Produkt
secunet monitor KRITIS

System zur Angriffserkennung für KRITIS-Unternehmen

Cyberangriffe rechtzeitig und zuverlässig erkennen
Webinar: "secunet monitor KRITIS: Das System zur Angriffserkennung"
secunet monitor KRITIS ist die passive und rückwirkungsfreie Monitoring-Lösung zur signaturbasierten Angriffserkennung auf Netz- und Systemebene (NIDS- und SIEM-Funktionalität) nach aktuellen und zukünftigen Regularien. Demnach gewährleistet dieses System zur Angriffserkennung den Schutz sowohl von IT- als auch OT-Infrastrukturen.
Beratungsgespräch vereinbaren

Konform mit regulatorischen Vorgabe

 

Seit Mai 2021 ist das IT-Sicherheitsgesetz 2.0 in Kraft getreten. Dies beinhaltet insbesondere verschärfte Anforderungen für KRITIS-Unternehmen. 

  1. Erweiterte Meldepflicht: Es wird von KRITIS-Unternehmen erfordert, dass sie IT-Sicherheitsvorfälle, welche sowohl die Verfügbarkeit als auch die Vertraulichkeit ihrer Systeme beeinflussen können, unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
  2. Zertifizierungsverpflichtung: Kritische Infrastrukturen sind dazu verpflichtet, sich und ihre Systeme kontinuierlich nach den definierten Sicherheitsstandards zertifizieren zu lassen. Dies soll die richtige und effiziente Umsetzung der IT-Sicherheitsmaßnahmen gewährleisten. 
  3. Optimierte Sicherheitsstandards: Die Technologien und Sicherheitsmaßnahmen, die ein KRITIS-Unternehmen verwendet, müssen regelmäßig aktualisiert und den aktuellen Bedrohungslagen flexibel angepasst werden.
  4. Implementierung von Systemen zur Angriffserkennung: Um Angriffe auf die IT-Infrastruktur frühzeitig erkennen und geeignete Maßnahmen zum Schutze bzw. zur Abwehr einleiten zu können, müssen kritische Infrastrukturen ein effizientes System zur Angriffserkennung implementieren. 
  5. Erweiterte Befugnisse: Das BSI verfügt nun über erweiterte Befugnisse zur Kontrolle von KRITIS-Unternehmen. Dies umfasst insbesondere die Durchführung von Sicherheitsüberprüfungen und das Verhängen von Sanktionen bei Missachtung der Sicherheitsstandards.

Diese deutlich gestiegenen Erwartungen an die IT-Sicherheit der KRITIS-Unternehmen verpflichtet Sie dazu, umfangreiche Maßnahmen zu ergreifen, um die Sicherheit Ihrer IT- und OT-Infrastrukturen zu gewährleisten und Ihre Technik auf dem neuesten Stand zu bringen. Dies erfordert neben den oben genannten Verantwortungen auch eine Erweiterung des IT-Sicherheitsbudgets und regelmäßige Schulungen der Mitarbeiter. 

Die Orientierungshilfen des BSI unterbreiten umfassende Anleitungen sowie auch Empfehlungen für eine vollständige und effektive Umsetzung der IT-Sicherheitsmaßnahmen für Unternehmen und Behörden. Sie verfolgen primär das Ziel, die Resilienz gegen Cyberangriffe zu fördern und die IT-Sicherheit zu optimieren. In Bezug zu kritischen Infrastrukturen sind folgende Orientierungshilfen relevant:

Die technischen Richtlinien definieren konkrete technische Anforderungen und Best Practices für eine erfolgreiche Implementierung und Verwendung von IT-Systemen und -Netzwerken. Dies umfasst bspw. die Richtlinie TR-03108 (Sicherheitsanforderungen für Betreiber von KRITIS). 

Die Grundschutz-Kataloge konzentrieren sich auf potenzielle Risiken und Maßnahmen sowie auch Module, mithilfe dessen Organisationen ihre IT-Sicherheitsprozesse gestalten können. Sie sind in Basis-, Kern- und ergänzende Sicherheitsmaßnahmen unterteilt. 

Die BSI-Standards enthalten verschiedene systematische Ansätze zur IT-Sicherheit, die auf unterschiedliche Unternehmen angewendet werden können. Ein Beispiel wäre der BSI-Standard 200-2 (IT-Grundschutz-Methodik). Dieser befasst sich primär mit der strukturierten Implementierung und Pflege eines Informationssicherheitsmanagementsystems (ISMS).

Die Orientierungshilfen des BSI bieten unter anderem auch Anleitungen für den richtigen Umgang bei Sicherheitsvorfällen. Dazu gehört insbesondere:

  • die vollständige Dokumentation des Sicherheitsvorfalls
  • eine zügige Meldung des Vorfalls
  • die Zusammenarbeit mit dem BSI und weiteren relevanten Behörden

Eine weitere relevante Thematik sind die Zertifizierungen nach BSI-Standards. Hierfür werden Informationen preisgegeben, die sich sowohl auf die Anforderungen als auch die durchzuführenden Prozesse beziehen. Dies schließt auch kontinuierliche Sicherheitsüberprüfungen und Audits mit ein. 

Das BSI stellt KRITIS-Unternehmen Leitfäden zur Durchführung von Sicherheits- und Risikoanalysen zur Verfügung. Diese Analysen sind wichtige Hilfsmittel, um potenzielle Schwachstellen und Bedrohungen erkennen zu können, sodass geeignete Maßnahmen entwickelt werden können.

Ein System zur Angriffserkennung hat zum Ziel, frühzeitig Cyberangriffe zu identifizieren und zu verhindern. Die Orientierungshilfen des BSI helfen bei der Implementierung dieser Systeme, indem sie bspw. Anleitungen zur Netzwerksicherheit und zur Kontrolle der Protokolldaten bereitstellen. 

secunet monitor KRITIS richtet sich an KRITIS-Unternehmen und setzt alle technischen MUSS-Anforderungen der BSI-Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung um – und das sowohl auf Netzebene zur Überwachung der übertragenen Daten, in IT-/OT-Netzen, als auch auf Systemebene zur Überwachung der Protokollierungsdaten einzelner Anwendungssysteme. In der Praxis stellt secunet monitor KRITIS neben der reinen Angriffserkennung auch die für die Übermittlung von meldepflichtigen Ereignissen an das BSI erforderlichen Daten zusammen.

secunet monitor KRITIS fokussiert sich auf die Gesetzgebung, ist passiv und rückwirkungsfrei anwendbar, leicht zu integrieren und zu bedienen – und damit die wohl umfassendste Lösung am Markt für IT- und OT-Infrastrukturen. 

Sie möchten wissen wie Angriffserkennung gemäß IT-SiG 2.0 in der Praxis funktioniert?
Hier Online Demo ansehen

Was sind Systeme zur Angriffserkennung?

 

Systeme zur Angriffserkennung, oder auch Intrusion Detection Systems (IDS), sind Technologien, die insbesondere darauf spezialisiert sind, unautorisierte Zugriffe, Missbrauch oder verdächtiges bzw. schädliches Verhalten innerhalb der IT- und OT-Netzwerke zu erkennen. Um dies zu gewährleisten, überwachen sie kontinuierlich sowohl den Datenverkehr als auch alle möglichen Aktivitäten im Netzwerk, um Abweichungen zu identifizieren. Dies hilft kritischen Infrastrukturen erheblich bei der flexiblen Reaktion auf potenzielle Bedrohungen und bei der Wahrung ihrer Netzwerkstabilität. Es gibt verschiedene Angrifferkennungssysteme, die sich jeweils nach ihrem Einsatzbereich bzw. ihren Funktionen differenzieren:

  • Überwachung & Analyse des Netzwerkverkehrs in Echtzeit
  • Platzierung an strategischen Punkten des Netzwerks, bspw. Router oder Firewalls
  • Untersuchung einzelner Datenpakete, die über das Netzwerk übertragen werden. Dies umfasst sowohl Header-Informationen als auch die Nutzlast der Pakete 
  • Verwendung von Datenbanken mit bekannten Angriffssignaturen, um Muster im Datenverkehr ausfindig zu machen
  • Erkennung von Anomalien durch Aneignung des normalen Verhaltens des Netzwerkverkehrs & Identifizierung von Abweichungen
  • Generierung von Benachrichtigungen, die bspw. an die Netzwerkadministratoren geleitet werden, wenn ein bösartiges Verhalten identifiziert wurde
  • Kontrolle von allen Aktivitäten auf einzelnen Computern oder Servern 
  • Überwachung und Analyse von Systemereignissen, Netzwerkverbindungen und weiteren Aktivitäten
  • Analyse von Systemprotokollen (Logs), darunter
    • Installation einer neuen Software
    • Anmeldeversuche
    • Änderungen an einer Datei, etc.
  • Überwachung von relevanten System- und Anwendungsdateien, insbesondere in Bezug auf Veränderungen
  • Kontrolle der Ausführung von Prozessen, um sicherzustellen, dass nur autorisierte Software läuft
  • Überwachung von eingehenden und ausgehenden Netzwerkverbindungen
  • Echtzeit-Alarm und Benachrichtigungen
  • Identifizierung von Abweichungen von normalen Aktivitätsmustern innerhalb eines Netzwerks oder auf einem Host
  • Nutzung von Algorithmen und maschinellem Lernen zur Erkennung von untypischen Mustern
  • Analyse des normalen Verhaltens des Netzwerks bzw. Hosts und Erstellung eines Baseline-Profils
  • Kontinuierliche Überwachung des Netzwerkverkehrs & der Aktivitäten im System & Vergleich dessen mit dem zuvor definierten Profil
  • Identifizierung von Abweichungen (Anomalien)
  • Generierung von Alarm bzw. Benachrichtigungen bei Erkennung einer Anomalie

KRITIS-Unternehmen stellen grundlegende Dienstleistungen und Funktionen bereit, die sowohl für das Wohl als auch die Gesundheit der Bevölkerung und Wirtschaft essenziell sind. Dies umfasst wichtige Sektoren, wie bspw. Energie, Wasser und Finanzwesen. Aufgrund dessen übernehmen sie eine bedeutsame Rolle in der Gesellschaft, weshalb klare Verantwortlichkeiten und Abläufe bei Sicherheitsvorfällen erforderlich sind, um Risiken und Fehler zu reduzieren und Ausfallzeiten zu minimieren. Dafür müssen die Sicherheitsprozesse stets optimiert und eine enge Zusammenarbeit mit allen Abteilungen des Unternehmens sowie externen Partnern und Behörden gewährleistet werden.

Zwei Ebenen der Angriffserkennung

secunet monitor KRITIS vereint die Detektionsmechanismen sowohl der Netzwerk- als auch der Systemebene. Daten werden gegen existierende Muster abgeglichen und zur Alarmierung und weiteren Analyse aufbereitet.

Die Systemebene nutzt Log-Daten von unterschiedlichen IT- und OT-Systemen. Diese Protokoll- und Protokollierungsdaten werden kontinuierlich in einem zentralen System (SIEM) aggregiert, überwacht und ausgewertet. So kann man kostengünstig auch in diesen Protokoll- und Protokollierungsdaten potenzielle Sicherheitsrisiken (z.B. auch durch verhaltensbasierte Erkennung) identifizieren und eine Alarmierung eines Verantwortlichen vornehmen.

Auf Netzwerkebene wird ein netzbasiertes IDS (NIDS) zur Analyse genutzt. Nahezu in Echtzeit werden dann die Flow-Daten bewertet und die sicherheitsrelevanten Eventdaten an einen zentralen Speicher übermittelt.

 

Anforderungen an Systeme zur Angriffserkennung (SzA)

 

Gemäß dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) und den Orientierungshilfen des Bundesamts für Sicherheit in der Informationstechnik (BSI) müssen die Systeme zur Angriffserkennung spezifischen technischen Anforderungen gerecht werden, die essenziell sind, um die Sicherheit, Vertraulichkeit und Verfügbarkeit der Systeme zu gewährleisten. Durch die Umsetzung dieser Anforderungen können Schwachstellen erkannt werden, wodurch KRITIS-Unternehmen proaktiv gegen Cyberangriffe vorgehen können. Somit würden kritische Infrastrukturen nicht nur den regulatorischen Richtlinien gerecht werden, sondern sie würden auch ein robusteres Sicherheitsniveau etablieren. Im Folgenden werden die technischen Anforderungen im Detail erläutert:

Bei der Protokollierung liegt der Fokus auf der Sammlung, Speicherung & Bereitstellung von allen relevanten Protokolldaten, um verdächtige Aktivitäten erkennen und bewerten zu können. Dafür müssen folgende Punkte berücksichtigt werden:

  • Verpflichtende Erhebung: Es ist dringend erforderlich, dass sämtliche Protokolldaten erfasst und protokolliert werden. Nur so kann sichergestellt werden, dass alle Aktivitäten erfasst werden können, die die IT-Sicherheit in jeglicher Form beeinträchtigen können.
  • Erfassung auf System- und Netzwerkebene: Für eine umfassende Identifizierung relevanter Ereignisse ist eine Erfassung sowohl auf der Ebene einzelner Systeme als auch im gesamten Netzwerk notwendig.
  • Filter & Korrelation: Vor der Speicherung der Protokolldaten, müssen diese erst gefiltert, aggregiert und korreliert werden, sodass brauchbare und relevante Informationen hervorgehoben werden können.
  • Zentrale Speicherung: Die erhobenen Daten müssen an zentralen Speicherorten für den jeweiligen Netzwerkbereich abgelegt werden. Durch diesen Schritt kann eine konsistente Datenspeicherung gefördert werden. 
  • Bereitstellung: Die Bereitstellung der Protokolldaten in einem Format, welches effektive Auswertungen und Analysen ermöglicht, ist fundamental, um Sicherheitsvorfälle angemessen analysieren und bewerten zu können.

Die Detektion konzentriert sich in erster Linie auf eine frühzeitige Erkennung von potenziellen Risiken und verdächtigem Verhalten. Dies wird durch eine kontinuierliche Überwachung von sämtlichen Netzwerk- und Systemaktivitäten mithilfe verschiedener Mechanismen, wie bspw. Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) sichergestellt. Des Weiteren werden folgende Vorgehensweisen berücksichtigt:

  • Automatisierte Detektionstechniken: Durch die Verwendung von Signaturen, Mustern und Algorithmen können sämtliche Aktivitäten kontrolliert und verdächtige Verhaltensweisen identifiziert werden.
  • Integration von KI und maschinellem Lernen: Die Systeme eignen sich normale Verhaltensweisen des Netzwerkverkehrs an, um auf Basis dessen ein Baseline-Profil zu erstellen. Mit dieser Vorlage können Abweichungen zügig erkannt werden. 

Die Detektion erfolgt in Echtzeit, sodass bei der Identifizierung von verdächtigen Sicherheitsvorfällen, unverzüglich Benachrichtigungen ausgelöst werden. Dabei ist ein effektives Management von False Positives (falsche Alarme) essenziell, um unnötige Störungen zu verhindern. Die Detektionsdaten werden im weiteren Verlauf für die Analyse und Berichterstattung benötigt, um Trends und Muster erkennen und Sicherheitsmaßnahmen agil anpassen zu können. 

Die Reaktion befasst sich mit einer zügigen und effektiven Handhabung von Risiken nach dessen Identifizierung. Dies schließt folgende Punkte mit ein:

  • Ergreifung von sofortigen Maßnahmen: Bei der Erkennung von verdächtigem Verhalten werden unverzüglich passende Gegenmaßnahmen entwickelt und umgesetzt, um Schäden und negative Auswirkungen auf das Unternehmen zu minimieren.
  • Frühzeitige Reaktionsplanung: Um zügig in einer Bedrohungssituation agieren zu können, sollten bereits im Vorfeld umfangreiche Reaktionspläne definiert werden, wobei auch klare Verantwortlichkeiten verteilt und der Ablauf im Falle eines Sicherheitsvorfalles besprochen wird. 
  • Analyse des Vorfalls: Der Vorfall sollte gründlich analysiert werden, sodass sowohl die Ursache dessen ermittelt werden kann, als auch das Ausmaß des Schadens bewertet werden kann. 
  • Transparente Kommunikation: Zur Wahrung des Vertrauens ist es empfehlenswert, alle relevanten Stakeholder, inklusive der Mitarbeiter, Behörden und Kunden, über den Vorfall zu informieren. 
  • Abschließende Nachbesprechung: Auch nach erfolgreicher Verhinderung des Risikos ist eine detaillierte Nachbesprechung des Vorfalls vonnöten, um die durchgeführten Maßnahmen zu bewerten und Optimierungen für die Zukunft zu definieren. 
Wissenwertes
Aktuelle Hintergrundinformationen zum Thema Angriffserkennung
Studie - Angriffserkennung in Unternehmen Kritischer Infrastrukturen
Wie deutsche KRITIS-Unternehmen mit den steigenden IT- und OT-Risiken umgehen
Zur Seite
Themensammlung
Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0)
Zur Seite

Modular, leicht nutzbar und kosteneffizient

Features

Das System bietet eine passive und rückwirkungsfreie Funktionsweise in IT & OT, globales Whitelisting, Echtzeit-Monitoring, Installations- und Betriebsfähigkeit in Airgapped-Umgebungen sowie Logdatensenke mit Auswertungsmöglichkeit.

Management

Für eine transparente Übersicht über wichtige KPIs stellt das System einen Managementreport bereit. Das übersichtliche Changelog gewährleistet eine sichere Dokumentation. Die Lösung ist optimiert für MSS/SOCs sowie die Selbstverwaltung.

Compliance

Das System unterstützt die Meldung von Sicherheitsvorfällen an das BSI sowie Audits und bindet zusätzlich externe Signaturen wie den BSI MISP Feed ein. Dabei werden sowohl aktuelle als auch zukünftige Regularien berücksichtigt.

Consulting

Neben der Bereitstellung des Systems zur Angriffserkennung bietet secunet auch umfassende Beratungsdienstleistungen zur technischen Integration in die organisatorischen Prozesse eines ISMS (z. B. ISO/IEC 27001) an.

Ergänzende Produkte und Beratungsleistungen
secunet monitor KRITIS ist nur eine Komponente des umfassenden Portfolios für KRITIS-Unternehmen
SINA for Industry
Sichere IT-Infrastruktur für Industrieunternehmen
Ganzheitliche Lösungen für Ende-zu-Ende Sicherheit
Zum Produkt
Sicherheitsanalysen & Penetrationstests
Nachhaltige IT-Sicherheitsstrategien entwickeln
Verwundbare Systemstellen feststellen und passende Schutzmaßnahmen ergreifen
Zum Produkt
secunet edge
Sichere Edge Computing und IIoT Plattform
Digitale Transformation mit einer sicheren Plattform
Zum Produkt
Incident Response
Bei Hacking-Angriffen schnell reagieren können
Unser Incident Response Service beinhaltet eine Vielzahl reaktiver Dienstleistungen, die Sie im K-Fall kurzfristig abrufen können.
Zur Seite
Audits & Analysen
Effektiver Schutz durch Sicherheitsanalysen und -audits
Auditvorbereitung und -begleitung im Rahmen von Zertifizierungsaudits um rechtliche und regulatorische Anforderungen zu erfüllen.
Zur Seite
Lagebild Cybersecurity
Lagebild Cybersecurity
Digitalisierung bestimmt das Geschäft moderner Unternehmen und ist oder wird zunehmend ein wesentlicher Bestandteil der Strategie.
Zum Produkt
Informationssicherheitsmanagement
Das Baukastensystem zum Schutz sensibler Daten
Wir unterstützen Sie beim Aufbau eines ISMS nach IT-Grundschutz, entwickelt vom BSI als flexibles Baukastensystem.
Zur Seite
Business Continuity Management System
Business Continuity Management System (BCMS)
Störungen und Krisen können ein Unternehmen jederzeit unangekündigt treffen. Der beste Schutz liegt in der Prävention. Sichern Sie Ihren Geschäftsbetrieb mit Notfallplänen.
Zur Seite
Awareness Training
Security Awareness - Training
Das Ziel unseres Awareness Programms: Mitarbeiter*innen erkennen den Nutzen von Cybersicherheit und ändern ihr Verhalten selbstständig.
Zur Seite
Datenschutzmanagement
Effektive Unterstützung beim Datenschutz
Handlungsbedarf beim Datenschutz feststellen und die erforderlichen Schritte sinnvoll und ressourcenschonend planen.
Zur Seite
Kontaktaufnahme
Haben Sie noch Fragen zu secunet monitor KRITIS?
Haben Sie noch Fragen zu secunet monitor KRITIS?

Schicken Sie uns eine Anfrage über das Kontaktformular. Wir helfen gerne weiter.

Tay Pinkernelle
Teamlead Technical Pre Sales
secunet Security Networks AG

Steffen Heyde
Head of Productmanagement
secunet Security Networks AG
Seite 1
Zurück zum Anfang
Logo
Kontakt

secunet Security Networks AG
Kurfürstenstraße 58
45138 Essen

Phone: +49 (0) 201 5454-0
E-Mail: info(at)secunet.com

LinkedIn | Twitter/X | XING

AGB Datenschutz Hinweisgebersystem Impressum
© 2024 secunet Security Networks AG