Angriffserkennung wird zur Pflicht

Technische Systeme allein reichen nicht

von - 05.05.2022
IT-Sicherheitslösungen zur Angriffserkennung werden das Angriffsrisiko im KRITIS-Sektor aber nicht allein senken können. Aus gutem Grund fordert das IT-Sicherheitsgesetz 2.0 neben technischen Maßnahmen auch organisatorische. „Ein KRITIS-Projekt ist kein IT-Projekt, sondern ein Organisationsprojekt, in das alle Unternehmensbereiche integriert werden müssen“, so Jörg Zimmermann, Fachmann für Informationssicherheit beim TÜV Rheinland. „Es ist nicht damit getan, das Thema allein an die IT zu geben.“
Die erfolgreiche und wirksame Umsetzung von Sicherheitsmaßnahmen muss alle zwei Jahre durch ein Audit nachgewiesen werden. „Besonders Unternehmen, die sich bisher nicht haben zertifizieren lassen, müssen sich gründlich auf diese Audits vorbereiten und sollten vorab ein Test-Audit durchführen“, empfiehlt Zimmermann.
Stand der Technik der Angriffserkennung
Für die Auswertung von Anomalien und die Erkennung von Angriffen auf die Unternehmensinfrastruktur werden Systeme für Security Information and Event Management (SIEM) eingesetzt. Sie ermöglichen ganzheitlich, sicherheitskritische Events der IT-Infrastruktur in Echtzeit zu erkennen und geeignete Maßnahmen (teilweise automatisiert) durchzuführen.
Moderne SIEM-Tools umfassen zuverlässige und sofort einsetzbare Erkennungsregeln, die an neue Bedrohungsfälle angepasst werden können. Der Betrieb einer SIEM-Lösung erfordert die Einbindung geeigneter Quellen, aber auch die Bereitstellung signifikanter Systemressourcen (wie Graph-Datenbanken, Data Lakes und Server für den Betrieb und das Management). Durch den kontinuierlichen Datenaustausch wird gleichzeitig eine signifikante Bandbreiten­auslastung erreicht.
Die damit verbundene administrative Komplexität und die Anschaffungs- und Betriebskosten sind recht hoch, weshalb die klassischen SIEM-Lösungen in der Regel meist in großen und sehr großen Unternehmen zur Anwendung kommen.
Cloudbasierte und von Drittanbietern verwaltete Lösungsansätze wie SIEMaaS (SIEM as a Service) sind eine zeitgemäße Alternative mit gut kalkulierbaren Kosten. Sie ermöglichen den Einsatz der Technologie auch in kleineren und mittelständischen Unternehmen.
Ebenso kann eine moderne Endpoint-Detection-&-Response-Plattform (EDR/XDR) mit ihren Schnittstellen zu Security Orchestration, Automation and Response (SOAR), Netzwerk-Security-Produkten wie Next-Generation-Firewalls sowie integrierter Threat-Intelligence eine sinnvolle Alternative darstellen.
Quelle: Bundesverband IT-Sicherheit (Teletrust)

Dienstleister sparen Aufwände und Zeit

Nicht nur für die Suche nach Schwachstellen in der Absicherung können Dienstleister für KRITIS-Einrichtungen sinnvoll sein. Auch die Einführung und der Betrieb eines Systems zur Angriffserkennung kann durch die Nutzung entsprechender Security-Services erleichtert werden.
Cloudbasierte und von Drittanbietern verwaltete Lösungsansätze wie SIEMaaS (Security Information and Event Management as a Service) seien eine zeitgemäße Alternative für die Angriffserkennung und -auswertung mit gut kalkulierbaren Kosten, erklärt der Bundesverband IT-Sicherheit in seiner „Handreichung zum Stand der Technik“.
Bedenkt man, dass selbst die Umsetzungsfrist bis Mai 2023 schon zu großzügig sein kann, um folgenschwere KRITIS-Vorfälle zu verhindern, dann sind Services, die zu einer schnelleren Einführung der Angriffserkennung beitragen, umso wichtiger. Spezialisierte Security-Services für den KRITIS-Bereich sind auf dem Markt bereits verfügbar. KRITIS-Einrichtungen sollten keine Zeit verlieren und entsprechende Lösungen für sich prüfen.
Verwandte Themen