ACD-KRITIS erfüllt Anforderungen zum Einsatz von Systemen zur Angriffserkennung (SzA) gemäß BSI Orientierungshilfe
von Tina Siering
Das am 28.5.2021 in Kraft getretene IT-Sicherheitsgesetz 2.0 (IT-SiG) bringt besonders für Betreiber kritischer Infrastrukturen (KRITIS) und Betreiber von Energieversorgungsnetzen weitreichende Änderungen und neue Pflichten mit. Gefordert wird z. B. der Einsatz eines ganzheitlichen Systems zur Angriffserkennung (SzA), das gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ab dem 01.05.2023 nachgewiesen werden muss. (§ 8a Abs. 3 BSIG).
Um betroffene Unternehmen und Institutionen bei der Umsetzung dieser Anforderungen zu unterstützen, hat das BSI Ende September 2022 eine Orientierungshilfe veröffentlicht. Dieses Dokument beschreibt die Anforderungen für die Implementierung und den Betrieb eines geeigneten Systems zur Angriffserkennung (SzA) und soll Organisationen bei der Auswahl und Implementierung geeigneter Systeme zur effektiven Bekämpfung von Cyberbedrohungen unterstützen.
Die Orientierungshilfe umfasst Empfehlungen zur Systemauswahl, eine Übersicht über technische Anforderungen und eine Bewertung der Funktionalität von auf dem Markt verfügbaren Systemen. Das BSI betont, dass es wichtig ist, ein umfassendes Sicherheitskonzept zu entwickeln, das die Systeme zur Angriffserkennung in einen größeren Kontext einbindet und die Auswahl der Systeme an die spezifischen Bedürfnisse und Anforderungen der Organisation anpasst.
Allgeier secion bietet mit seinem Managed Detection and Response-Service „ACD-KRITIS“ eine geeignete, BSIG-konforme Lösung, um Kompromittierungen im eigenen Netzwerk rechtzeitig zu erkennen und erfolgreiche Cyberangriffe zu verhindern.
Überwachung von Netzwerkverkehr durch Systeme zur Angriffserkennung (SzA)
Eine wichtige Funktion von Systemen zur Angriffserkennung ist die Überwachung von Netzwerkverkehr. Sie sammeln dafür Daten aus verschiedenen Quellen und analysieren diese, um mögliche Angriffe frühzeitig zu erkennen und zu verhindern.
Das BSI hat die Implementierung und den Betrieb eines Systems zur Angriffserkennung in drei Phasen unterteilt:
- Protokollierung
- Detektion
- Reaktion
Die zu schützenden Systeme müssen einerseits durch kontinuierliche Auswertung der gesammelten Informationen (Logging) sicherheitsrelevante Ereignisse (Detektion) erkennen. Dies kann zum Beispiel durch Missbrauchserkennung (signaturbasierte Detektion) oder Anomalie-Erkennung geschehen.
Andererseits müssen die Systeme zur Angriffserkennung (SzA) auch dazu geeignet sein, Störungen als Folge von Angriffen zu verhindern oder auf Angriffe zu reagieren (Reaktion). Dies kann sowohl durch technische als auch organisatorische Maßnahmen umgesetzt werden.
Bewertung mit Hilfe eines Umsetzungsgradmodells
Die umgesetzten Maßnahmen von Systemen zur Angriffserkennung werden über ein 3-stufiges Umsetzungsgradmodell (MUSS/KANN/SOLL) nachgewiesen
Grundsätzlich gilt für die Gesamtheit aller Bereiche (Protokollierung, Detektion und Reaktion), dass …
- die notwendigen technischen, organisatorischen und personellen Rahmenbedingungen geschaffen werden MÜSSEN,
- Informationen zu aktuellen Angriffsmustern für technische Vulnerabilitäten fortlaufend für die im Anwendungsbereich eingesetzten Systeme eingeholt werden MÜSSEN,
- durchgängig jede zur effektiven Angriffserkennung erforderliche Hard- und Software auf einem aktuellen Stand gehalten werden MUSS,
- die Signaturen von Detektionssystemen immer aktuell sein MÜSSEN,
- alle relevanten Systeme so konfiguriert sein MÜSSEN, dass Versuche, bekannte Schwachstellen auszunutzen, erkannt werden können, sofern keine schwerwiegenden Gründe dagegensprechen.
Die Unternehmen sind demzufolge angehalten, zunächst ein umfassendes Protokollierungskonzept zu erstellen. Dabei sind die internen Abhängigkeiten, die Kritikalität und die Notwendigkeit für die Funktionsfähigkeit des kritischen Dienstes zu berücksichtigen. Es ist festzulegen, auf welchen Systemen/Maschinen welche Informationen protokolliert werden sollen. Anforderungen aus dem Datenschutz und anderen Gesetzen sind zu beachten, z. B.
- OPS.1.1.5 Protokollierung, NET1.2 Netzmanagement
- DER.1 Detektion von sicherheitsrelevanten Ereignissen
Die Protokollinformationen sind automatisiert und kontinuierlich auszuwerten, unter der Berücksichtigung von bedrohungs- und branchenspezifischen Ereignissen und Schadcode-Erkennungssystemen.
Eine Automatisierung der Auswertung kann vorgenommen werden.Übergänge zwischen Netzwerken müssen durch netzwerkbasierte Intrusion Detection Systeme ergänzt werden. Auf eine einheitliche Systemzeit auf allen Komponenten ist zu achten. Insbesondere müssen die zentralen Logging-Server zeitlich synchronisiert werden, um die Logging-Daten korrelieren und abgleichen zu können.
ACD-KRITIS – der Full Managed Service von Allgeier secion
Allgeier secion erfüllt mit Active Cyber Defense (ACD)-KRITIS alle wesentlichen MUSS-Anforderungen (Protokollierung, Detektion und Reaktion) der BSI-Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung und ist innerhalb von 6 Wochen implementiert und betriebsbereit.
Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten.
- Passgenaue Lösung zur Suche nach verdächtigen Aktivitäten im eigenen Netzwerk (Netzmanagement)
- Frühzeitiges Detektieren maliziöser Angriffsmuster
- Managed Detection and Response durch Allgeier secion SOC-Team
- Wirksame Angriffserkennung auf Netzebene (Anomalie-Erkennung)
gemäß ACD-KRITIS Standard - Angriffserkennung auf Systemebene (Witness Server Pro)
- Risikoanalyse von Netzwerk-Traffic unter Verwendung von MITRE ATT&CK
- Schutz der Informationssysteme vor Schadprogrammen und erfolgreichen Cyberangriffen
- Schadensreaktion und Schadensvermeidung
- Behandlung von Sicherheitsvorfällen
- Einhalten der Meldepflicht bei Detektion von sicherheitsrelevanten Ereignissen
Im Falle einer verdächtigen Aktion, die ein Eingreifen erfordert, informieren unsere Security Analysten umgehend unsere Kunden, die ACD-KRITIS im Einsatz haben. Dies ermöglicht eine direkte Reaktion auf die Situation. Im Falle eines durch Cyberkriminalität verursachten IT-Sicherheitsvorfalls ist eine direkte Meldung an das BSI möglich.
Fazit: Mit ACD-KRITIS erfüllen Sie Ihre unternehmerische Vorsorgepflichten - fristgerecht bis zum Stichtag 1. Mai 2023.
ACD-KRITIS ist ein permanenter und proaktiver 24/7 Service zur Angriffserkennung
Unser 24/7 Threat Hunting-Service analysiert Ihr Netzwerk proaktiv und kontinuierlich auf Anomalien und identifiziert so die Kommunikation der Angreifer zu ihren Command & Control Servern (C&Cs). Solche Attacken bleiben ohne entsprechende Detektierungsmaßnahmen i.d.R. lange Zeit unentdeckt: Im Schnitt dauert es sechs Monate, bis Unternehmen Angriffe dieser Art auf ihre Netzwerke identifizieren. Mit ACD-KRITIS schließen Sie diesen kritischen Bereich in Ihrer IT-Sicherheit und stellen sicher, dass Angreifer im eigenen Netz umgehend erkannt und entfernt werden, bevor Schaden entsteht. Im Falle einer identifizierten Angriffsaktivität in Ihrem Netzwerk, die sofortigen Handlungsbedarf erfordert, werden Sie umgehend von unserem SOC-Team informiert und erreichen so eine Identifizierung von Sicherheitsvorfällen unmittelbar nach erfolgter Kompromittierung.
Mit ACD-KRITIS werden Sie der umgehenden Meldepflicht gerecht
Im Falle einer verdächtigen Aktion, die Handlungsbedarf erfordert, informiert unser ACD-KRITIS SOC-Team Sie unverzüglich. Dies erlaubt eine direkte Reaktion auf die Situation und – im Falle eines durch Cyberkriminalität verursachten IT-Sicherheitsvorfalls – eine direkte Meldung an das BSI. Mit dem Einsatz von ACD-KRITIS erfüllen Sie die gesetzliche Vorgabe an ein System für die frühzeitige Erkennung von Angriffen. Im Falle von aufgedeckten Angriffsaktivitäten ist die umgehende Meldung des Cyberangriffs sichergestellt.
Mit ACD-KRITIS setzen Sie die Gesetzesanforderungen innerhalb weniger Tage um
Das IT-SiG 2.0 geht mit zusätzlichen Pflichten für KRITIS-Betreiber einher: Ab 01.05.2023 sind Systeme zur Angriffserkennung (SzA) zu implementieren und dies gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen. Neben technischen Maßnahmen sind insbesondere auch organisatorische Maßnahmen erforderlich. Mit ACD-KRITIS erfüllen Sie gemeinsam mit uns alle Vorgaben fristgerecht: Die Implementierung und Inbetriebnahme von Active Cyber Defense-KRITIS dauert nur max. 6 Wochen.
Weiterführende Informationen finden Sie hier: https://www.secion.de/de/lp/it-sicherheitsgesetz-2-0