ESecurity Cert

Systeme zur Angriffserkennung - Orientierungshilfe des BSI zur Umsetzung​

Am 28.5.2021 trat das IT-Si­cher­heits­ge­setz 2.0 (IT-SiG) in Kraft. Wie be­reits das IT-SiG 1.0, be­dingte auch die 2.0 als Ar­ti­kel­ge­setz weit­rei­chende Ände­run­gen in ei­ner gan­zen Reihe von Ein­zel­ge­set­zen (ne­ben dem BSI-Ge­setz – BSIG – u. a. das En­er­gie­wirt­schafts­ge­setz (EnWG) und das Te­le­kom­mu­ni­ka­ti­ons­ge­setz). Das IT-SiG 2.0 geht ins­be­son­dere mit zusätz­li­chen Pflich­ten, u. a. für Be­trei­ber kri­ti­scher In­fra­struk­tu­ren (KRI­TIS-Be­trei­ber), ein­her. Diese sind z. B. ver­pflich­tet, ab dem 1. Mai 2023 ganz­heit­li­che Sys­teme zur An­griffs­er­ken­nung (SzA) nach dem gel­ten­den Stand der Tech­nik ein­zu­set­zen und dies ge­genüber dem Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) nach­zu­wei­sen (§ 8a Abs. 1a BSIG). KRI­TIS-Be­trei­ber müssen den Ein­satz der SzA ab dem 1.5.2023 mit dem nächs­ten fälli­gen Nach­weis gemäß § 8a Abs. 3 BSIG nach­wei­sen.​

Gesetzliche Anforderungen

Aus­ge­hend von der De­fi­ni­tion aus § 2 Abs. 9b Satz 1 BSIG han­delt es sich bei SzA um Pro­zesse, die „durch tech­ni­sche Werk­zeuge und or­ga­ni­sa­to­ri­sche Ein­bin­dung“ (BSI, Ori­en­tie­rungs­hilfe, 2022, S.6) un­terstützt wer­den. SzA als ganz­heit­li­che Sys­teme sind so de­fi­niert, dass sie „ge­eig­nete Pa­ra­me­ter und Merk­male aus dem lau­fen­den Be­trieb kon­ti­nu­ier­lich und au­to­ma­ti­sch er­fas­sen und aus­wer­ten“ (BSI, Ori­en­tie­rungs­hilfe, 2022, S.6) müssen und „dazu in der Lage sein, fortwährend Be­dro­hun­gen zu iden­ti­fi­zie­ren und zu ver­mei­den so­wie für ein­ge­tre­tene Störun­gen ge­eig­nete Be­sei­ti­gungsmaßnah­men vor­zu­se­hen“ (§ 8a Abs. 1a BSIG – BSI, Ori­en­tie­rungs­hilfe, 2022, S.6). Wei­ter heißt es in BSIG §2 Abs. 9b: „Sys­teme zur An­griffs­er­ken­nung im Sinne die­ses Ge­set­zes sind durch tech­ni­sche Werk­zeuge und or­ga­ni­sa­to­ri­sche Ein­bin­dung un­terstützte Pro­zesse zur Er­ken­nung von An­grif­fen auf in­for­ma­ti­ons­tech­ni­sche Sys­teme. Die An­griffs­er­ken­nung er­folgt da­bei durch Ab­gleich der in einem in­for­ma­ti­ons­tech­ni­schen Sys­tem ver­ar­bei­te­ten Da­ten mit In­for­ma­tio­nen und tech­ni­schen Mus­tern, die auf An­griffe hin­deu­ten“ (BSI, Ori­en­tie­rungs­hilfe, 2022, S.6)

Zu­sam­men­ge­fasst heißt dies also: Ne­ben tech­ni­sche Maßnah­men, sind ins­be­son­dere auch or­ga­ni­sa­to­ri­sche Maßnah­men er­for­der­lich.

Zur Un­terstützung der Um­set­zung die­ser neuen An­for­de­run­gen hat das BSI An­fang Juni 2022 eine Ent­wurfs­fas­sung für eine Ori­en­tie­rungs­hilfe zum Ein­satz von Sys­te­men zur An­griffs­er­ken­nung veröff­ent­licht. Nach­fol­gend stel­len wir dar, wie diese Un­ter­neh­men im Hin­blick auf die SzA un­terstützen kann.

 

Exkurs: Cyberangriffe <-> KRITIS?

Die Mo­tive für Cy­ber­an­griffe können un­ter­schied­lich sein - be­gin­nend bei fi­nan­zi­el­len In­ter­es­sen über persönli­che mo­ti­vierte In­ter­es­sen bis hin zu ge­sell­schafts­po­li­ti­schen In­ter­es­sen. Die Mo­tive ver­ei­nen, dass es Ver­su­che sind, durch un­be­fug­ten Zu­griff auf die In­for­ma­ti­ons­sys­teme In­for­ma­tio­nen/Da­ten zu er­hal­ten, die - je nach Prämisse - ge­stoh­len, geändert, gelöscht oder of­fen­ge­legt wer­den sol­len. Der Er­folg ei­nes je­den An­griffs be­steht darin, dass das Ein­drin­gen oder der Schad­code für eine möglichst lange Zeit un­ent­deckt bleibt, da­mit der An­grei­fer sich möglichst weit im Netz­werk aus­brei­ten kann. Das Vor­ge­hen kann da­bei auch va­ri­ie­ren - dies zeigte bspw. der An­griff auf die Stadt Wit­ten im Südos­ten des Ruhr­ge­bie­tes, wo der An­griff zwar ent­deckt, auf­grund der Schnelle aber nicht mehr da­ge­gen ge­steu­ert wer­den konnte. Dies führte dazu, dass die ge­samte Da­ten-Or­ga­ni­sa­tion ver­schlüsselt war, Si­che­rungs­fest­plat­ten gelöscht und die Stadt Wit­ten nach dem An­griff nur noch eine Hand­voll Ma­gnetbänder hatte und seit­dem die kom­plette IT neu auf­bauen mus­ste. Die bestmögli­che Maßnahme bei einem sol­chen Vor­fall ist schnel­les Ge­gen­steu­ern und die Iso­la­tion der kom­pro­mit­tier­ten Netz­be­rei­che.

Eine zen­trale Möglich­keit des be­reits frühzei­ti­gen Ge­gen­steu­erns ist die Er­ken­nung von Ab­wei­chun­gen aus be­kann­ten Mus­tern, so­mit Ano­ma­lien. Ein Bei­spiel kann der Login-Zeit­punkt ei­nes Nut­zers sein. Das sol­che Ano­ma­lien nicht zwangs­weise Cy­ber­an­griffe dar­stel­len, ist die eine Sa­che - al­ler­dings geht es darum, dass diese Ano­ma­lien von SzA über­haupt er­kannt und ana­ly­siert wer­den können, um Maßnah­men ein­zu­lei­ten. Auch bei tech­ni­schen Störun­gen kann es zu an­hal­ten­den Pro­ble­men kom­men, de­nen ent­ge­gen­ge­wirkt wer­den kann.

 

Orientierungshilfe des BSI

Mit­tels der Ori­en­tie­rungs­hilfe möchte das BSI Möglich­kei­ten zur in­di­vi­du­el­len Um­set­zung und Prüfung sol­cher SzA ge­ben. Dazu dif­fe­ren­ziert das BSI ne­ben all­ge­meingülti­gen, grund­le­gend gel­ten­den An­for­de­run­gen, drei Be­rei­che in­ner­halb der Funk­tio­na­lität von SzA:

  • Pro­to­kol­lie­rung: Fort­lau­fende Aus­wer­tung der ge­sam­mel­ten In­for­ma­tion
  • De­tek­tion: Er­ken­nung der si­cher­heits­re­le­van­ten Er­eig­nisse an­hand der ge­sam­mel­ten In­for­ma­tio­nen
  • Re­ak­tion: Im­ple­men­tie­rung von Maßnah­men, um Störun­gen in­folge von An­grif­fen zu ver­hin­dern oder auf sie zu rea­gie­ren

Diese Be­rei­che ha­ben - dif­fe­ren­ziert nach der Pla­nung und Um­set­zung adäqua­ter Maßnah­men - wie­derum drei ver­schie­dene An­for­de­rungsmöglich­kei­ten (Muss, Sollte, Kann). Gemäß IT-Grund­schutz­kom­pen­dium ist die Ab­gren­zung zwi­schen Muss und Sollte:

  • „Muss: Die­ser Aus­druck be­deu­tet, dass es sich um eine An­for­de­rung han­delt, die un­be­dingt erfüllt wer­den muss (un­ein­ge­schränkte An­for­de­rung).
  • Sollte: Die­ser Aus­druck be­deu­tet, dass eine An­for­de­rung nor­ma­ler­weise erfüllt wer­den muss, es aber Gründe ge­ben kann, dies doch nicht zu tun. Dies muss aber sorgfältig ab­ge­wo­gen und stich­hal­tig begründet wer­den. (BSI, IT-Grund­schutz­kom­pen­dium, Stand Fe­bruar 2022, S. 5/6)

Die grundsätz­li­chen An­for­de­run­gen für alle Be­rei­che sind, dass

  • „die not­wen­di­gen tech­ni­schen, or­ga­ni­sa­to­ri­schen und per­so­nel­len Rah­men­be­din­gun­gen ge­schaf­fen wer­den müssen,
  • In­for­ma­tio­nen zu ak­tu­el­len An­griffs­mus­tern für tech­ni­sche Vul­ne­ra­bi­litäten fort­lau­fend für die im An­wen­dungs­be­reich ein­ge­setz­ten Sys­teme ein­ge­holt wer­den müssen,
  • durchgängig alle zur ef­fek­ti­ven An­griffs­er­ken­nung er­for­der­li­che Hard- und Soft­ware auf einem ak­tu­el­len Stand ge­hal­ten wer­den muss,
  • die Si­gna­tu­ren von De­tek­ti­ons­sys­te­men im­mer ak­tu­ell sein müssen,
  • alle re­le­van­ten Sys­teme so kon­fi­gu­riert sein müssen, dass be­kannte Möglich­kei­ten der Schwach­stel­len­er­ken­nung ge­nutzt wer­den, so­fern keine schwer­wie­gen­den Gründe da­ge­gen­spre­chen.“ (BSI, Ori­en­tie­rungs­hilfe, 2022, S.8)

Zusätz­lich ver­weist das BSI auf Bau­steine aus dem IT-Grund­schutz des BSI, wo­bei die kur­siv mar­kier­ten von we­sent­li­cher Be­deu­tung in der Pla­nung und Um­set­zung sind.

  • 1.1.4 Schutz vor Schad­pro­gram­men
  • 1.1.5 Pro­to­kol­lie­rung
  • 1.2 Netz­ma­nage­ment
  • 3.2 Fire­wall
  • 1 De­tek­tion von si­cher­heits­re­le­van­ten Er­eig­nis­sen
  • 2.1: Be­hand­lung von Si­cher­heits­vorfällen

Je­der die­ser Bau­steine um­fasst - ana­log der Ori­en­tie­rungs­hilfe - An­for­de­run­gen, die für den je­wei­li­gen Bau­stein erfüllt wer­den müssen. Außer­dem wird der Min­dest­stand zur Pro­to­kol­lie­rung und De­tek­tion von Cy­ber­an­grif­fen des BSI so­wie die ISO/IEC 2700x-Reihe und die Norm IEC 62443 re­fe­ren­ziert.

Nach­fol­gend stel­len wir Ih­nen ausführ­li­cher dar, wel­che Min­dest­an­for­de­run­gen das BSI zur Um­set­zung für die drei Be­rei­che Pro­to­kol­lie­rung, De­tek­tion und Re­ak­tion sieht.

 

Protokollierung

Im Rah­men der Pla­nungs­phase wer­den durch das BSI fol­gende Muss-An­for­de­run­gen ge­stellt:

  • Mi­les­tone-Pla­nung: Die Schritte der Im­ple­men­tie­rung sind so zu wählen, dass eine an­ge­mes­sene Sicht­bar­keit während ei­ner adäqua­ten Zeit er­zielt wird.
  • Do­ku­men­ta­tion: Der ge­samte Pro­zess der Pla­nungs­phase ist in ge­eig­ne­ter, nach­voll­zieh­ba­rer Form zu do­ku­men­tie­ren und muss alle „Netz­be­rei­che, die Pro­to­kol­lie­rungs­quel­len, de­ren Be­zie­hun­gen un­ter­ein­an­der und den Da­ten­fluss der Pro­to­kol­lie­rungs­er­eig­nisse im An­wen­dungs­be­reich um­fas­sen“ (BSI, Ori­en­tie­rungs­hilfe, 2022, S.9). Gleich­zei­tig muss für je­des Sys­teme/Sys­tem­grup­pen do­ku­men­tiert wer­den, wel­che Er­eig­nisse pro­to­kol­liert wer­den.
  • Vollständige Ana­lyse: Es müssen alle zur wirk­sa­men An­griffs­er­ken­nung not­wen­di­gen Pro­to­kol­lie­rungs­da­ten auf Sys­tem- und Net­ze­bene er­ho­ben, ge­spei­chert und für die Aus­wer­tung be­reit­ge­stellt wer­den, um si­cher­heits­re­le­vante Er­eig­nisse (SRE) zu er­ken­nen und be­ur­tei­len zu können. Darüber hin­aus sind alle Sys­teme zu iden­ti­fi­zie­ren und ana­ly­sie­ren, die zum Be­trieb der kri­ti­schen In­fra­struk­tur not­wen­dig sind so­wie die­je­ni­gen Sys­teme, die zur Spei­che­rung not­wen­di­gen Sys­te­men und de­ren IT-Si­cher­heits­vor­keh­run­gen.
  • Da­ten­schutz: Auf­grund von ggf. per­so­nen­be­zo­ge­nen Da­tensätzen, muss der Da­ten­schutz mit ein­be­zo­gen wer­den.
  • Change-Ma­nage­ment: Bei Ände­run­gen im An­wen­dungs­be­reich muss si­cher­ge­stellt wer­den, dass ent­spre­chend ein Change-Pro­zess im­ple­men­tiert ist.

Im Rah­men der Um­set­zungs­phase sieht das BSI als Min­dest­an­for­de­rung den Auf­bau ei­ner zen­tra­len Pro­to­kol­lie­rungs­in­fra­struk­tur so­wie die Be­reit­stel­lung von Pro­to­kol­lie­rungs­da­ten für die Aus­wer­tung. Um die ge­sam­mel­ten Pro­to­kol­lie­rungs­da­ten in größeren In­for­ma­ti­ons­ver­bun­den an den für den je­wei­li­gen Netz­be­reich zen­tra­len Stelle (im Sinne der Netz­ar­chi­tek­tur) spei­chern zu können, muss die In­fra­struk­tur aus­rei­chend di­men­sio­niert sein (Verfügbar­keit von tech­ni­schen, fi­nan­zi­el­len und per­so­nel­len Res­sour­cen). Im Rah­men der Be­reit­stel­lung muss si­cher­ge­stellt wer­den, dass die Da­ten ge­fil­tert, nor­ma­li­siert, ag­gre­giert und kor­re­liert so­wie ge­eig­net verfügbar ge­macht wer­den können, um diese aus­wer­ten zu können.

Darüber hin­aus ver­weist das BSI dar­auf, dass alle Ba­sis­an­for­de­run­gen von OPS.1.1.5 Pro­to­kol­lie­rung aus dem Grund­schutz erfüllt wer­den müssen. Dies be­deu­tet:

  • Si­cher­heits­richt­li­nie für die Pro­to­kol­lie­rung (OPS.1.1.5.A1): Es muss eine ei­genständige, spe­zi­fi­sche Richt­li­nie exis­tie­ren, in der An­for­de­run­gen und Vor­ga­ben nach­voll­zieh­bar be­schrie­ben sind, wie die Pro­to­kol­lie­rung si­cher ge­plant, auf­ge­baut so­wie be­trie­ben und wie, wo und was pro­to­kol­liert wer­den soll. Die Richt­li­nie, die vom In­for­ma­ti­ons­si­cher­heits­be­auf­trag­ten und den Fach­ver­ant­wort­li­chen er­stellt wer­den und al­len in­vol­vier­ten Mit­ar­bei­ten­den be­kannt ge­macht wer­den muss, ist re­gelmäßig auf Ak­tua­lität zu prüfen, Ände­run­gen mit dem ISB ab­zu­stim­men und zu do­ku­men­tie­ren. Ebenso müssen die Er­geb­nisse do­ku­men­tiert wer­den.
  • Kon­fi­gu­ra­tion der Pro­to­kol­lie­rung auf Sys­tem- und Net­ze­bene (OPS.1.1.5.A3): Alle si­cher­heits­re­le­van­ten Er­eig­nisse von IT-Sys­te­men und An­wen­dun­gen müssen pro­to­kol­liert wer­den. Da­bei sind ver­pflich­tend die Pro­to­kol­lie­rungs­funk­tio­na­litäten der in der Richt­li­nie be­nann­ten IT-Sys­teme und An­wen­dun­gen zu nut­zen (so­fern dies sys­tem­sei­tig vor­han­den ist). Bei der Ein­rich­tung sind je­weils die Her­stel­ler­vor­ga­ben zu be­ach­ten. Darüber hin­aus müssen Abstände für die Überprüfung der Funk­tio­na­lität der Pro­to­kol­lie­rung in der Richt­li­nie de­fi­niert so­wie stich­pro­ben­ar­tig überprüft wer­den.
  • Zeit­syn­chro­ni­sa­tion der IT-Sys­teme (OPS.1.1.A4): Die Sys­tem­zeit al­ler pro­to­kol­lie­ren­den IT-Sys­teme und An­wen­dun­gen muss im­mer syn­chron sein und das Da­tums- und Zeit­for­mat der Pro­to­koll­da­teien ein­heit­lich sein.
  • Ein­hal­tung recht­li­cher Rah­men­be­din­gun­gen (OPS.1.1.5.A5): Die je­weils gel­ten­den Bun­des- und Lan­des­da­ten­schutz­be­stim­mun­gen so­wie wei­tere, re­le­vante ge­setz­li­che Be­stim­mun­gen müssen ein­ge­hal­ten so­wie Persönlich­keits­rechte bzw. Mit­be­stim­mungs­rechte der Mit­ar­bei­ter­ver­tre­tun­gen ge­wahrt wer­den. Pro­to­kol­lie­rungs­da­ten sind nach einem de­fi­nier­ten Ver­fah­ren zu löschen, wo­bei das un­kon­trol­lierte Ändern oder Löschen von Pro­to­kol­lie­rungs­da­ten tech­ni­sch ver­hin­dert wer­den muss.

Ne­ben die­sen teils um­fang­rei­chen Muss-An­for­de­run­gen, gibt es wei­tere sie­ben Sollte-An­for­de­run­gen so­wie eine Kann-An­for­de­rung. Be­reits hier zeigt sich, dass ein be­reits im­ple­men­tier­tes In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (ISMS) hilf­reich sein kann.

 

Detektion

Wenn sie ein SzA gemäß An­for­de­rung um­set­zen wol­len, müssen Sie bei der Pla­nung fol­gende An­for­de­rung zur Si­cher­stel­lung der De­tek­tion berück­sich­tig­ten, dass die Ab­de­ckung der Be­dro­hungs­land­schaft vor dem Hin­ter­grund der durch­geführ­ten Ri­si­ko­ana­lyse und der Größe so­wie Struk­tur des Un­ter­neh­mens bei der Aus­wahl und dem Ein­satz von De­tek­ti­onsmaßnah­men si­cher­zu­stel­len ist und da­mit in der Pla­nung zu berück­sich­ti­gen sind.

Im Rah­men der Um­set­zungs­phase der SzA wer­den fol­gende Min­dest­an­for­de­run­gen de­fi­niert:

  • Kon­ti­nu­ier­li­che Über­wa­chung und Aus­wer­tung von Pro­to­koll­da­ten: Die Pro­to­koll­da­ten müssen möglichst kon­ti­nu­ier­lich über­wacht und aus­ge­wer­tet wer­den. Dafür müssen aus­rei­chend per­so­nelle Res­sour­cen zur Verfügung ge­stellt wer­den. Die ver­ant­wort­li­chen Mit­ar­bei­ten­den des Un­ter­neh­mens (bzw. bei Dienst­leis­tern die je­wei­li­gen Mit­ar­bei­ten­den) sind na­ment­lich zu be­nen­nen und müssen ak­tiv nach SRE su­chen. Es müssen so­mit aus­rei­chend per­so­nelle Res­sour­cen zur Verfügung ste­hen.
  • Ein­satz zusätz­li­cher De­tek­ti­ons­sys­teme: Schad­code­de­tek­ti­ons­sys­teme müssen ein­ge­setzt und zen­tral ver­wal­tet wer­den, wo­bei an­hand des Netz­plans fest­ge­legt wer­den muss, wel­che Seg­mente durch wei­tere De­tek­ti­ons­sys­teme ge­schützt wer­den sol­len. Auch Übergänge zwi­schen in­ter­nen und ex­ter­nen Net­zen müssen um netz­ba­sierte In­tru­sion De­tec­tion Sys­teme (NIDS) ergänzt wer­den
  • Pro­to­kol­lie­rungs­in­fra­struk­tur: Nut­zung ei­ner zen­tra­len, zeit­lich syn­chro­ni­sier­ten Pro­to­kol­lie­rungs­in­fra­struk­tur für die Aus­wer­tung si­cher­heits­re­le­van­ter Er­eig­nisse. Die Aus­wer­tung auf Auffällig­kei­ten sämt­li­cher Er­eig­nis­mel­dun­gen muss re­gelmäßig er­fol­gen. Zusätz­lich sind die Si­gna­tu­ren der je­wei­li­gen Sys­teme stets auf dem glei­chen Stand zu hal­ten.
  • Aus­wer­tung von In­for­ma­tio­nen aus ex­ter­nen Quel­len: Ex­terne, zu­verlässige Quel­len müssen ge­nutzt und aus­ge­wer­tet wer­den. Es ist si­cher­zu­stel­len, dass den re­le­van­ten Mit­ar­bei­tern die Mel­dun­gen aus den ex­ter­nen Quel­len auch vor­lie­gen, so dass alle ein­ge­hen­den In­for­ma­tio­nen da­hin­ge­hend be­wer­tet wer­den können, ob sie re­le­vant für das Un­ter­neh­men ist und ob sich dar­aus ggf. ein Si­cher­heits­vor­fall er­gibt, der ge­mel­det/wei­ter­ver­folgt wer­den muss.
  • Aus­wer­tung der Pro­to­koll­da­ten durch spe­zia­li­sier­tes Per­so­nal: Ei­ner­seits muss eine spe­zi­elle Be­auf­tra­gung zur Aus­wer­tung der Pro­to­koll­da­ten vor­lie­gen, an­de­rer­seits muss der mit der Aus­wer­tung von Pro­to­koll­da­ten ver­ant­wort­li­che Per­so­nen­kreis be­nannt wer­den. Die­ser Per­so­nen­kreis muss aus­schließlich für die The­ma­tik-Aus­wer­tung ver­ant­wort­lich sein.
  • Zen­trale De­tek­tion und Echt­zeitüberprüfun­gen von Er­eig­nis­mel­dun­gen: Es müssen so­wohl zen­trale Kom­po­nen­ten ein­ge­setzt wer­den als auch zen­trale au­to­ma­ti­sierte Ana­ly­sen, „um alle in der Sys­tem­um­ge­bung an­fal­len­den Pro­to­kol­lie­rungs­er­eig­nisse auf­zu­zeich­nen, in Be­zug zu­ein­an­der zu set­zen und si­cher­heits­re­le­vante Vorgänge sicht­bar zu ma­chen (BSI, Ori­en­tie­rungs­hilfe, 2022, S.11).“ Die Pro­to­kol­lie­rungs­da­ten müssen lücken­los, ein­seh­bar und aus­wert­bar sein, per­ma­nent aus­ge­wer­tet wer­den und bei Über­schrei­tung de­fi­nier­ter Schwell­werte, au­to­ma­ti­sch alar­mie­ren. Diese Alar­mie­rung muss durch ein fach­lich ge­schul­tes Per­so­nal geprüft wer­den. Die de­fi­nier­ten Pa­ra­me­ter in der Ana­lyse sind lau­fend auf Ak­tua­lität zu prüfen. Zusätz­lich sind „be­reits überprüfte Pro­to­kol­lie­rungs­da­ten re­gelmäßig hin­sicht­lich si­cher­heits­re­le­van­ter Er­eig­nisse au­to­ma­ti­sch (BSI, Ori­en­tie­rungs­hilfe, 2022, S.11)“ zu un­ter­su­chen.
  • Au­to­ma­ti­sche Re­ak­tion auf si­cher­heits­re­le­vante Er­eig­nisse: Die De­tek­ti­ons­sys­teme müssen (bei einem si­cher­heits­re­le­van­ten Er­eig­nis) u. a. au­to­ma­ti­sch mel­den und mit ge­eig­ne­ten Schutzmaßnah­men rea­gie­ren. Zu­dem muss der Aus­schluss von Netz­seg­men­ten oder gan­zen Net­zen nach­voll­zieh­bar begründet und do­ku­men­tiert wer­den.

Zu­dem ist si­cher­zu­stel­len, dass lau­fend In­for­ma­tio­nen zu An­griffs­mus­tern und u. a. Mel­dun­gen von Hard- und Soft­ware­her­stel­lern ein­ge­holt wer­den müssen, um die Vollständig­keit mögli­cher Schwach­stel­len iden­ti­fi­zie­ren zu können. Dem­ent­spre­chend sind die De­tek­ti­ons­sys­teme re­gelmäßig zu überprüfen und an­zu­pas­sen.

Zusätz­lich sind die Ba­sis­an­for­de­run­gen des Bau­steins „DER.1 De­tek­tion von si­cher­heits­re­le­van­ten Er­eig­nis­sen“ zu berück­sich­ti­gen sind.

Dies be­deu­tet:

  • Er­stel­lung ei­ner Si­cher­heits­richt­li­nie für die De­tek­tion von si­cher­heits­re­le­van­ten Er­eig­nis­sen (Der.1.A1): Ana­log der Si­cher­heits­richt­li­nie für die Pro­to­kol­lie­rung, ist eine spe­zi­fi­sche Richt­li­nie für die De­tek­tion zu er­stel­len, wo be­schrie­ben ist, wie die De­tek­tion ge­plant, auf­ge­baut und be­trie­ben wer­den kann. Die Richt­li­nie, die al­len ver­ant­wort­li­chen Mit­ar­bei­ten­den be­kannt ge­macht wer­den muss, ist re­gelmäßig auf Ak­tua­lität zu prüfen, Ände­run­gen mit dem ISB ab­zu­stim­men und zu do­ku­men­tie­ren. Ebenso müssen die Er­geb­nisse do­ku­men­tiert wer­den.
  • Ein­hal­tung recht­li­cher Be­din­gun­gen bei der Aus­wer­tung von Pro­to­koll­da­ten (Der.1.A2): Die je­weils gel­ten­den Bun­des- und Lan­des­da­ten­schutz­be­stim­mun­gen so­wie wei­tere, re­le­vante ge­setz­li­che Be­stim­mun­gen (wie das Te­le­kom­mu­ni­ka­ti­ons­ge­setz (TKG) müssen ein­ge­hal­ten so­wie Persönlich­keits­rechte bzw. Mit­be­stim­mungs­rechte der Mit­ar­bei­ter­ver­tre­tun­gen ge­wahrt wer­den.
  • Fest­le­gung von Mel­de­we­gen für si­cher­heits­re­le­vante Er­eig­nisse (Der.1.A3): Es muss ein Melde- und Alar­mie­rungs­plan de­fi­niert und do­ku­men­tiert wer­den, aus dem her­vor­geht, wel­che Stel­len wann zu in­for­mie­ren sind und wie die Per­so­nen der Stel­len er­reicht wer­den können. Die­ser muss den Mit­ar­bei­tern aus­ge­druckt vor­lie­gen. Je nach Kri­ti­ka­lität der Si­cher­heits­er­eig­nis­ses, sind un­ter­schied­li­che Kom­mu­ni­ka­ti­ons­wege zu wählen.
  • Sen­si­bi­li­sie­rung der Mit­ar­bei­ter (Der.1.A.44): Zur Sen­si­bi­li­sie­rung sind re­gelmäßig Schu­lun­gen durch­zuführen, insb. da­hin­ge­hend, dass Er­eig­nis­mel­dun­gen di­rekt an das In­ci­dent Ma­nage­ment ver­pflich­tend zu mel­den sind.
  • Ein­satz von mit­ge­lie­fer­ten Sys­tem­funk­tio­nen zur De­tek­tion (Der.1.A.5)

    Reaktion

    Zen­tra­ler Bau­stein als Min­dest­an­for­de­rung nach BSI ist DER.2.1: Be­hand­lung von Si­cher­heits­vorfällen. Die spe­zi­fi­schen An­for­de­run­gen sind so­mit über das Vor­falls­ma­nage­ment si­cher­zu­stel­len - dazu gehört ne­ben der Mel­dung von Vorfällen, die die kri­ti­sche In­fra­struk­tur be­tref­fen, an die Behörden, auch die Mel­dung von ent­spre­chen­den Si­cher­heits­vorfällen, die im Zu­sam­men­hang mit An­grif­fen ste­hen. Fest­ge­stellte Vorfälle aus Si­cher­heits­an­grif­fen müssen be­han­delt wer­den. Da­bei muss auch si­cher­ge­stellt wer­den, dass Maßnah­men, die al­lein au­to­ma­ti­siert er­grif­fen wer­den, nicht die kri­ti­sche In­fra­struk­tur be­einträch­ti­gen dürfen.

    Gemäß DER.2.1 zu­dem:

    • De­fi­ni­tion ei­nes Si­cher­heits­vor­falls (Der.2.1.A.1)
    • Er­stel­lung ei­ner Richt­li­nie zur Be­hand­lung von Si­cher­heits­vorfällen (Der.2.1.A2): Dazu gehört, dass Zweck und Ziel so­wie Ver­hal­tens­re­geln für die ver­schie­de­nen Ar­ten von Si­cher­heits­vorfällen de­fi­niert wer­den, es ziel­grup­pen­ori­en­tierte Hand­lungs­an­wei­sun­gen gibt, die Richt­li­nie al­len Mit­ar­bei­tern be­kannt ge­macht und von der Ge­schäftsführung ver­ab­schie­det so­wie in re­gelmäßigen Abständen auf Ak­tua­lität überprüft wird.
    • Fest­le­gung von Ver­ant­wort­lich­kei­ten und An­sprech­part­nern bei Si­cher­heits­vorfällen (Der.2.1.A3): Dies be­sagt ins­be­son­dere, dass ein­deu­tige Ver­ant­wort­lich­kei­ten de­fi­niert, Auf­ga­ben und Kom­pe­ten­zen für alle Mit­ar­bei­ter fest­ge­legt und die zen­tra­len An­sprech­part­ner al­len Mit­ar­bei­tern be­kannt ge­macht wur­den.
    • Be­nach­rich­ti­gung be­trof­fe­ner Stel­len bei Si­cher­heits­vorfällen (Der.2.1.A4): Dies in­klu­diert auch die Prüfung da­hin­ge­hend, ob alle in­ter­nen und ex­ter­nen Stel­len un­mit­tel­bar in­for­miert wer­den, der Da­ten­schutz so­wie ggf. Be­triebs- und Per­so­nal­rat so­wie Mit­ar­bei­ter aus dem Rechts­be­reich hin­zu­ge­zo­gen wer­den müssen und die über­ge­ord­ne­ten Mel­de­pflich­ten für Behörden und re­gu­lierte Bran­chen berück­sich­tigt sind.
    • Be­he­bung von Si­cher­heits­vorfällen (Der.2.1.A5): Es muss eine do­ku­men­tierte Ur­sa­chen­ana­lyse durch­geführt wer­den auf Ba­sis des­sen die kor­rekte Maßnahme zur Be­he­bung aus­gewählt wer­den kann, die nach Frei­gabe durch den IT-Be­triebs­lei­ter um­ge­setzt wird. Dazu muss so­wohl ein in­ter­ner/ex­ter­ner Kom­mu­ni­ka­ti­ons­plan so­wie eine Liste in­ter­ner und ex­ter­ner Ex­per­ten vor­han­den sein.
    • Wie­der­her­stel­lung der Be­triebs­um­ge­bung nach Si­cher­heits­vorfällen (Der.2.1.A6): Im ers­ten Schritt müssen die be­trof­fe­nen Kom­po­nen­ten iso­liert, so­mit vom Netz ge­trennt wer­den. Auf­bau­end müssen Da­ten zur Ur­sa­chen­ana­lyse ge­si­chert und auf al­len be­trof­fe­nen Kom­po­nen­ten die Sys­teme und Ap­pli­ka­tio­nen geprüft wer­den.

     

    „Exkurs“: Auswirkungen sowie Anpassungen im § 8a für die Energieversorgungsunternehmen - § 11 Absatz 1d EnWG

    Ne­ben KRI­TIS-Be­trei­bern sind durch die An­pas­sung des En­er­gie­wirt­schafts­ge­set­zes (EnWG) auch Be­trei­ber von En­er­gie­ver­sor­gungs­net­zen gemäß § 11 Ab­schnitt 1d des EnWG dazu ver­pflich­tet „…in ih­ren in­for­ma­ti­ons­tech­ni­schen Sys­te­men, Kom­po­nen­ten oder Pro­zes­sen, die für die Funk­ti­onsfähig­keit der von ih­nen be­trie­be­nen En­er­gie­ver­sor­gungs­netze oder En­er­gie­an­la­gen maßgeb­lich sind, in an­ge­mes­se­ner Weise Sys­teme zur An­griffs­er­ken­nung ein­zu­set­zen. Die ein­ge­setz­ten Sys­teme zur An­griffs­er­ken­nung müssen ge­eig­nete Pa­ra­me­ter und Merk­male aus dem lau­fen­den Be­trieb kon­ti­nu­ier­lich und au­to­ma­ti­sch er­fas­sen und aus­wer­ten. Sie soll­ten dazu in der Lage sein, fortwährend Be­dro­hun­gen zu iden­ti­fi­zie­ren und zu ver­mei­den so­wie für ein­ge­tre­tene Störun­gen ge­eig­nete Be­sei­ti­gungsmaßnah­men vor­se­hen. Da­bei soll der Stand der Tech­nik ein­ge­hal­ten wer­den. Der Ein­satz von Sys­te­men zur An­griffs­er­ken­nung ist an­ge­mes­sen, wenn der dafür er­for­der­li­che Auf­wand nicht außer Verhält­nis zu den mögli­chen Fol­gen ei­nes Aus­falls oder ei­ner Be­einträch­ti­gung des be­trof­fe­nen En­er­gie­ver­sor­gungs­net­zes oder der be­trof­fe­nen En­er­gie­an­lage steht“ (IT-Si­cher­heits­ge­setz 2.0, Bun­des­ge­setz­blatt, 2021, Nr.25 vom 27.05.2021, Seite 1137).

    Ein Großteil der En­er­gie­ver­sor­gungs­un­ter­neh­men ist be­reits nach der DIN EN ISO/IEC 27001:2017-06 zer­ti­fi­ziert, um den An­for­de­run­gen des IT-Si­cher­heits­ka­ta­logs gemäß § 11 Abs. 1a EnWG nach­zu­kom­men. Wie ein­gangs erwähnt, sind durch die An­pas­sun­gen im IT-SiG 2.0 nicht nur Be­trei­ber kri­ti­scher In­fra­struk­tu­ren be­trof­fen. Dies hatte auch Aus­wir­kun­gen auf wei­tere Ge­setze, wie das EnWG. Im Rah­men des­sen wurde de­fi­niert, dass SzA ein­zu­set­zen sind. Dies hat Aus­wir­kun­gen da­hin­ge­hend, da die SzA die Kom­mu­ni­ka­ti­ons­tech­nik möglichst um­fas­send schützen sollte, dass insb. die Netz­leit­tech­nik (zu­meist zen­tra­ler Be­stand­teil des Gel­tungs­be­reichs beim IT-Si­cher­heits­ka­ta­log) und Fern­wirk­tech­nik be­trof­fen sein wer­den.

    Be­trei­ber von En­er­gie­ver­sor­gungs­net­zen und En­er­gie­an­la­gen, die gemäß § 10 Ab­satz 1 BSIG als KRI­TIS ein­ge­stuft wer­den, ha­ben nach § 11 Ab­satz 1e EnWG dem BSI erst­ma­lig am 1. Mai 2023 so­wie im An­schluss im Tur­nus von zwei Jah­ren die Erfüllung der An­for­de­run­gen nach § 11 Ab­satz 1d EnWG nach­zu­wei­sen.

     

    Reifegradmodell zur Bewertung des Grades der Umsetzung

    Beim BSI müssen alle zwei Jahre Nach­weise zur Um­set­zung gemäß § 8a Ab­satz 3 BSIG ein­ge­reicht wer­den. Da­bei ist zwin­gend zu be­ach­ten, dass Nach­weise, die dem BSI ab dem 1. Mai 2023 vor­ge­legt wer­den, auch Aus­sa­gen zur Um­set­zung des § 8a Ab­satz 1a BSIG, also zum Ein­satz von An­griffs­er­ken­nungs­sys­te­men, ent­hal­ten müssen. Für die Be­wer­tung setzt das BSI ana­log der be­reits be­kann­ten Ein­schätzung zum ISMS und BCMS aus dem Nach­weis­do­ku­ment P, auf ein Rei­fe­grad­mo­dell. Fol­gende Rei­fe­grade sind vor­ge­se­hen:

    • „0: Es sind bis­her keine An­for­de­run­gen um­ge­setzt und es be­ste­hen auch keine Pla­nun­gen zur Um­set­zung von An­for­de­run­gen.
    • 1: Es be­ste­hen Pla­nun­gen zur Um­set­zung von An­for­de­run­gen, je­doch für min­des­tens einen Be­reich noch keine kon­kre­ten Um­set­zun­gen.
    • 2: In al­len Be­rei­chen wurde mit der Um­set­zung von An­for­de­run­gen be­gon­nen. Es sind noch nicht alle Muss-An­for­de­run­gen um­ge­setzt wor­den.
    • 3: Alle Muss-An­for­de­run­gen wur­den für alle Be­rei­che um­ge­setzt. Idea­ler­weise wur­den Sollte-An­for­de­run­gen hin­sicht­lich ih­rer Not­wen­dig­keit und Um­setz­bar­keit geprüft. Ein kon­ti­nu­ier­li­cher Ver­bes­se­rungs­pro­zess wurde eta­bliert.
    • 4: Alle Muss-An­for­de­run­gen wur­den für alle Be­rei­che um­ge­setzt. Alle Sollte-An­for­de­run­gen wur­den um­ge­setzt, außer sie wur­den stich­hal­tig und nach­voll­zieh­bar begründet aus­ge­schlos­sen. Ein kon­ti­nu­ier­li­cher Ver­bes­se­rungs­pro­zess wurde eta­bliert.
    • 5: Alle Muss-An­for­de­run­gen wur­den für alle Be­rei­che um­ge­setzt. Alle Sollte-An­for­de­run­gen und Kann-An­for­de­run­gen wur­den für alle Be­rei­che um­ge­setzt, außer sie wur­den stich­hal­tig und nach­voll­zieh­bar begründet aus­ge­schlos­sen. Für alle Be­rei­che wur­den sinn­volle zusätz­li­che Maßnah­men ent­spre­chend der Ri­si­ko­ana­lyse/Schutz­be­darfs­fest­stel­lung iden­ti­fi­ziert und um­ge­setzt. Ein kon­ti­nu­ier­li­cher Ver­bes­se­rungs­pro­zess wurde eta­bliert (BSI, Ori­en­tie­rungs­hilfe, 2022, S.13).“

    Das BSI legt al­ler­dings auch dar, dass - vor dem Hin­ter­grund der Einführung von SzA - im ers­ten Nach­weis­zy­klus ein Rei­fe­grad der Stufe 3 aus­rei­chend ist, lang­fris­tig al­ler­dings min­des­tens die Stufe 4 er­reicht wer­den müsste. Ab­wei­chun­gen nach un­ten müss­ten begründet wer­den.

     

    Nachweiserfüllung

    Die Erfüllung von § 8a Ab­satz 1a BSIG (SzA) ist - ab dem 1. Mai 2023 - ge­mein­sam mit dem Nach­weis nach § 8a Ab­satz 1 BSIG (grds. An­for­de­rung zur Erfüllung für KRI­TIS-Be­trei­ber) zu er­brin­gen. Ab 1.5.2023 muss ein Nach­weis nach § 8a Ab­satz 3 BSIG ab dem auch die Er­geb­nisse der Prüfung SzA ent­hal­ten, in­klu­sive der auf­ge­deck­ten Si­cher­heitsmängel. Ent­spre­chende Nach­weis­for­mu­lare wer­den durch das BSI an­ge­passt bzw. für Be­trei­ber von En­er­gie­ver­sor­gungs­net­zen und En­er­gie­an­la­gen Neue er­stellt.

     

    Sinnvolle nächste Schritte

    Un­ter­neh­men, wel­che noch keine Maßnah­men zur An­for­de­rungs­erfüllung ein­ge­lei­tet ha­ben, soll­ten im ers­ten Schritt eine Ri­si­ko­be­trach­tung durchführen. Es gibt spe­zi­fi­sche Rah­men­be­din­gun­gen so­wie ins­be­son­dere auch bran­chen­spe­zi­fi­sche An­for­de­run­gen, die in der Ori­en­tie­rungs­hilfe selbst nicht spe­zi­fi­ziert wer­den. Ach­ten Sie im ers­ten Schritt auf den zu be­trach­ten­den Scope. KRI­TIS-Un­ter­neh­men ken­nen die re­le­van­ten Sys­teme ih­rer kri­ti­schen In­fra­struk­tur. Bei der Einführung von SzA macht es aber ggf. durch­aus Sinn, den be­reits be­kann­ten Scope zu er­wei­tern und eine ganz­heit­li­che Be­trach­tung meh­re­rer oder al­ler Sys­teme um­zu­set­zen. Ergänzend müssen auch per­so­nelle so­wie or­ga­ni­sa­to­ri­sche Vor­aus­set­zun­gen ge­schaf­fen und im­ple­men­tiert wer­den, da ins­be­son­dere auch die Aus­wer­tung der Si­cher­heits­vorfälle so­wie der rein ope­ra­tive Be­trieb si­cher­ge­stellt wer­den muss. Ebenso hängt es da­von ab, für wel­che Art von SzA sich ent­schie­den wird. Sei es bspw. ein Sys­tem, wel­ches eine Über­wa­chung/Ana­lyse in Echt­zeit vor­nimmt oder ei­nes, wel­ches die­ses zeit­ver­setzt durchführt und da­her im ers­ten Schritt Da­ten sam­melt. Sys­tem­sei­tig gibt es die ver­schie­dens­ten Möglich­kei­ten zur Im­ple­men­tie­rung, wo­bei nicht alle voll­umfäng­lich die An­for­de­rung erfüllen.

    Fol­gende bei­spiels­weise:

    • IDS (In­tru­sion De­tec­tion Sys­tem): Sys­tem zur Er­ken­nung von An­grif­fen ohne Ab­wehr. Zu­meist kon­zen­triert sich dies auf den ein- und aus­ge­hen­den In­ter­net­ver­kehr.
    • IPS (In­tru­sion Pre­ven­tion Sys­tem): Sys­tem zur Er­ken­nung von An­grif­fen mit au­to­ma­ti­schen Ab­wehrmaßnah­men.
    • SIEM (Se­cu­rity In­for­ma­tion and Event Ma­nage­ment): Ein SIEM sam­melt, ana­ly­siert, be­wer­tet und klas­si­fi­ziert Da­ten aus den ver­schie­dens­ten Quel­len, um Ano­ma­lien fest­zu­stel­len. Im Ge­gen­satz bspw. zu einem IDS, können in einem SIEM durch den Be­nut­zer auch vor­beu­gende Maßnah­men er­grif­fen wer­den.
    • SOC (Se­cu­rity Ope­ra­ti­ons Cen­ter): Ein SOC geht über das SIEM hin­aus und ist eine Zu­sam­men­stel­lung aus Men­schen, Pro­zes­sen und Sys­te­men, um sich mit den Vorfällen/Si­cher­heits­er­eig­nis­sen, die aus dem SIEM ge­mel­det wer­den, zu be­fas­sen.
    • SOAR (Se­cu­rity Or­chestra­tion, Au­to­ma­tion and Re­sponse): Ein SOAR hat grundsätz­lich die iden­ti­sche Funk­tio­na­lität wie ein SIEM, geht al­ler­dings da­hin­ge­hend noch darüber hin­aus, dass ein SOAR bei­spiels­weise zusätz­li­che In­for­ma­tio­nen aus ex­ter­nen Feeds bzw. all­ge­mei­nen Quel­len von Dritt­an­bie­tern her­an­zieht, um ein ganz­heit­li­ches Bild der Si­cher­heits­land­schaft des Netz­werks, in­nen wie außen, zu er­hal­ten. In einem SOAR ist es bspw. Möglich, spe­zi­fi­sche Un­ter­su­chungs­phase zu er­stel­len, die auf Ba­sis ei­nes Alarms ver­folgt wer­den.

    Be­reits nach Veröff­ent­li­chung des IT-SiG 2.0 wurde auf die Frage zur Erfüllung ei­nes SzAs zu­meist ge­ant­wor­tet, dass idea­ler­weise min­des­tens ein SIEM zu im­ple­men­tie­ren ist. Mit der Ori­en­tie­rungs­hilfe wur­den nun durch das BSI kon­kret An­for­de­run­gen de­fi­niert, wel­che zu erfüllen sind.

     

    Implementierung ISMS

    Darüber hin­aus emp­fiehlt es sich, kurz-, mit­tel- und lang­fris­tig ein ISMS im Un­ter­neh­men zu im­ple­men­tie­ren. Grund­lage kann die in­ter­na­tio­nale Norm DIN EN ISO/IEC 27001:2017-06 sein. Ei­nige der in der Ori­en­tie­rungs­hilfe auf­geführ­ten As­pekte, können über be­ste­hende Pro­zesse in einem ISMS ab­ge­deckt wer­den - be­gin­nend bei der Ri­si­ko­ana­lyse, über das Schwach­stel­len­ma­nage­ment so­wie Netz­werk­si­cher­heit bis hin zum Vor­fall­ma­nage­ment/In­for­ma­tion Se­cu­rity In­ci­dent Ma­nage­ment Pro­zess. Ein ISMS schafft u. a. Awa­ren­ess, In­for­ma­ti­ons­si­cher­heit, Ver­ant­wort­lich­keit, (In­for­ma­ti­ons­si­cher­heits-) Ri­si­ko­be­wusst­sein, Pro­zesse, Sen­kung von Ri­si­ken und Com­pli­ance - hier ist bspw. die Erfüllung Kun­den­an­for­de­run­gen oder Wett­be­werbs­vor­teile noch gar nicht be­nannt.

     

    Ausblick

    Nach Rück­spra­che mit dem BSI wird er­war­tet, dass die Ori­en­tie­rungs­hilfe noch in Q3/2022 fi­na­li­siert und veröff­ent­licht wer­den soll. Es wird dar­auf hin­aus­lau­fen, dass je­des Un­ter­neh­men für sich eine Stra­te­gie ent­wirft, wie man dies um­set­zen möchte. Wir emp­feh­len, dies so­weit möglich trans­pa­rent dar­zu­stel­len und die un­ter­schied­li­chen In­ter­es­sens­grup­pen - bspw. Be­triebs­rat und Da­ten­schutz - frühzei­tig mit ein­zu­be­zie­hen. Der zen­trale Fak­tor wird al­ler­dings die „Zeit“ sein - bis zur not­wen­di­gen Um­set­zung sind nur noch et­was mehr als ein hal­bes Jahr Zeit. So­fern noch nicht be­gon­nen wurde, sollte da­her umso schnel­ler in die Pla­nungs­phase ein­ge­stie­gen wer­den. Auch das BSI hat auf der Agenda, dass Un­ter­neh­men ver­su­chen wer­den, Prüfun­gen so­weit möglich vor dem 1.5.2023 ab­zu­schließen, um zusätz­lich Zeit zur Im­ple­men­tie­rung ei­nes SzA zu ge­win­nen.

     

    Ha­ben Sie Fra­gen, so kon­tak­tie­ren Sie uns gern.

    Marc Alex­an­der Luge | Au­gust 2022

     

    Hin­weis: Zur Ver­ein­fach­ten Dar­stel­lung wurde beim Zi­tie­ren die Ent­wurfs­fas­sung zur öff­ent­li­chen Kom­men­tie­rung „Ori­en­tie­rungs­hilfe zum Ein­satz von Sys­te­men zur An­griffs­er­ken­nung in­klu­sive For­mu­lare für den Nach­weis zu § 8a (1a) BSIG und § 11 (1d) ENWG“ (Stand 01.06.2022) des Bun­des­am­tes für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) ab­gekürzt mit „Ori­en­tie­rungs­hilfe“.