Für Betriebe der Kritischen Infrastrukturen ist eine schnelle Reaktion auf einen sicherheitsrelevanten Vorfall im Netzwerk von besonderer Bedeutung. Der Gesetzgeber macht daher verbindliche Vorgaben für die Angriffserkennung, die betroffene Unternehmen nun umsetzen müssen. Wir zeigen auf, wie konforme Angriffserkennung für KRITIS aussieht.
Der Einbrecher, den Sie schon am Hintereingang stoppen, richtet den geringsten Schaden an. Das gilt gleichermaßen für Cyberangriffe auf Industrieumgebungen, in denen sich die Angriffsvektoren mit der zunehmenden Vernetzung stetig vergrößern. Angriffserkennung setzt auf möglichst frühzeitige Intervention, um entstehende Schäden zu begrenzen oder vermeiden zu können.
Woran sind Cyberangriffe zu erkennen?
Während Cyberangriffe mit einer ständig zunehmenden Professionalisierung durchgeführt werden, gibt es in den OT-Bereichen (Operational Technology) nach wie vor große Baustellen. Vernetzte Infrastrukturen sind meist (noch) nicht ganzheitlich abgesichert. Auch Unternehmen, die Security längst auf der Tagesordnung haben, wie die regulierten KRITIS-Betriebe, weisen eine Vielzahl von Schlupflöchern auf, die Cyberkriminelle erkennen und nutzen. Hundertprozentige Sicherheit gibt es eben nicht.
Worauf es ankommt, ist schnelles Gegensteuern, wenn es zu einer Kompromittierung kommt. Das geht nur, wenn man jederzeit Transparenz darüber hat, was im eigenen Netzwerk passiert, die richtigen Schlüsse ziehen kann und auf angemessene Reaktionen entsprechend vorbereitet ist.
Der Erfolg von Cyberangriffen hängt wesentlich davon ab, dass Schadcode nach dem Eindringen lange unentdeckt bleibt und sich möglichst weit im Netzwerk ausbreiten kann. Dafür werden verschiedene Methoden zur Tarnung eingesetzt. Trotzdem gibt es Anzeichen, die durch den Einsatz geeigneter technischer Lösungen erkannt werden können.
Angriffe können sich beispielsweise so bemerkbar machen:
- Anfragen auf Command & Control-Servern: Ein Virus ist bereits auf einem Ihrer Systeme und stellt eine Verbindung zu einem Server im Internet her, um die Kontrolle infizierter Clients zu übernehmen.
- Systeme, die normalerweise nicht miteinander kommunizieren, tun dies plötzlich auf eine Weise, die nicht üblich ist: Ein Virus versucht dadurch, weiter im Netzwerk vorzudringen und möglichst viele andere Systeme zu infiltrieren.
- Datenverkehr findet zu ungewöhnlichen Zeiten statt: Meist dann, wenn davon auszugehen ist, dass die Kommunikation nicht so leicht bemerkt wird, nachts oder in den frühen Morgenstunden.
- Userkonten einzelner Nutzer weisen ein atypisches Verhalten beispielsweise hinsichtlich der Login-Zeiten auf. Das kann ein Hinweis darauf sein, dass solche Konten unbefugt verwendet werden.
Auffälligkeiten und Abweichungen von üblichen Mustern können sowohl durch Cyberangriffe als auch durch technische Fehlfunktionen, Konfigurationsfehler oder andere Ursachen auftreten. Entscheidend ist, dass sie detektiert und analysiert werden, damit zeitnah geeignete Maßnahmen zum Schutz der Anlagenverfügbarkeit getroffen werden können.
Angriffserkennung in Kritischen Infrastrukturen
Kritische Infrastrukturen haben eine besondere Bedeutung für das Funktionieren des Gemeinwesens, ihr Ausfall kann weitreichende Auswirkungen für die Versorgung und die Sicherheit der Gesellschaft haben. KRITIS-Betriebe, die definierte Schwellenwerte nach der BSI-Kritisverordnung erreichen, sind daher durch das IT-Sicherheitsgesetz reguliert.
Die Neufassung des IT-Sicherheitsgesetzes (IT-SiG 2.0), die im Mai 2021 in Kraft getreten ist, beinhaltet Änderungen des BSI-Gesetzes (BSIG) und des Energiewirtschaftsgesetzes (EnWG), die den Einsatz von Angriffserkennung für KRITIS-Betreiber und für Betreiber von Energieversorgungsnetzen ab 1. Mai 2023 verpflichtend machen. Entscheidend ist die Umsetzung „nach dem geltenden Stand der Technik“.
Dabei geht es um „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse“.
Von der Regulierung betroffene Unternehmen müssen ab dann alle zwei Jahre einen Nachweis über den wirksamen Einsatz von Systemen zur Angriffserkennung erbringen. Dieser kann laut § 8a Absatz 3 BSIG “durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen”.
Über Betriebe, die eine konforme Angriffserkennung nicht umsetzen, können Bußgelder bis zu 10 Mio EUR verhängt werden.
Was fordert das Gesetz?
Technische und organisatorische Maßnahmen
BSIG §8 (1a): „Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“
Meldepflicht
Eine unverzügliche Meldung beim BSI muss erfolgen für „(erhebliche) Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.“ (BSIG §8b Absatz 4)
Orientierungshilfe des BSI
Ende September 2022 hat das BSI eine Orientierungshilfe (OH) zum Einsatz von Systemen zur Angriffserkennung (SzA) veröffentlicht.
Die Orientierungshilfe definiert Anforderung für die Umsetzung der Angriffserkennung, liefert Formulare für den Nachweis und erläutert das Reifegradmodell für die Bewertung der implementierten Maßnahmen.
Außerdem dient sie als Grundlage für Anpassungen, die für die verbindliche Angriffserkennung in den branchenspezifischen Sicherheitsstandards (B3S) vorgenommen werden müssen. Wer branchenspezifische Sicherheitsstandards einhält, kann damit eine Umsetzung nach dem „Stand der Technik“ nachweisen.
Angriffserkennung muss für diejenigen informationstechnischen Systeme, Komponenten und Prozesse implementiert werden, die funktionskritisch für die Erbringung der Leistung eines KRITIS-Betriebes sind. Das schließt explizit auch OT-Bereiche ein.
Die Allgemeinen Anforderungen in der Orientierungshilfe umfassen verbindliche Vorgaben für
- technische, organisatorische und personelle Rahmenbedingungen
- die fortlaufende Beschaffung von Informationen zu aktuellen Angriffsmustern
- einen aktuellen Stand der Hard- und Software, die für die Angriffserkennung erforderlich ist
- aktuelle Signaturen der Detektionssysteme
- Konfiguration von relevanten Systemen so, dass die Nutzung „bekannter Möglichkeiten der Schwachstellenerkennung“ umsetzbar ist
Für die Planung und Umsetzung geeigneter Maßnahmen sind Anforderungen (MUSS, KANN, SOLLTE) für drei Phasen definiert:
Protokollierung
Um Ereignisse, die sicherheitsrelevant sind, zu erkennen und bewerten zu können, MUSS eine Erhebung, Speicherung und Bereitstellung von Protokollierungsdaten auf System- und Netzebene erfolgen.
Detektion
„Alle Protokolldaten MÜSSEN möglichst kontinuierlich überwacht und ausgewertet werden.“
Reaktion
Passende Maßnahmen sind zu implementieren, um Störungen durch Angriffe zu verhindern oder angemessen darauf zu reagieren. Es „MÜSSEN alle Basisanforderungen von DER.2.1 Behandlung von Sicherheitsvorfällen erfüllt“ und die Meldepflichten eingehalten werden.
Die Orientierungshilfe verweist auf relevante Bausteine des IT-Grundschutzes (zum Nachlesen im IT-Grundschutz-Kompendium des BSI):
OPS.1.1.4 Schutz vor Schadprogrammen
OPS.1.1.5 Protokollierung,
NET.1.2 Netzmanagement
NET.3.2 Firewall
DER.1 Detektion von sicherheitsrelevanten Ereignissen
DER.2.1 Behandlung von Sicherheitsvorfällen
Außerdem wird der Mindeststand zur Protokollierung und Detektion von Cyberangriffen des BSI sowie die ISO/IEC 2700x-Reihe und die Norm IEC 62443 referenziert.
Die Orientierungshilfe hat die Zielsetzung, „einen Anhaltspunkt für die individuelle Umsetzung“ zu liefern. Es gilt also, einen für Ihr Unternehmen passenden Weg zu finden, um die Vorgaben betriebssicher umzusetzen und den geforderten Nachweis dem BSI gegenüber erbringen zu können.
Technische Lösungen
Eine wirksame Angriffserkennung ist nicht nur wichtig, um zu verhindern, dass sich Schadcode in Ihrem Netzwerk ausbreiten kann. Auch technisch bedingte Störungen, die ansonsten unbemerkt anhaltende Probleme verursachen könnten, lassen sich mit geeigneten Maßnahmen erkennen.
Es gibt unterschiedliche Anwendungen, um Logdateien zu protokolieren und die Kommunikation im Netzwerk zu bewerten sowie Daten darüber vorzuhalten. In den Unternehmen sind viele dieser Lösungen bereits im Einsatz. Wir erläutern nachfolgend, was sich hinter den einschlägigen Begriffen verbirgt:
Monitoring & Anomalieerkennung
Beim Monitoring werden Datenströme im Netz überwacht. Der Verlauf der Kommunikation zeigt Auffälligkeiten und Abweichungen von normalen Betriebszuständen (Anomalien) auf. Mit Hilfe von Künstlicher Intelligenz (KI) wird das Normalverhalten und Abweichungen vom Normalverhalten analysiert, was Aufschluss über mögliche Manipulationen oder Cyberangriffe gibt.
Jedes Unternehmensnetzwerk verfügt über eine individuelle Architektur, somit sind Normverhalten und Abweichungen und dementsprechend auch die Anomalieerkennung unternehmensspezifisch.
IDS/IPS Intrusion Detection and Prevention
IDS-Systeme überwachen und analysieren Datenströme im Netzwerk, um potenzielle Bedrohungen zu erkennen. Damit erkennt man ausschließlich bekannte Angriffsmuster, nicht aber unbekannte.
IPS-Systeme gleichen den Datenstrom nicht nur mit bekannten Angriffsmustern ab, sondern reagieren auf identifizierte Bedrohungen entsprechend der festgelegten Regeln. IDS/IPS-Funktionalität ist in vielen Systemen integriert, beispielsweise in Firewalls, wo ein Plug-In unautorisierte Zugriffe blockt und meldet.
SIEM Security Information and Event Management
Ein SIEM ist ein Security-Management-System, das zentral Logdaten aus dem Netzwerk sammelt, um Muster zu bestimmen. Durch den Einsatz von Machine Learning, über das moderne Lösungen verfügen, können Anomalien genauer erkannt werden. Eine SIEM-Lösung liefert einen zentralen Überblick und erkennt Systeme, die sich atypisch verhalten. SIEM-Systeme liefern Analysen von Ereignissen und Warnungen in Echtzeit.
SOC Security Operations Center
Ein SOC ist eine zentrale Stelle im Unternehmen, in der ein IT-Expertenteam rund um die Uhr alle Komponenten der Infrastruktur unter Security-Aspekten überwacht, Ereignisse analysiert und im Bedarfsfall umgehend und angemessen reagiert. Das SOC wertet die Daten aus dem SIEM aus und verifiziert Meldungen.
Was versteht das BSI unter Angriffserkennungssysteme?
Der § 2 (9b) im BSI-Gesetz liefert folgende Definition: ”Systeme zur Angriffserkennung im Sinne dieses Gesetzes sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten.”
Wie Sie in die Umsetzung starten
Der erste Schritt für eine wirksame Angriffserkennung ist die Identifikation Ihrer kritischen Systeme und Geschäftsprozesse, denn das ist, was Sie besonders schützen müssen.
Risikoanalyse
Analysieren Sie, welche Assets und Prozesse in Ihrem Unternehmen betriebskritisch sind und welchen Schutzbedarf diese jeweils für bestimmte sicherheitsrelevante Ereignisse haben. Definieren Sie, welche Daten der relevanten Systeme Sie überwachen und analysieren möchten, damit Angriffe erkannt und die erforderlichen Nachweise erbracht werden können.
Ganzheitliche Vorgehensweise
Konzipieren Sie eine ganzheitliche Lösung für eine Angriffserkennung. Es gilt nicht nur, eine technische Lösung zu implementieren, sondern auch organisatorische und personelle Aspekte zu berücksichtigen.
Klären Sie, was mit den gesammelten Daten konkret passiert, wo sie gespeichert und verarbeitet werden und bilden Sie dies organisatorisch entsprechend ab. Denken Sie auch hier an wirksame Security-Maßnahmen! Auch wenn Analysen von Daten automatisiert durchgeführt werden, so braucht es für die Bewertungen und Dokumentation und andere anfallenden Aufgaben doch den Einsatz von Menschen. Berücksichtigen Sie dafür ausreichende Ressourcen und definieren Sie Verantwortlichkeiten.
Betrieb im Fokus
Technische Lösungen für Angriffserkennung funktionieren entweder zeitverzögert oder in Echtzeit. Je nachdem, ob Sie sich für eine Lösung entscheiden, die große Datenmengen vorhält und später entsprechende Analysen durchführt oder eine Lösung wählen, die Ihre Netzwerkkommunikation in Echtzeit überwacht – die Integration neuer Systeme in den operativen Betrieb ist immer mit besonderen Anforderungen verbunden. Diese müssen Sie in Ihrem Konzept berücksichtigen.
Viel hilft viel: Security mehrschichtig konzipieren
Angreifer können Cyberattacken gezielter konzipieren, wenn mögliche Ziele bekannt sind. Kümmern Sie sich um bekannte Schwachstellen und schließen Sie Sicherheitslücken mit Updates und aktuellen Patches.
Angriffserkennung ist nur eine von vielen Security-Maßnahmen, die das Sicherheitsniveau in Ihrem Netzwerk erhöhen. Unerwünschte Zugriffe können Sie beispielsweise durch Network Access Control (NAC) verhindern. Durch eine Segmentierung Ihrer Anlagennetze vermeiden Sie, dass sich Schadcode, der doch Zugang in Ihr Netzwerk gefunden hat, ausbreiten kann. Wirksame Security wird immer mehrschichtig und ganzheitlich umgesetzt.
Fazit
Angriffserkennung gesetzeskonform umzusetzen, ist für KRITIS-Betreiber eine Aufgabe, bei der die Wirksamkeit und die Betriebstauglichkeit wesentlich von einer guten Vorbereitung abhängt. Die Orientierungshilfe des BSI ist ein nützlicher Leitfaden für die Planung und Umsetzung der einzelnen Maßnahmen, auch im Hinblick auf die Nachweispflicht. Sie stellt jedoch „nur“ eine generelle Vorgehensweise dar, ohne die besonderen Rahmen-bedingungen in den einzelnen Unternehmen oder Branchen zu berücksichtigen.
Unternehmen müssen ihre geschäftskritischen Systeme und Prozesse identifizieren und ein dafür passendes Konzept für die Angriffserkennung erarbeiten. Dabei ist ein zielgerichtetes Vorgehen wichtig, damit die Datenerhebung und -Analyse sinnvoll und praktikabel ist. Dieses Konzept steht nicht für sich allein, Sie müssen es in die ganzheitliche Security-Strategie Ihres Unternehmens integrieren.
Checkliste: Angriffserkennung in KRITIS Betrieben
CEO & Founder
Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.
Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.
