Angriffserkennung für KRITIS – worauf Betreiber achten müssen

Inhaltsverzeichnis

    Der Einbrecher, den Sie schon am Hintereingang stoppen, richtet den geringsten Schaden an. Das gilt gleichermaßen für Cyberangriffe auf Industrieumgebungen, in denen sich die Angriffsvektoren mit der zunehmenden Vernetzung stetig vergrößern. Angriffserkennung setzt auf möglichst frühzeitige Intervention, um entstehende Schäden zu begrenzen oder vermeiden zu können.

    Für Betriebe der Kritischen Infrastrukturen ist eine schnelle Reaktion bei einem sicherheitsrelevanten Vorfall im Netzwerk von besonderer Bedeutung. Der Gesetzgeber macht daher verbindliche Vorgaben für die Angriffserkennung, die betroffene Unternehmen nun umsetzen müssen.

    Woran sind Cyberangriffe zu erkennen? 

    Während Cyberangriffe mit einer ständig zunehmenden Professionalisierung durchgeführt werden, gibt es in den OT-Bereichen (Operational Technology) nach wie vor große Baustellen, um vernetzte Infrastrukturen ganzheitlich abzusichern. Auch Unternehmen, die Security längst auf der Tagesordnung haben, wie die regulierten KRITIS-Betriebe, weisen eine Vielzahl von Schlupflöchern auf, die von Cyberkriminellen erkannt und genutzt werden können. Hundertprozentige Sicherheit gibt es eben nicht.

    Worauf es ankommt, ist schnelles Gegensteuern, wenn es zu einer Kompromittierung kommt. Das geht nur, wenn man jederzeit Transparenz darüber hat, was im eigenen Netzwerk passiert, die richtigen Schlüsse ziehen kann und auf angemessene Reaktionen entsprechend vorbereitet ist.

    Der Erfolg von Cyberangriffen hängt wesentlich davon ab, dass Schadcode nach dem Eindringen lange unentdeckt bleibt und sich möglichst weit im Netzwerk ausbreiten kann. Dafür werden verschiedene Methoden zur Tarnung eingesetzt. Trotzdem gibt es Anzeichen, die durch den Einsatz geeigneter technischer Lösungen erkannt werden können.

    Eine Kompromittierung Ihres Netzwerkes können Sie an Abweichungen von bekannten Mustern in der Kommunikation erkennen. Das kann sich beispielsweise so bemerkbar machen:

    • Anfragen auf Command & Control-Server: Ein Virus ist bereits auf einem Ihrer Systeme und stellt eine Verbindung zu einem Server im Internet her, um die Kontrolle infizierter Clients zu übernehmen.
    • Systeme, die normalerweise nicht miteinander kommunizieren, tun dies plötzlich auf eine Weise, die nicht üblich ist: Ein Virus versucht dadurch, weiter im Netzwerk vorzudringen und möglichst viele andere Systeme zu infiltrieren.
    • Datenverkehr findet zu ungewöhnlichen Zeiten statt: Meist dann, wenn davon auszugehen ist, dass die Kommunikation nicht so leicht bemerkt wird, nachts oder in den frühen Morgenstunden.
    • Userkonten einzelner Nutzer weisen ein atypisches Verhalten beispielsweise hinsichtlich der Login-Zeiten auf. Das kann ein Hinweis darauf sein, dass solche Konten unbefugt verwendet werden.

    Auffälligkeiten und Abweichungen von üblichen Mustern können sowohl durch Cyberangriffe als auch durch technische Fehlfunktionen, Konfigurationsfehler oder andere Ursachen auftreten. Entscheidend ist, dass sie detektiert und analysiert werden, damit zeitnah geeignete Maßnahmen zum Schutz der Anlagenverfügbarkeit getroffen werden können.

    Angriffserkennung in Kritischen Infrastrukturen

    Kritische Infrastrukturen haben eine besondere Bedeutung für das Funktionieren des Gemeinwesens, ihr Ausfall kann weitreichende Auswirkungen für die Versorgung und die Sicherheit der Gesellschaft haben. KRITIS-Betriebe, die definierte Schwellenwerte nach der BSI-Kritisverordnung erreichen, sind daher durch das IT-Sicherheitsgesetz reguliert.

    Die Neufassung des IT-Sicherheitsgesetzes (IT-SiG 2.0), die im Mai 2021 in Kraft getreten ist, beinhaltet Änderungen des BSI-Gesetzes (BSIG) und des Energiewirtschaftsgesetzes (EnWG), die den Einsatz von Angriffserkennung „nach dem geltenden Stand der Technik“ für KRITIS-Betreiber und für Betreiber von Energieversorgungsnetzen ab 1. Mai 2023 verpflichtend machen.

    Dabei geht es um „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse“.

    Von der Regulierung betroffene Unternehmen müssen ab dann alle zwei einen Nachweis über den wirksamen Einsatz von Angriffserkennung über Formulare erbringen, die vom BSI bereitgestellt werden.

    Wenn die Vorkehrungen zur Angriffserkennung nicht umgesetzt werden, können entsprechend dem Bußgeldkatalog im IT-SiG 2.0 Bußgelder bis zu 10 Mio EUR verhängt werden.

    Was fordert das Gesetz? 

    Technische und organisatorische Maßnahmen

    BSIG §8 (1a): „Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“

    BSIG §2 (9b): „Systeme zur Angriffserkennung im Sinne dieses Gesetzes sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten.“

    Meldepflicht

    Eine unverzügliche Meldung beim BSI muss erfolgen für „(erhebliche) Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.“ (BSIG §8b Absatz 4)

    Orientierungshilfe des BSI

    Anfang Juni 2022 hat das BSI einen Entwurf zur Orientierungshilfe (OH) zum Einsatz von Systemen zur Angriffserkennung (SzA) zur Kommentierung mit Frist bis zum 8. Juli veröffentlicht.

    Die Orientierungshilfe definiert Anforderung für die Umsetzung der Angriffserkennung, liefert Formulare für den Nachweis und erläutert das Reifegradmodell für die Bewertung der implementierten Maßnahmen.

    Außerdem dient sie als Grundlage für Anpassungen, die für die verbindliche Angriffserkennung in den branchenspezifischen Sicherheitsstandards (B3S) vorgenommen werden müssen (Mit der Einhaltung branchenspezifischer Sicherheitsstandards kann der Nachweis für eine Umsetzung nach den „Stand der Technik“ erbracht werden).

    Angriffserkennung muss für diejenigen Systeme, Komponenten und Prozesse implementiert werden, die funktionskritisch für die Erbringung der Leistung eines KRITIS-Betriebes sind. Das schließt explizit auch OT-Bereiche ein.

    Die Allgemeinen Anforderungen im Community Draft der Orientierungshilfe umfassen verbindliche Vorgaben für

    • technische, organisatorische und personelle Rahmenbedingungen
    • die fortlaufende Beschaffung von Informationen zu aktuellen Angriffsmustern
    • einen aktuellen Stand der Hard- und Software, die für die Angriffserkennung erforderlich ist
    • aktuelle Signaturen der Detektionssysteme
    • Konfiguration von relevanten Systemen so, dass die Nutzung „bekannter Möglichkeiten der Schwachstellenerkennung“ möglich ist

    Für die Planung und Umsetzung geeigneter Maßnahmen sind Anforderungen (MUSS, KANN, SOLLTE) für drei Phasen definiert:

    Protokollierung

    Um Ereignisse zu erkennen und bewerten zu können, die sicherheitsrelevant sind, MUSS eine Erhebung, Speicherung und Bereitstellung von Protokollierungsdaten auf System- und Netzebene erfolgen.

    Detektion

    „Alle Protokolldaten MÜSSEN möglichst kontinuierlich überwacht und ausgewertet werden.“

    Reaktion

    Passende Maßnahmen sind zu implementieren, um Störungen durch die Angriffe zu verhindern oder angemessen darauf zu reagieren. Es „MÜSSEN alle Basisanforderungen von DER.2.1 Behandlung von Sicherheitsvorfällen erfüllt“ und die Meldepflichten eingehalten werden.

    Die Orientierungshilfe verweist auf relevante Bausteine des IT-Grundschutzes (zum Nachlesen im IT-Grundschutz-Kompendium des BSI):

    OPS.1.1.4 Schutz vor Schadprogrammen
    OPS.1.1.5 Protokollierung,
    NET.1.2 Netzmanagement
    NET.3.2 Firewall
    DER.1 Detektion von sicherheitsrelevanten Ereignissen
    DER.2.1 Behandlung von Sicherheitsvorfällen

    Außerdem wird der Mindeststand zur Protokollierung und Detektion von Cyberangriffen des BSI sowie die ISO/IEC 2700x-Reihe und die Norm IEC 62443 referenziert.

    Die Orientierungshilfe hat die Zielsetzung, „Anhaltspunkte für die individuelle Umsetzung“ zu liefern. Es gilt also, einen für Ihr Unternehmen passenden Weg zu finden, um die Vorgaben betriebssicher umzusetzen und den geforderten Nachweis dem BSI gegenüber erbringen zu können.

    Technische Lösungen

    Eine wirksame Angriffserkennung ist nicht nur wichtig, um zu verhindern, dass sich Schadcode in Ihrem Netzwerk ausbreiten kann. Auch technisch bedingte Störungen, die ansonsten unbemerkt weiterhin Probleme verursachen könnten, lassen sich mit geeigneten Maßnahmen erkennen.

    Es gibt unterschiedliche Anwendungen, um Logdateien zu protokolieren und die Kommunikation im Netzwerk zu bewerten sowie Daten darüber vorzuhalten. In den Unternehmen sind viele dieser Lösungen bereits im Einsatz. Wir erläutern nachfolgend, was sich hinter den einschlägigen Begriffen verbirgt:

    Monitoring & Anomalieerkennung

    Beim Monitoring werden Datenströme im Netz überwacht. Der Verlauf der Kommunikation zeigt Auffälligkeiten und Abweichungen von normalen Betriebszuständen (Anomalien) auf. Mit Hilfe von Künstlicher Intelligenz (KI) wird das Normalverhalten und Abweichungen vom Normalverhalten analysiert, was Aufschluss über mögliche Manipulationen oder Cyberangriffe gibt.

    Jedes Unternehmensnetzwerk verfügt über eine individuelle Architektur, somit sind Normverhalten und Abweichungen und dementsprechend auch die Anomalieerkennung unternehmensspezifisch.

    IDS/IPS Intrusion Detection and Prevention

    IDS-Systeme überwachen und analysieren Datenströme im Netzwerk, um potenzielle Bedrohungen zu erkennen. Dabei werden ausschließlich bekannte Angriffsmuster erkannt, nicht aber unbekannte. IPS-Systeme gleichen den Datenstrom nicht nur mit bekannten Angriffsmustern ab, sondern reagieren auf identifizierte Bedrohungen entsprechend der festgelegten Regeln. IDS/IPS-Funktionalität ist in vielen Systemen integriert, beispielsweise in Firewalls, wo ein Plug-In unautorisierte Zugriffe blockt und meldet.

    SIEM Security Information and Event Management

    Ein SIEM ist ein Security-Management-System, das zentral Logdaten aus dem Netzwerk sammelt, um Muster zu bestimmen. Durch den Einsatz von Machine Learning, über das moderne Lösungen verfügen, können Anomalien genauer erkannt werden. Eine SIEM-Lösung liefert einen zentralen Überblick und erkennt Systeme, die sich atypisch verhalten. SIEM-Systeme liefern Analysen von Ereignissen und Warnungen in Echtzeit.

    SOC Security Operations Center

    Ein SOC ist eine zentrale Stelle im Unternehmen, in der ein IT-Expertenteam rund um die Uhr alle Komponenten der Infrastruktur unter Security-Aspekten überwacht, Ereignisse analysiert und im Bedarfsfall umgehend und angemessen reagiert. Im SOC werden die Daten aus dem SIEM ausgewertet und Meldungen verifiziert.

    Was versteht das BSI unter Angriffserkennungssysteme?

    „Der Begriff „Angriffserkennungssysteme“ bezieht sich damit auf eine große Bandbreite an technischen und organisatorischen Maßnahmen, die zur Angriffserkennung dienen. Das BSI wird zur Definition eine Orientierungshilfe herausgeben, welche allgemein und branchenübergreifend beschreibt, was unter einem System zur Angriffserkennung zu verstehen ist.“

    Wie Sie in die Umsetzung starten

    Der erste Schritt für eine wirksame Angriffserkennung ist die Identifikation Ihrer kritischen Systeme und Geschäftsprozesse, denn das ist, was Sie besonders schützen müssen.

    Risikoanalyse

    Analysieren Sie, welche Assets und Prozesse in Ihrem Unternehmen betriebskritisch sind und welchen Schutzbedarf diese jeweils für bestimmte sicherheitsrelevante Ereignisse haben. Definieren Sie, welche Daten der relevanten Systeme Sie überwachen und analysieren möchten, damit Angriffe erkannt und die erforderlichen Nachweise erbracht werden können.

    Ganzheitliche Vorgehensweise

    Die Lösung für eine Angriffserkennung muss ganzheitlich konzipiert werden. Es gilt nicht nur, eine technische Lösung zu implementieren, sondern auch organisatorische und personelle Aspekte zu berücksichtigen.

    Klären Sie, was mit den gesammelten Daten konkret passiert, wo sie gespeichert und verarbeitet werden und bilden Sie dies organisatorisch entsprechend ab. Denken Sie auch hier an wirksame Security-Maßnahmen! Auch wenn Analysen von Daten automatisiert durchgeführt werden, so braucht es für die Bewertungen und Dokumentation und andere anfallenden Aufgaben doch den Einsatz von Menschen. Die Ressourcen dafür müssen berücksichtigt werden und Verantwortlichkeiten definiert.

    Betrieb im Fokus

    Technische Lösungen für Angriffserkennung funktionieren entweder zeitverzögert oder in Echtzeit. Je nachdem, ob Sie sich für eine Lösung entscheiden, die große Datenmengen vorhält und später entsprechende Analysen durchführt oder eine Lösung wählen, die Ihre Netzwerkkommunikation in Echtzeit überwacht – die Integration neuer Systeme in den operativen Betrieb ist immer mit besonderen Anforderungen verbunden, die Sie in Ihrem Konzept berücksichtigen müssen.

    Viel hilft viel: Security mehrschichtig konzipieren

    Angreifer können Cyberattacken gezielter konzipieren, wenn mögliche Ziele bekannt sind. Kümmern Sie sich um bekannte Schwachstellen und schließen Sie Sicherheitslücken mit Updates und aktuellen Patches.

    Angriffserkennung ist nur eine von vielen Security-Maßnahmen, die das Sicherheitsniveau in Ihrem Netzwerk erhöhen. Unerwünschte Zugriffe können beispielsweise durch Network Access Control (NAC) verhindert werden und die Segmentierung Ihrer Anlagennetze verhindert, dass sich Schadcode, der doch Zugang in Ihr Netzwerk gefunden hat, ausbreiten kann. Wirksame Security wird immer mehrschichtig und ganzheitlich umgesetzt.

    Fazit

    Angriffserkennung gesetzeskonform umzusetzen, ist für KRITIS-Betreiber eine Aufgabe, bei der die Wirksamkeit und die Betriebstauglichkeit wesentlich von einer guten Vorbereitung abhängt. Die erwartete Orientierungshilfe des BSI ist ein nützlicher Leitfaden für die Planung und Umsetzung der einzelnen Maßnahmen, auch im Hinblick auf die Nachweispflicht. Sie stellt jedoch „nur“ eine generelle Vorgehensweise dar, ohne die besonderen Rahmenbedingungen in den einzelnen Unternehmen oder Branchen zu berücksichtigen.

    Unternehmen müssen ihre geschäftskritischen Systeme und Prozesse identifizieren und ein dafür passendes Konzept für die Angriffserkennung erarbeiten. Dabei ist ein zielgerichtetes Vorgehen wichtig, damit die Datenerhebung und -Analyse sinnvoll und praktikabel ist. Dieses Konzept steht nicht für sich allein, sondern muss in die ganzheitliche Security-Strategie Ihres Unternehmens integriert werden.

    Praxistipp

    Möchten Sie noch mehr Wissen zur Industrial und IIoT Security? Erhalten Sie die wichtigsten Erkenntnisse und Best Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr E-Mail-Postfach. 

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie den Einstieg in die Industrial Security und profitieren Sie von Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung