Kritische Infrastrukturen
Leitfaden für das IT-Sicherheitsgesetz
Fortsetzung des Artikels von Teil 1
Sicherheitsstörfälle zuverlässig erkennen
Die Anforderung, dass Störungen zu melden sind, setzt zunächst voraus, dass Vorfälle, die zu solchen Störungen führen können, erkannt, bewertet und behandelt werden (Incident Management). Um dem Gesetz Genüge zu tun, müssen solche Vorfälle dann gegebenenfalls an das Bundesamt gemeldet werden.
Hierzu müssen die Betreiber zunächst einmal die Vorfälle erkennen und die Ursachen herausfinden, um sie im Anschluss daran zu bewerten und zu melden. Als Werkzeug eignet sich ein Security Information und Eventmanagement (SIEM). Ein SIEM kann dabei helfen das Ausmaß der Störungen, wie in § 8a Abs. 1 genannt, zu reduzieren, indem ein Vorfall schnellstmöglich erkannt wird und durch entsprechende reaktive Maßnahmen die Auswirkungen minimiert werden.
Daher ist ein SIEM besonders für kritische Infrastrukturen unabdinglich. Es sorgt dafür, dass Störungen erkannt werden und dass der definierte Betriebszustand einer Infrastruktur schnellstmöglich wiederhergestellt wird.
Um sicherheitsrelevante Vorfälle frühzeitig erkennen zu können, bedarf es demnach einer definierten Vorfallanalyse und -behandlung. Hier hilft das SIEM-System, die Störungen in der IT-Landschaft sichtbar zu machen, indem es zum Beispiel nach festgelegten Angriffsmustern sucht. Es sammelt von sämtlichen Systemen und Komponenten der IT-Infrastruktur die Protokolldaten ein, wertet diese aus und schlägt Alarm, sobald eine verdächtige Kombination von Ereignissen erkannt wurde. Hauptziel ist es dabei, Gefährdungen und Angriffe auf die Informationstechnik zu entdecken und abzuwehren, bevor ein Schaden entsteht, der das Geschäft des Unternehmens beeinträchtigt oder zum Erliegen bringt.
Der erste Schritt, bei der Einführung einer SIEM-Lösung in Bezug auf das IT-Sicherheitsgesetz würde darin bestehen, herauszufinden welche Daten und welche IT-Funktionen als kritisch im Sinne des IT-Sicherheitsgesetzes zu bewerten sind.
Diese Risikobeurteilung ist ebenfalls Grundlage des Risikomanagements. Selbstverständlich sind die Betreiber kritischer Infrastrukturen gut beraten, hier auch die kritischen Geschäftskomponenten eines Unternehmens einzubeziehen, die nicht vom IT-Sicherheitsgesetz abgedeckt werden.
Der zweite Schritt ist es, diese Werte durch eine gute und effiziente IT-Sicherheitsarchitektur zu schützen. Hier kommen unter anderem alle präventiven Maßnahmen, wie Anti-Viren-Systeme, Firewalls, Intrusion Prevention-Systeme, Zugriffsschutz oder Rollenkonzepte zum Einsatz. Dieser Schritt ist ein Teilbereich der Risikobehandlung und ist ebenfalls innerhalb des Risikomanagements zwangsläufig durchzuführen.
In der Regel ist dieser Schutz jedoch nicht lückenlos, zumal die Angreifer fortlaufend neue Methoden entwickeln, um Angriffe durchzuführen, neue Schwachstellen in den vorhandenen IT-Systemen entdeckt werden oder die Mitarbeiter als Einfallstor in das Unternehmen genutzt werden. Hier setzt im dritten Schritt ein SIEM an: Alle IT-Geräte werden so konfiguriert, dass die Ereignisse, die Hinweise auf Angriffe geben, aufgezeichnet und an das SIEM zur Auswertung weitergeleitet werden.
Im nachfolgenden soll ein einfaches Beispiel zeigen, wie SIEM schützt, während die Prävention versagt: Schadsoftware gelangt beispielsweise per Phishing-E-Mail auf den Rechner eines Anwenders und übernimmt unbemerkt die Kontrolle. Die Anti-Viren-Software findet nichts, da für diesen Schädling noch keine Signatur vorlag. Damit die Schadsoftware weiß, was sie auf dem Rechner tun soll, kommuniziert sie mit einem Server im Internet. Diese Kommunikation zeichnet die Firewall auf, sendet das Ereignis ans SIEM, wo dieses dann anhand einer Liste bekannter Server feststellt, dass der Ziel-Server „böse“ ist und Alarm schlägt. Um den Schaden abzuwehren können nun geeignete Maßnahmen eingeleitet werden.
Auch die Erbringung von Nachweisen verschiedener Compliance-Anforderungen, die das IT-Sicherheitsgesetz an die Kritischen Infrastrukturen stellt, wird durch SIEM unterstützt. Auf Grund der Reporting-Fähigkeiten eines SIEM-Systems ist quasi auf Knopfdruck der aktuelle Sicherheits- und Compliance Status generierbar und geeigneter Input für diverse Audits verfügbar.
SIEM bildet somit einen integralen Ansatz eines ISMS, mit dem Ziel, regelbasiert, kontinuierlich die Standards für Sicherheit, Compliance und Qualität des IT-Betriebs zu verbessern. SIEM unterstützt die Betreiber kritischer Infrastrukturen einerseits dabei die Meldepflicht des IT-Sicherheitsgesetzes zu erfüllen und andererseits ein höheres Sicherheitsniveau für alle Geschäftsprozesse zu erreichen.
Letztendlich bleibt festzuhalten: Gerade – aber nicht nur – wenn es um den Schutz von kritischen Infrastrukturen geht, ist es von großer Bedeutung geeignete Vorkehrungen in den Strukturen eines Unternehmens einzuführen, um Sicherheitsvorfälle, ob intern oder extern, zeitnah erkennen, bewerten und entsprechend behandeln zu können.
Jennifer Lüken und Stephan Berentzen sind IT Security Consultants bei Consecur
- Leitfaden für das IT-Sicherheitsgesetz
- Sicherheitsstörfälle zuverlässig erkennen
Lesen Sie mehr zum Thema
