um so effektiver wirken sie. Daher wird zumindest in weniger kritischen Bereichen auch die automatische Reaktion nicht nur empfohlen sondern muss möglich sein. Die Überwachung eines Netzwerkes mit der Möglichkeit des aktiven und automatisierten Eingreifens muss also von Anfang an berücksichtigt werden.

Angriffserkennung nach Stand der Technik umsetzen

Wie sich Protokollierung, Detektion und Reaktion mit Anomalierkennung nach aktuellem Stand der Technik unterstützen lassen, sei am Beispiel des Network Detection and Response (NDR) Systems cognitix Threat Defender erklärt. Die intelligente Lösung erfüllt alle wesentlichen gesetzlichen Anforderungen an ein technisches System zur Angriffserkennung. cognitix Threat Defender zeichnet sich unter anderem durch eine exzellente Erkennung von Netzwerkkomponenten aus und bezieht alle maßgeblichen Systeme, Komponenten oder Prozesse wie IT, OT, Rechenzentren und Embedded-Systeme ein. Betreiber können relevante Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten.

Werden Auffälligkeiten entdeckt, steht ein abgestuftes Spektrum an Reaktionsmöglichkeiten zur Verfügung. Neben der Meldung von Anomalien können Geräte und Kommunikationen beispielsweise isoliert, verlangsamt oder vollständig blockiert werden. Um bei unklarer Bedrohungslage unnötige Beeinträchtigungen im Netzwerk zu vermeiden, kann cognitix Threat Defender im Fall einer Inzidenz auch adaptiv reagieren. Dann lässt er für das betroffene Gerät im Netzwerk nur jene Aktionen zu, die in den vergangenen 24 Stunden als „normal“ gelernt wurden. Alles, was davon abweicht, wird gedrosselt oder blockiert und an die Security-Verantwortlichen gemeldet. Damit gewinnen diese Zeit für eine angepasste und effektive Reaktion.

Organisatorische Maßnahmen unterstützen

Ein System zur Abwehrerkennung beschränkt sich laut BSI allerdings nicht allein auf technische Lösungen, sondern umfasst auch organisatorische Maßnahmen, um die Cybersicherheit eines Unternehmens sicherzustellen. cognitix Threat Defender als technische Komponente ist darum auch mit Blick auf die Usability entwickelt worden. Mit der modernen Benutzeroberfläche werden dem Verantwortlichen die relevanten Informationen auf einfache Weise dargestellt und geben damit schnell die „situal awareness“.

Quellen und weiterführende Links

 

Zurück zur Übersicht

Topics

Artikel teilen

Produkte

Angebotsanfrage cognitix Threat Defender

cognitix Threat Defender

Performante Angriffserkennung für zuverlässigen Schutz von IT- und OT-Netzen
cognitix Threat Defender Software