Systeme zur Angriffserkennung gehören zu den wichtigsten technischen Maßnahmen, um die IT- und Informationssicherheit von Unternehmen zu stärken. Denn nur erkannte Angriffe können überhaupt abgewehrt werden. Für Organisationen der Kritischen Infrastruktur (KRITIS) sind diese verpflichtend, aber auch für alle anderen Unternehmen dringend angeraten.
KRITIS-Vorgaben zur Angriffserkennung
Die mittlerweile erhebliche und weiter steigende Bedrohung durch Cyberangriffe hat Folgen. Alle Organisationen müssten sich auf eine bessere Abwehr von Attacken vorbereiten. Betreiber kritischer Infrastrukturen sind nunmehr durch das IT-Sicherheitsgesetz 2.0, speziell durch § 8a des BSI-Gesetzes (BSIG) ausdrücklich gesetzlich verpflichtet, geeignete Maßnahmen nach dem Stand der Technik zu ergreifen.
Ein grundlegendes und ausdrücklich benanntes Element ist dabei die Implementierung von Systemen zur Angriffserkennung, auch bekannt als Intrusion Detection Systems (IDS). Schließlich kann man auf einen Angriff nur reagieren, wenn man ihn auch bemerkt und das möglichst frühzeitig. Diese IDS müssen Angriffe oder Anomalien so früh wie möglich erkennen, um entsprechende Gegenmaßnahmen einleiten zu können. Zudem sind Betreiber dazu angehalten, die Detektionsfähigkeiten regelmäßig zu überprüfen und anzupassen.
Die KRITIS-Anforderung zur Einrichtung von Systemen zur Angriffserkennung wird durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht. Das BSI hat dazu eine Orientierungshilfe herausgegeben, deren Hinweise und Empfehlungen wir hier kurz zusammenfassen.
BSI-Orientierungshilfe zu Intrusion Detection Systems
Die BSI-Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung bietet eine umfassende Grundlage für die Umsetzung der gesetzlichen Anforderungen. Es liegt auf der Hand, dass hiermit regelmäßig ein erheblicher organisatorischer und technischer Aufwand verbunden sein wird. Allgemein gilt:
- Die Überwachung sollte laufend erfolgen und immer kurzfristig ausgewertet werden. Alle gewonnenen Erkenntnisse sollten in das bestehende Informationssicherheitsmanagement einfließen.
- Die in einem Angriffsfall notwendigen Maßnahmen sollten nicht nur vordefiniert, sondern auch bereits vorbereitet sein. Schnellstes Handeln ist oft essenziell.
- Selbstverständlich muss auch das eingesetzte Personal vorbereitet sein. Alle Verantwortlichkeiten müssen klar feststehen und jeder Beteiligte muss so geschult sein, dass er in Ernstfall weiß, was er zu tun hat.
Maßnahmen zur Einrichtung von Systemen zur Angriffserkennung
- Zunächst ist eine Bestandsaufnahme der eingesetzten IT-Systeme notwendig und es müssen potenzielle Schwachstellen identifizieren werden. Auf Grundlage dieser Analyse sollte ein geeignetes Angriffserkennungssystem ausgewählt und implementiert werden.
- Es sollten nach Möglichkeit Systeme eingesetzt werden, die in der Lage sind, sowohl bekannte Angriffe anhand von deren Signatur zu identifizieren als auch Anomalien als mögliche Bedrohung zu erkennen. Ein Beispiel für eine solche Lösung ist die Kombination aus einem SIEM-System (Security Information and Event Management) und einem Intrusion Detection System (IDS).
- Die eigenen Incident-Response-Prozesse müssen auf alle erdenklichen Angriffe vorbereitet sein. Klare Anweisungen und definierte Kommunikationswege sind unabdingbar.
- Die Schulung und Sensibilisierung des Personals sind ist zwingend. Nur dann werden die Beschäftigten in der Lage sein, richtig und schnell zu reagieren. Regelmäßige Übungen sollten ergänzend stattfinden, um die Reaktionspläne zu testen.
- Es dürfte auch vorkommen, dass trotz aller Vorbereitung die Zusammenarbeit mit externen Sicherheitsexperten und CERTs (Computer Emergency Response Teams) notwendig wird. Die entsprechenden Kontakte sollten daher ebenfalls bereits im Vorfeld bekannt sein.
Angesichts der Komplexität der Anforderungen und der sich immer weiterentwickelnden Bedrohungslage sollten Betreiber von Kritischen Infrastrukturen im Zweifel fachkundige Beratung in Anspruch nehmen. Externe Experten können helfen, für die jeweils spezifischen Anforderungen passende Lösungen zu finden. Eine frühzeitige Einbindung von Spezialisten hilft dabei nicht nur, die Risiken zu minimieren, sondern wird auch von Anfang an die Wirksamkeit der implementierten Sicherheitssysteme steigern. Die falsche Richtung einzuschlagen, kostet schließlich nicht nur im hier relevanten Zusammenhang Geld.
Was sollten KRITIS-Organisationen tun?
Betreiber Kritischer Infrastrukturen haben keine Wahl. Sie müssen die hohen Anforderungen an die Einrichtung und den Betrieb von Systemen zur Angriffserkennung meistern. Die Orientierungshilfe des BSI bietet gute Unterstützung, deckt aber wohlmöglich nur einen Teil ab. Die eigene Sicherheitsarchitektur muss ganzheitlich ausgerichtet sein und alle relevanten Aspekte der Cyberabwehr abdecken (siehe: Informationssicherheits-Managementsystem (ISMS)).
Aber auch Organisationen, denen das Gesetz die Aufgabe nicht ausdrücklich aufgibt, sind oft gut beraten, sich mit den hier beschriebenen Maßnahmen auseinanderzusetzen. Immerhin handelt es sich um mittlerweile allgemein essenzielle Maßnahmen. Die Bedrohungslage ist schließlich unterschiedslos für alle Organisationen hoch.
Dass als kritisch angesehene Betreiber ausdrücklich gezwungen sind, bestimmte Gegenmaßnahmen zu etablieren, soll das Allgemeinwohl schützen. Dass Verantwortliche aber aus vielen anderen Gründen auch unabhängig hiervon Schaden von der eigenen Organisation und deren Kundschaft abhalten müssen, braucht nicht weiter erläutert werden.