Angriffserkennung wird zur Pflicht

Branchen fühlen sich überfordert

von - 05.05.2022
Wirtschaftsvertreter im UP KRITIS, einer öffentlich-privaten Kooperation zwischen Betreibern kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen, erklärten bereits im Vorfeld des neuen Gesetzes, ein zielführender Einsatz von Systemen zur Angriffserkennung erfordere neben der Einführung von geeigneter Hardware und Software den Aufbau entsprechender Monitoring-, Detektions-, Analyse-, Alarmierungs- und Reaktionsprozesse im Unternehmen.
Diese Aufgaben werden üblicherweise durch Security Operation Center (SOC) wahrgenommen, so die UP-KRITIS-Vertreter. Hierbei handelt es sich faktisch um hochspezialisierte Teams, die 24/7 tätig sind. Die Wirtschaftsvertreter kommen zu dem Schluss: Der finanzielle und personelle Aufwand, der mit der Forderung nach Systemen zur Angriffserkennung einhergeht, ist beträchtlich und für die allermeisten KRITIS-Betreiber nicht leistbar.
Auch IT-Sicherheitsanbieter sehen einen höheren Aufwand für die KRITIS-Einrichtungen. Um entsprechende Lösungen effektiv einzusetzen, müssten diese durch einen qualifizierten Administrator gewartet und überwacht werden, so etwa Joe Köller von Tenfold Software. Nur so könnten Betriebe Fehlalarme ausschließen, im schlimmsten Fall angemessen reagieren und einen Störfall zeitnah an das BSI melden.
Nachgefragt beim BSI
Warum sind Systeme zur Angriffserkennung für KRITIS-Betreiber so wichtig?
BSI: Zentrales Ziel von KRITIS ist es, die Versorgungssicherheit kritischer Infrastrukturen zu gewährleisten. Im Rahmen einer ganzheitlichen ISMS-Betrachtung (Information Security Management System) sollten Betreiber kritischer Infrastrukturen auch heute bereits an­gemessene Maßnahmen zur Detektion getroffen haben. Eine effek­tive Angriffserkennung hilft, frühzeitig – möglichst vor einem Vorfall – und gezielt zu reagieren, und liefert zudem wertvolle Informationen über Angriffsmethoden, die Betreiber zur Prävention einsetzen können.
Wie sind Bedenken, Systeme zur Angriffserkennung würden (zu) viele Fehlalarme produzieren, zu bewerten?
BSI: Ungeeignet konfigurierte Systeme können leicht eine über­wälti­gende Zahl von Meldungen generieren, was dazu führen kann, dass tatsächlich relevante Meldungen in Fehlalarmen untergehen. Effiziente Angriffserkennung zeichnet sich unter anderem dadurch aus, dass die Betreiber eben nicht durch die große Zahl von Fehl­alarmen überfordert werden. Das BSI versteht effektive, aber auch effiziente Angriffserkennung als Stand der Technik. Allerdings sollten eingekaufte Systeme zur Angriffserkennung nicht als abgeschlossene Lösungen betrachtet werden. Eine fortlaufende Wartung und Konfiguration durch fachkundiges Personal ist gerade auch im Hinblick auf diese Problematik erforderlich.
Welche Rolle spielen neue Technologien wie KI dabei?
BSI: KI zeigt auch in der Angriffserkennung vielversprechende Ansätze auf. Gerade in Bezug auf die Bewertung sicherheitsrelevanter Meldungen sieht das BSI hier Potenzial. Systeme zur Angriffserkennung können jedoch auch ohne Beteiligung von KI effektiv eingesetzt werden. Zu diesem Thema wird derzeit intensiv geforscht. Diese Forschung wird durch die Bundesregierung etwa im Rahmen der Fördermaßnahme Künstliche Intelligenz für IT-Sicherheit unterstützt.
Hilft das BSI Unternehmen bei der Auswahl von Systemen zur Angriffserkennung?
BSI: Das BSI kooperiert unter anderem im UP KRITIS vertrauensvoll mit den Betreibern und setzt sich dafür ein, zusammen mit diesen praktische Empfehlungen zu erarbeiten.

Hohe Aufwände VS. Noch höhere Schäden

Die deutsche Industrie ist ein beliebtes Ziel für Cyberangriffe, Spionage, Sabotage und Datendiebstahl sowie andere Formen der Wirtschaftskriminalität mit jährlich verursachten Schäden in Milliardenhöhe, so der Bundesverband der Deutschen Industrie (BDI). „Es geht darum, den Standort Deutschland und damit Millionen Arbeitsplätze zu erhalten und die Handlungsfähigkeit von Unternehmen wie Politik zu gewährleisten. Eine wirksamere Abwehr bei Angriffen trägt außerdem dazu bei, die Versorgung der Menschen sicherzustellen“, mahnt Matthias Wachter, Abteilungsleiter Internationale Zusammenarbeit, Sicherheit, Rohstoffe und Raumfahrt im BDI.
Mit präventiven Maßnahmen wie der Einführung eines Informationssicherheits-Managementsystems oder der regelmäßigen Durchführung von Mitarbeiterschulungen können die Unternehmen Cybersicherheitsrisiken bereits deutlich reduzieren, wie der BDI betont. Wichtig seien zudem geeignete Vorkehrungen, um Cyberangriffe rechtzeitig detektieren und im Schadensfall angemessen reagieren zu können.
Genau das steckt hinter der Forderung nach Systemen zur Angriffserkennung im IT-Sicherheitsgesetz 2.0 mit Blick auf die besondere Bedrohung im KRITIS-Bereich.
Ruggero Contu
Research Director bei Gartner
Foto: Gartner
„Die Regierungen vieler Länder ergreifen jetzt Maßnahmen, um mehr Sicherheitskontrollen für die relevanten nationalen Infrastrukturen vorzuschreiben.“

Es geht um Menschenleben

Warum sich zur Absicherung von KRITIS auch hohe Aufwände lohnen und keine Zeit zu verlieren ist, zeigen die Prognosen der Marktforschungshäuser. Zum Beispiel werden laut einer Gartner-Vorhersage 30 Prozent aller Organisa­tionen im Bereich kritische Infrastrukturen bis 2025 eine Sicherheitsverletzung erleben, die zum Stillstand eines funktions- oder unternehmenskritischen cyberphysischen Systems führen wird. „Die Regierungen vieler Länder erkennen jetzt, dass ihre relevanten nationalen Infrastrukturen seit Jahrzehnten ein undefiniertes Angriffsgebiet sind“, berichtet Ruggero Contu, Research Director bei Gartner. „Sie ergreifen jetzt Maßnahmen, um mehr Sicherheitskontrollen für die dahinterliegenden Systeme vorzuschreiben.“
Wam Voster
Senior Research Director bei Gartner
Foto: Gartner
„Sicherheits- und Risikomanager in Betriebsumgebungen sollten sich eher um reale Gefahren für Mensch und Umwelt sorgen als um Datendiebstahl.“
Eine weitere Gartner-Prognose beschreibt die Risiken im KRITIS-Bereich: Bis 2025 könnten demnach Cyberkriminelle Betriebstechnik als Waffe nutzen, um Menschen zu verletzen oder zu töten. Attacken auf diese Operational Technology (OT), also auf Hardware und Software, die Geräte, Prozesse und Ereignisse überwachen und steuern, häuften sich, so das Research- und Beratungsunternehmen. Sie sind nicht mehr nur auf unmittelbare Prozessunterbrechungen (zum Beispiel das Herunterfahren einer Anlage) ausgelegt, sondern könnten die Industrie so gefährden, dass physische Schäden entstehen.
„Sicherheits- und Risikomanager in Betriebsumgebungen sollten sich eher um reale Gefahren für Mensch und Umwelt sorgen als um Datendiebstahl“, sagt Wam Voster, Senior Research Director bei Gartner. „Befragungen von Gartner-Kunden haben ergeben, dass Unternehmen in anlagenintensiven Branchen wie der Fertigungsindustrie, dem Rohstoffsektor oder der Versorgungswirtschaft Schwierigkeiten haben, geeignete Kontrollprozesse zu definieren.“
Umso wichtiger erscheinen vor diesem Hintergrund die Vorgaben zur IT-Sicherheit im KRITIS-Bereich wie die Einführung von Systemen zur Angriffserkennung.
Seite
  1. Teil: Angriffserkennung wird zur Pflicht
  2. Teil: Branchen fühlen sich überfordert
  3. Teil: Technische Systeme allein reichen nicht
Verwandte Themen

Mehr zum Thema