Die explizite Forderung eines zentralen Systems zur Angriffserkennung ist das Kernthema des IT-Sicherheitsgesetzes 2.0 (IT-Sig 2.0), das ab Mai 2023 in Kraft tritt. Das BSI definiert „KRITIS“ – Unternehmen, die der kritischen Infrastruktur in Deutschland angehören – sehr weitreichend.

KRITIS Anforderungen erfüllen mit einer State-of-the-art SIEM Lösung

Was ändert sich für KRITIS-Unternehmen durch das IT-Sicherheitsgesetz 2.0?

Das IT-Sicherheitsgesetz 2.0 (IT-Sig 2.0) ist in der Europäischen Union beispielhaft und dient als Grundlage für den Digital Operational Resilience Act („DORA“) der EU; darüber hinaus übernehmen Zertifizierungsorganisationen Anforderungen des IT-Sig 2.0 in ihren Prüfkatalog (z.B. ISO 27001/2).

Heute stehen viele KRITIS-relevante Unternehmen vor der Herausforderung, diese Anforderungen zu erfüllen. Es geht nicht nur darum, das Risiko von teilweise erheblichen Strafzahlungen zu vermeiden, sondern auch darum, das Unternehmen effektiv gegen Cyberangriffe zu schützen. Fachkräftemangel sowie technologische Veränderung führen dazu, daß das Problem eher noch komplexer wird.

Abb.: KRITIS Sektoren (Quelle: BSI)

Eine der größten Änderungen für KRITIS relevante Unternehmen im IT-Sig 2.0 ist die explizite Forderung eines zentralen Systems zur Angriffserkennung.

fazitanfang

Dieses muss folgende Anforderungen erfüllen (§8 (1a) BSIG-E, §2 (9b) BSIG-E):

  • Durch automatisierte, kontinuierliche Überwachung von geeigneten Parametern Bedrohungen zu identifizieren sowie
  • bei der Beseitigung der identifizierten Risiken zu unterstützen.

fazitende

Nur wenige SIEM-Systeme am Markt decken die Anforderungen des BSI im Hinblick auf die zentrale Angriffserkennung ab und schützen Kunden vollumfänglich.

Wie stelle ich die zentrale Angriffserkennung in meiner Infrastruktur sicher?

Für die zentrale Angriffserkennung nach Stand der Technik ist es notwendig, Anomalien in der Unternehmensinfrastruktur zu identifizieren.

Der Einsatz eines SIEM ermöglicht dem Unternehmen einen ganzheitlichen Blick auf die sicherheitsrelevanten Events der IT-Infrastruktur in Echtzeit sowie die (idealerweise) automatisierte Durchführung von Gegenmaßnahmen. Ein SIEM ersetzt hier nicht die bereits im Unternehmen etablierten IT-Sicherheitsmaßnahmen, sondern ergänzt diese durch einen zentralen Überblick über alle Einzelsysteme und die Fähigkeit, diese Daten zu verbinden und anzureichern.

Mögliche Quellen für dieses System sind:

  • Logfiles aus Betriebssystemen und Applikationen
  • Firewall-Events von Netzwerkfirewalls
  • Alarme von Intrusion Detection & Prevention Systemen (IDS/IPS)
  • Intelligente Netzwerksensoren / Netzwerkmonitorsysteme mit Informationen über gefundene Assets/Geräte, Schwachstellen, Compliance-Verstößen oder anomalem Netzwerkverhalten
  • Verzeichnisdienste & Authentication-Services (wie Active Directory, IDM-Systeme, Single Sign on)
  • Endpoint Detection & Response Systeme (EDR/XDR)
  • Indikatoren zur Identifikation von Angreifern und Angriffen wie IP-Adressen, Hashes, Hostnamen etc. (Threat Intelligence Feeds) sowie z.B. Kontext-Informationen zu Angreifern zur Anreicherung

Das IT-Sicherheitsteam hat durch das SIEM die Möglichkeit, durch gezielte Aggregation und Korrelation die Qualität der durch die Einzelsysteme gewonnenen Daten zu verbessern, um so zu aussagekräftigeren Erkenntnissen über sicherheitsrelevante Events zu gelangen.

Moderne SIEM-Systeme verfügen über ihre Kernfunktionalität hinaus auch über Möglichkeiten der Automatisierung des Arbeitsablaufs für Gegenmaßnahmen („SOAR“: Security Orchestration, Automation and Response).

Eine weitere sinnvolle Ergänzung können Systeme sein, welche durch maschinelles Lernen systematisch Baselines über die Identitäten und Systeme eines Unternehmens anfertigen und diese automatisiert auf Abweichungen prüfen (User and Entity Behaviour Analytics (UEBA). Die zentralisierte Bereitstellung aller gewonnen Daten in einem SIEM-System bietet dem Analysten ein ganzheitliches Bild über die Sicherheitssituation des Unternehmens in Echtzeit.

Der Betrieb eines SIEM-Systems stellt viele Unternehmen vor Herausforderungen, denn die notwendigen System-, Netzwerk und personellen Ressourcen zum Betrieb eines SIEMs sind nicht unerheblich. Oftmals werden mehrere Hundertmillionen Events pro Tag erzeugt. Die Verarbeitung dieser Daten in Echtzeit erfordert hinreichend Rechenleistung und Netzwerkbandbreite.

Darüber hinaus erfordert der Betrieb eines SIEM ein Team von Cyber Defense Experten, um einen Mehrwert für das Unternehmen zu erzielen. Zwar bringen moderne SIEM-Systeme ein sehr gutes Set an Standardregeln mit, doch die Anpassung des Systems an die spezifischen Gegebenheiten des Unternehmens sowie die Analyse der resultierenden Alarme sind mit signifikantem Aufwand verbunden, den Inhouse IT-Sicherheitsteams häufig selbst nicht leisten können.

Umsetzungsmöglichkeiten und Betriebsmodelle

Moderne SIEM-Lösungen, wie beispielsweise ArcSight, sind als „Software as a Service“(SaaS) Lösungen verfügbar, welche den Betriebsaufwand für den Endkunden erheblich verringern.  Auch eine Integration weiterer Komponenten wie ArcSight Intelligence (UEBA) oder Cyberres Galaxy (Threat Intelligence) bieten Kunden großen Mehrwert im Bereich IT Security. Kunden mit besonderen Schutzbedürfnissen können eine SIEM-Lösung auch on premise installieren.

Insgesamt sind folgende verschiedene Betriebsmodelle möglich:

  1. Inhouse SIEM: Der Kunde betreibt das System selbst, ggf. mit Unterstützung eines IT Security Partners, der das fehlende Know-how mitbringt.
  2. Managed SIEM: Der IT Security Dienstleister betreibt das System in seinem Rechenzentrum und verarbeitet dort die Daten des Kunden.
  3. Co-Managed SIEM: Der Partner betreibt das System oder auch nur Teile des Systems beim Kunden. Die Daten verbleiben zu jeder Zeit im Netz des Kunden.

fazitanfang

Fazit

Nur wenige Unternehmen können der Vielzahl den Anforderungen des IT SIG 2.0 gerecht werden. Nur wenige Produkte am Markt können die vielfältigen Anforderungen des Gesetzgebers an ein KRITIS-konformes SIEM erfüllen – dies gilt vor allem im Hinblick auf die revisionssichere Ablage und die Unveränderlichkeit der Daten die Sicherstellung, die gesamte relevante Systemlandschaft zu betrachten.

Sie benötigen Unterstützung bei der gesetzeskonformen Umsetzung der Anforderungen des IT-Sicherheitsgesetzes 2.0? Kontaktieren Sie uns – online oder telefonisch unter +49 30 5557021 11.

fazitende

Felix Gutjahr · Autor

Cyber Defense Consultant

Seit Mai 2020 gehört Felix zum Team von SECUINFRA und hat bereits nach kurzer Zeit die Betreuung mehrerer unserer Kunden im Bereich ArcSight übernommen. Er unterstützt dort beim Betrieb und Ausbau der SIEM-Umgebung, sowie bei der Use-Case Entwicklung.

Felix hat mit seiner Ausbildung zum Fachinformatiker für Systemintegration den Grundstein für seine Karriere in der Informatik gelegt. Er durchlief dort unterschiedlichste Themengebiete und konnte in mehreren Projekten wertvolle, praktische Erfahrungen sammeln, insbesondere auch in der Kundenberatung. Während dieser Zeit entdeckte er seine Leidenschaft für IT-Security und entschied sich, seine Karriere in diesem Bereich fortzusetzen. Seit Mai 2020 gehört Felix zum Team von SECUINFRA und hat bereits nach kurzer Zeit die Betreuung mehrerer unserer Kunden im Bereich ArcSight übernommen. Er unterstützt dort beim Betrieb und Ausbau der SIEM-Umgebung, sowie bei der Use-Case Entwicklung. Durch seinen engen Kontakt zum Hersteller Micro Focus hat Felix die Rolle des ArcSight Product Leads innerhalb unseres Unternehmens übernommen.

Cyber Defense Consultant

Since May 2020, Felix has been part of the SECUINFRA team and has already taken over the support of several of our customers in the ArcSight area after a short time. There, he supports the operation and expansion of the SIEM environment, as well as the use case development.

Felix laid the foundation for his career in information technology with his training as an IT specialist for system integration. There, he went through a wide variety of topics and was able to gain valuable, practical experience in several projects, especially in customer consulting. During this time, he discovered his passion for IT security and decided to continue his career in this field. Since May 2020, Felix has been part of the SECUINFRA team and has already taken over the support of several of our customers in the ArcSight area after a short time. There, he supports the operation and expansion of the SIEM environment, as well as the use case development. Through his close contact to the manufacturer Micro Focus, Felix has taken on the role of ArcSight Product Lead within our company.

Marcel Röhrl · Autor

Portfolio Sales Specialist - NextGen Security Operations

Spezialist für das Security Operations Portfolio von Micro Focus Cyberres. Seit über 20 Jahren in der IT unterwegs, mit Stationen in Big Data Analytics, Projektmanagement und Cybersecurity.

Spezialist für das Security Operations Portfolio von Micro Focus Cyberres. Seit über 20 Jahren in der IT unterwegs, mit Stationen in Big Data Analytics, Projektmanagement und Cybersecurity.

Portfolio Sales Specialist - NextGen Security Operations

Specialist in the Security Operations portfolio of Micro Focus Cyberres. Has been in IT for over 20 years, with stints in Big Data Analytics, Project Management and Cybersecurity.

Specialist in the Security Operations portfolio of Micro Focus Cyberres. Has been in IT for over 20 years, with stints in Big Data Analytics, Project Management and Cybersecurity.
Beitrag teilen auf: