Alarm! Oder doch nicht? Bis ein Cyber-Angriff in deutschen Unternehmen und Behörden entdeckt wird, kann es mehrere Wochen dauern. Der Grund für die verzögerte Angriffserkennung ist oft eine lückenhafte Überwachung der eigenen Systeme. Was für die Betreiber von kritischer Infrastruktur bereits jetzt gilt, könnte mit der Umsetzung der europäischen Richtlinie NIS 2 in deutsches Recht auch für große Teile der EU-Wirtschaft verpflichtend werden – die Etablierung von Systemen und Prozessen zur Angriffserkennung (SzA). Worauf Sie achten sollten, erläutern wir Ihnen im folgenden Beitrag.
Laut einer Studie des Magazins Cybersecurity Ventures fand 2023 alle 39 Sekunden ein Cyberangriff statt. Das entspricht über 2.200 Attacken pro Tag. Unternehmen und Behörden sind sich der steigenden Gefahr durch Cyber Crime bewusst. Doch ist der Weg zu einer resilienten Informations- und Datenfestung nicht immer eindeutig oder direkt umsetzbar. Die kompletten IT- und OT-Systeme rund um die Uhr auf Unregelmäßigkeiten überwachen zu lassen, kann aufwendig und teuer sein. Daher agieren viele Organisationen mit „Mut zur Lücke“. Das kann im Bereich der Cyber Security jedoch fatale Folgen haben. Die Schäden, die aus zu spät entdeckten Sicherheitsvorfällen entstehen, sind enorm. Daher muss jede Organisation seinen individuellen Weg finden, sich sicher und widerstandsfähig aufzustellen.
Wie viel Überwachung darf es sein?
Systeme zur Angriffserkennung (SzA) können dabei ein erster Schritt sein. Laut BSI sind SzA Prozesse, die durch technische Werkzeuge und organisatorische Einbindung unterstützt werden. Diese Definition zeigt bereits, dass ein SzA nicht einfach eine technische Anschaffung ist.
Bevor sich Unternehmen oder Behörden über die Etablierung von SzA Gedanken machen, gilt es, einige Vorüberlegungen anzustellen. Nur so finden sie die passende Lösung und schaffen Prozesse, die funktionieren:
- Zuerst muss genau definiert werden, welche Bereiche berücksichtigt werden sollen.
- Handelt es sich um eine IT- oder eine OT-Landschaft oder eine Kombination von beidem?
- Wie viele und welche Endgeräte (z. B. Hersteller/ Varianten) gibt es?
- Welche Infrastrukturkomponenten gilt es zu berücksichtigen?
- Welche Netzwerkzonen existieren und welche Beschränkungen bestehen zwischen ihnen?
- Was genau soll erkannt werden? Nur bekannte Angriffsmuster oder auch Anomalien, die das System per maschinellem Lernen vom Normalzustand unterscheiden kann?
- Welche Dienstleister sind in welchem Umfang in die Angriffserkennung involviert?
- Welcher Teil soll genau übernommen werden? Nur das Melden der Alarme oder auch die Beurteilung oder auch die Reaktion? Wird ein Komplettpaket à la „Managed SOC“ benötigt?
- Wer hat die Verantwortung für welche Daten?
- Welche Verträge sind darüber hinaus mit wem zu schließen?
Alarm schlagen will gelernt sein
Sind die Vorüberlegungen abgeschlossen, gilt es, geeignete technische Systeme oder eine Kombination mehrerer Systeme für sich herauszufinden. Hierzu heißt es im BSI-Gesetz: „Die eingesetzten SzA müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“ (§ 8a Absatz 1a Satz 1, 2 BSIG)
Ein Security Information and Event Management (SIEM) kann mit den entsprechenden weiterführenden Prozessen dabei unterstützen. Das SIEM ist eine Softwarelösung, die Sicherheitsinformationen und Ereignisdaten automatisch in Echtzeit aus verschiedenen Quellen sammelt, analysiert und korreliert, um Incidents, also Sicherheitsvorfälle, zu erkennen. Dazu sammelt es Daten organisationsweit beispielsweise aus Netzwerkgeräten, Serverprotokollen, Endgeräten und Anwendungen. Die gesammelten Daten werden anschließend vorverarbeitet, mit Zusatz-Informationen verknüpft und für effiziente Durchsuchbarkeit optimiert. Am Ende analysiert und korreliert das System die Daten, um potenzielle Sicherheitsvorfälle zu erkennen. Dies beinhaltet die Identifizierung von Mustern, Anomalien und verdächtigem Verhalten. Durch Künstliche Intelligenz, die etwa durch maschinelles Lernen trainiert wird, ist ein SIEM in der Lage, Muster und Schwellwerte zu erlernen und so bekanntes und normales Verhalten wiederzuerkennen. Wenn ein potenzieller Sicherheitsvorfall erkannt wird, generiert das SIEM-System Warnmeldungen, um die Sicherheitsverantwortlichen zu informieren. Mit fortschreitender Dauer des Einsatzes des SIEM-Systems grenzt die Mustererkennung die Anzahl der Fehlalarme dabei immer weiter ein.
SIEM-Systeme spielen eine wichtige Rolle in der Cyber Security, indem sie eine ganzheitliche Sicht auf Sicherheitsvorfälle ermöglichen, die Erkennung und Reaktion auf Bedrohungen verbessern und dabei helfen, Compliance-Anforderungen zu erfüllen. Im Zusammenspiel mit weiteren SzA, wie Intrusion Detection Systemen (IDS) oder Managed Detection and Response (MDR) Lösungen und in Kombination mit Mechanismen zur Abwehr (bspw. einem Computer Security Incident Response Team (CSIRT)) ist ein SIEM ein zentraler Baustein für eine robuste Sicherheitsinfrastruktur. Diese Infrastruktur unterstützt Organisationen dabei, Bedrohungen zu erkennen, darauf zu reagieren und sie proaktiv zu verhindern. Wichtig ist, ein SIEM gezielt mit weiteren Maßnahmen zu kombinieren und Prozesse zu etablieren, wie mit den gefundenen Alarmen verfahren wird. Sollte doch ein Angriff erfolgreich sein, geht es darum, die Lücke möglichst schnell zu schließen, um den Schaden einzugrenzen und die Geschäftsfähigkeit wiederherzustellen – hier geht es zum Beitrag “Resilienz verbessern: So wird Ihre IT zum Fels in der Brandung“.
Materna hat mit Materna Radar Cyber Security einen starken Cyber Security-Fokus gesetzt, der das umfassende Beratungs- und Prozess-Know-how mit fundierten Security-Kenntnissen kombiniert. Als Dienstleister verstehen wir uns gemeinsam als neutraler Berater für die Erstellung von höchst individuellen Lösungen für Ihre ganz persönlichen Anforderungen.
Erfahren Sie im nächsten Beitrag der Reihe, welche weiteren Möglichkeiten der Angriffserkennung es gibt.
