Inhalt
Was ändert sich für KRITIS-Unternehmen durch das IT-Sicherheitsgesetz 2.0?
Das IT-Sicherheitsgesetz 2.0 (IT-Sig 2.0) ist in der Europäischen Union beispielhaft und dient als Grundlage für den Digital Operational Resilience Act („DORA“) der EU; darüber hinaus übernehmen Zertifizierungsorganisationen Anforderungen des IT-Sig 2.0 in ihren Prüfkatalog (z.B. ISO 27001/2).
Heute stehen viele KRITIS-relevante Unternehmen vor der Herausforderung, diese Anforderungen zu erfüllen. Es geht nicht nur darum, das Risiko von teilweise erheblichen Strafzahlungen zu vermeiden, sondern auch darum, das Unternehmen effektiv gegen Cyberangriffe zu schützen. Fachkräftemangel sowie technologische Veränderung führen dazu, daß das Problem eher noch komplexer wird.
Abb.: KRITIS Sektoren (Quelle: BSI)
Eine der größten Änderungen für KRITIS relevante Unternehmen im IT-Sig 2.0 ist die explizite Forderung eines zentralen Systems zur Angriffserkennung.
fazitanfang
Dieses muss folgende Anforderungen erfüllen (§8 (1a) BSIG-E, §2 (9b) BSIG-E):
- Durch automatisierte, kontinuierliche Überwachung von geeigneten Parametern Bedrohungen zu identifizieren sowie
- bei der Beseitigung der identifizierten Risiken zu unterstützen.
fazitende
Nur wenige SIEM-Systeme am Markt decken die Anforderungen des BSI im Hinblick auf die zentrale Angriffserkennung ab und schützen Kunden vollumfänglich.
Wie stelle ich die zentrale Angriffserkennung in meiner Infrastruktur sicher?
Für die zentrale Angriffserkennung nach Stand der Technik ist es notwendig, Anomalien in der Unternehmensinfrastruktur zu identifizieren.
Der Einsatz eines SIEM ermöglicht dem Unternehmen einen ganzheitlichen Blick auf die sicherheitsrelevanten Events der IT-Infrastruktur in Echtzeit sowie die (idealerweise) automatisierte Durchführung von Gegenmaßnahmen. Ein SIEM ersetzt hier nicht die bereits im Unternehmen etablierten IT-Sicherheitsmaßnahmen, sondern ergänzt diese durch einen zentralen Überblick über alle Einzelsysteme und die Fähigkeit, diese Daten zu verbinden und anzureichern.
Mögliche Quellen für dieses System sind:
- Logfiles aus Betriebssystemen und Applikationen
- Firewall-Events von Netzwerkfirewalls
- Alarme von Intrusion Detection & Prevention Systemen (IDS/IPS)
- Intelligente Netzwerksensoren / Netzwerkmonitorsysteme mit Informationen über gefundene Assets/Geräte, Schwachstellen, Compliance-Verstößen oder anomalem Netzwerkverhalten
- Verzeichnisdienste & Authentication-Services (wie Active Directory, IDM-Systeme, Single Sign on)
- Endpoint Detection & Response Systeme (EDR/XDR)
- Indikatoren zur Identifikation von Angreifern und Angriffen wie IP-Adressen, Hashes, Hostnamen etc. (Threat Intelligence Feeds) sowie z.B. Kontext-Informationen zu Angreifern zur Anreicherung
Das IT-Sicherheitsteam hat durch das SIEM die Möglichkeit, durch gezielte Aggregation und Korrelation die Qualität der durch die Einzelsysteme gewonnenen Daten zu verbessern, um so zu aussagekräftigeren Erkenntnissen über sicherheitsrelevante Events zu gelangen.
Moderne SIEM-Systeme verfügen über ihre Kernfunktionalität hinaus auch über Möglichkeiten der Automatisierung des Arbeitsablaufs für Gegenmaßnahmen („SOAR“: Security Orchestration, Automation and Response).
Eine weitere sinnvolle Ergänzung können Systeme sein, welche durch maschinelles Lernen systematisch Baselines über die Identitäten und Systeme eines Unternehmens anfertigen und diese automatisiert auf Abweichungen prüfen (User and Entity Behaviour Analytics (UEBA). Die zentralisierte Bereitstellung aller gewonnen Daten in einem SIEM-System bietet dem Analysten ein ganzheitliches Bild über die Sicherheitssituation des Unternehmens in Echtzeit.
Der Betrieb eines SIEM-Systems stellt viele Unternehmen vor Herausforderungen, denn die notwendigen System-, Netzwerk und personellen Ressourcen zum Betrieb eines SIEMs sind nicht unerheblich. Oftmals werden mehrere Hundertmillionen Events pro Tag erzeugt. Die Verarbeitung dieser Daten in Echtzeit erfordert hinreichend Rechenleistung und Netzwerkbandbreite.
Darüber hinaus erfordert der Betrieb eines SIEM ein Team von Cyber Defense Experten, um einen Mehrwert für das Unternehmen zu erzielen. Zwar bringen moderne SIEM-Systeme ein sehr gutes Set an Standardregeln mit, doch die Anpassung des Systems an die spezifischen Gegebenheiten des Unternehmens sowie die Analyse der resultierenden Alarme sind mit signifikantem Aufwand verbunden, den Inhouse IT-Sicherheitsteams häufig selbst nicht leisten können.
Umsetzungsmöglichkeiten und Betriebsmodelle
Moderne SIEM-Lösungen, wie beispielsweise ArcSight, sind als „Software as a Service“(SaaS) Lösungen verfügbar, welche den Betriebsaufwand für den Endkunden erheblich verringern. Auch eine Integration weiterer Komponenten wie ArcSight Intelligence (UEBA) oder Cyberres Galaxy (Threat Intelligence) bieten Kunden großen Mehrwert im Bereich IT Security. Kunden mit besonderen Schutzbedürfnissen können eine SIEM-Lösung auch on premise installieren.
Insgesamt sind folgende verschiedene Betriebsmodelle möglich:
- Inhouse SIEM: Der Kunde betreibt das System selbst, ggf. mit Unterstützung eines IT Security Partners, der das fehlende Know-how mitbringt.
- Managed SIEM: Der IT Security Dienstleister betreibt das System in seinem Rechenzentrum und verarbeitet dort die Daten des Kunden.
- Co-Managed SIEM: Der Partner betreibt das System oder auch nur Teile des Systems beim Kunden. Die Daten verbleiben zu jeder Zeit im Netz des Kunden.
fazitanfang
Fazit
Nur wenige Unternehmen können der Vielzahl den Anforderungen des IT SIG 2.0 gerecht werden. Nur wenige Produkte am Markt können die vielfältigen Anforderungen des Gesetzgebers an ein KRITIS-konformes SIEM erfüllen – dies gilt vor allem im Hinblick auf die revisionssichere Ablage und die Unveränderlichkeit der Daten die Sicherstellung, die gesamte relevante Systemlandschaft zu betrachten.
Sie benötigen Unterstützung bei der gesetzeskonformen Umsetzung der Anforderungen des IT-Sicherheitsgesetzes 2.0? Kontaktieren Sie uns – online oder telefonisch unter +49 30 5557021 11.
fazitende
