Angriffserkennung mit
SOC und SIEM

KRITIS-Betreiber müssen Cyber-Angriffe in KRITIS-Anlagen erkennen, vermeiden sowie Vorfälle an das BSI melden. Dazu sind Prozesse und Technologien wie SIEM und SOC notwendig, um Angriffe erkennen und darauf reagieren zu können. Dies ist seit 2023 im IT-Sicherheitsgesetz 2.0 explizit verpflichtend.

Die KRITIS-Regulierung fordert Angriffserkennung in §8a (1a) BSIG und definiert allgemeine Anforderungen im BSI-Katalog Konkretisierung der Anforderungen. Die Orientierungshilfe für Systeme zur Angriffserkennung (OH SzA) vom BSI legt zusätzliche normative Anforderungen für SOC, SIEM & co. bei Betreibern fest.

Bereich BSI-ID Anforderung
Orientierungshilfe SzA SZA-* Normative Anforderungen für Systeme zur Angriffserkennung
Governance 77-79
81-82
Prozesse und Verantwortlichkeiten für Sicherheits­vorfälle
Systeme und Auswertung 80, 90-94 Systeme und Methoden zur systematischen Auswertung
Tests und Schwachstellen 95-96 Regelmäßige Penetrationstests und Umgang mit Schwachstellen
SzA

Orientierungshilfe Angriffserkennung OH SzA

Austausch zu neuen BSI-Anforderungen für Angriffserkennung
Webinar ∙ CSK-Summit <kes> Keynote ∙ Mai 2023

up

Cyber-Angriffe

Organisation und Steuerung

Für die Behandlung von Sicherheitsvorfällen und Störungen in KRITIS-Anlagen sind in der Informationssicherheit klare Verantwortlichkeiten und Abläufe notwendig. Dafür muss das ISMS Rollen und Prozesse für die Erkennung und Behandlung von Informations­sicherheits­vorfällen (IS-Vorfällen) in den KRITIS-Anlagen definieren und im Betrieb implementieren.

BSI-ID Anforderung
SZA-A OH SzA A1 bis A5: Allgemeine Anforderungen und Rahmen
SZA-G OH SzA G1 bis G14: Governance
BSI-77 Verantwortlichkeiten und Vorgehensmodell
BSI-78 Bearbeitung von Sicherheitsvorfällen
SZA-D OH SzA D1 bis D14: Erkennung (Detektion)
SZA-R OH SzA R1 bis R5: Reaktion
BSI-79 Dokumentation und Berichterstattung über Sicherheitsvorfälle
BSI-81 Verpflichtung der Nutzer zur Meldung von Sicherheitsvorfällen
BSI-82 Auswertung und Lernprozess

Orientierungshilfe Systeme zur Angriffserkennung

Die Orientierungshilfe für Systeme zur Angriffserkennung definiert zusätzliche Anforderungen für die Umsetzung der Angriffserkennung bei Betreibern in den drei Phasen Protokollierung, Erkennung und Reaktion, was in KRITIS-Prüfungen nachgewiesen werden muss.

Rollen

Rollen und Aufgaben müssen für Cyber-Vorfälle im KRITIS-Geltungsbereich festgelegt werden. Die Rollen können einzeln oder auch zusammen Teil vom CERT, CSIRT, SOC beim Betreiber sein.

Prozesse

Für den Umgang mit Störungen und IS-Vorfällen müssen durch die Informationssicherheit zentrale Prozesse im IT-Betrieb der KRITIS-Anlagen definiert werden, u.a.:

Nachweise

Artefakte als Nachweis für funktionierende Governance für Vorfälle sind u.a.:

  1. Detektierte Angriffsmuster
  2. Erkannte Angriffe
  3. Bewältigte Vorfälle
  4. Meldungen

up

Systeme und Auswertung

Um Vorfälle und Cyber-Angriffe in KRITIS-Anlagen zu erkennen, müssen Ereignisse (Events) in den IT-Systemen protokolliert, zentral korreliert und ausgewertet werden. Basierend auf den Informationen aus Log-Dateien von IT-Systemen und SIEM-Lösungen (Indikatoren) kann die Organisation für Sicherheitsvorfälle mit ihren Prozessen tätig werden.

BSI-ID Anforderung
BSI-80 Security Incident Event Management (SIEM)
BSI-90 Systematische Log-Auswertung - Konzept
BSI-91 Systematische Log-Auswertung - kritische Assets
BSI-92 Systematische Log-Auswertung – Aufbewahrung
BSI-93 Systematische Log-Auswertung – Konfiguration
BSI-94 Systematische Log-Auswertung – Verfügbarkeit
SZA-P OH SzA P1 bis P5: Protokollierung

Logs und Assets

In den wichtigen IT-Systemen (kritische Assets) der KRITIS-Anlagen müssen sicherheits­relevante Ereignisse protokolliert und zentral (geschützt) aufbewahrt werden. Die Ereignisse umfassen in der Regel mindestens alle Vorgänge zu Nutzern, Berechtigungen und Anmeldungen in Systemen und speziell die Aktivitäten von Administratoren oder anderen privilegierten Benutzern. Der Scope der wichtigen IT-Systeme sollte regelmäßig überprüft und angepasst werden.

Systeme

Das IT-Sicherheitsgesetz 2.0 fordert ab 2023 explizit Systeme zur Angriffserkennung: technische Werkzeuge und unterstützende Prozesse, die kontinuierlich Bedrohungen im laufenden Betrieb mittels Mustern erkennen und vermeiden.

Die Anforderungen werden in der Orientierungshilfe für Systeme zur Angriffserkennung (OH SzA) präzisiert, womit ab 2023 viel automatische und kontinuierliche Überwachung und Auswertung mittels zentralisierter Systeme verpflichtend wird.

Nachweise

Nachweise für die effektive Auswertungen von Logs und Vorfällen sind u.a.:

  1. Zentrale Log-Auszüge
  2. Assets im SIEM
  3. Ausgewertete Ereignisse
  4. Indikatoren

up

Penetrationstests

Mit regelmäßigen Sicherheitstests (Penetrationstests) können KRITIS-Betreiber Angriffe auf die KRITIS-Anlagen simulieren, um Schwachstellen in der IT und OT aufzudecken und die Reaktion der Organisation auf Vorfälle zu überprüfen.

Penetrationstest können zur Awareness im Unternehmen beitragen und neben technischen Schwachstellen systematische Lücken — wie mangelndes Schwachstellen- oder Konfigurations-Management — aufdecken.

BSI-ID Anforderung
BSI-95 Penetrationstest

Nachweise

Artefakte von regelmäßigen und effektiven Penetrationstests sind u.a.:

  1. Testberichte
  2. Jahresplanung von Tests
  3. Maßnahmen
  4. Geschlossene Schwachstellen

up

Management von Schwachstellen

Der Umgang mit kritischen Schwachstellen in IT-Systemen und Prozessen muss Vorgaben aus dem ISMS folgen. Dies umfasst Schwachstellen in KRITIS-Anlagen, die durch die Prozesse der Angriffserkennung in Protokollen, Scans oder Tests erkannt werden, aber auch automatisierte Scans durch das Schwachstellen-Management. Zur Behebung ist eine enge Integration mit dem Change-Management der IT und Betrieb notwendig.

BSI-ID Anforderung
BSI-96 Umgang mit Schwachstellen, Störungen und Fehlern

Nachweise

Nachweise für ein effektives Schwachstellen-Management sind u.a.:

  1. Behobene Schwachstellen
  2. Kennzahlen aus Scans
  3. Kennzahlen von Vorfällen

up

Integration im Unternehmen

Die IS-Vorfallserkennung muss zur Behebung mit weiteren Organisationen vernetzt sein.

up

Weitere Informationen

Literatur

  1. Orientierungshilfe zur Angriffserkennung (OH SZA) bei KRITIS-Betreibern, OpenKRITIS 2022
  2. Fragen und Antworten zum Einsatz von Systemen zur Angriffserkennung, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  3. ENISA-Studie Proactive detection – Measures and information sources, European Union Agency for Cybersecurity, Mai 2020
  4. ENISA-Studie Proactive detection - Good practices gap analysis recommendations, European Union Agency for Cybersecurity, Mai 2020
  5. ENISA-Studie ENISA Threat Landscape 2020 - Main Incidents, European Union Agency for Cybersecurity, Oktober 2020
  6. Kritische Infrastrukturen und weitere meldepflichtige Unternehmen: Einen Vorfall bewältigen, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik
  7. Die Lage der IT-Sicherheit in Deutschland, Bundesamt für Sicherheit in der Informationstechnik, jährliches Lagebild

Standards

  1. ISO/IEC 27035-1:2016, Information technology - Security techniques - Information security incident management - Part 1: Principles of incident management, International Organization for Standardization
  2. ISO/IEC 27035-2:2016, Information technology - Security techniques - Information security incident management - Part 2: Guidelines to plan and prepare for incident response, International Organization for Standardization
  3. ISO/IEC 27035-3:2020, Information technology - Security techniques - Information security incident management - Part 3: Guidelines for ICT incident response operations, International Organization for Standardization

Quellen

  1. Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
  2. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  3. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist