Angriffserkennung in KRITIS

KRITIS-Betreiber müssen Vorfälle und Cyber-Angriffe in ihren KRITIS-Anlagen erkennen, um ihren Meldepflichten an das BSI nachzukommen. Dazu sind in den KRITIS-Anlagen Prozesse und Technologien zur Detektion notwendig, um Angriffe und Störungen erkennen und darauf in der Cyber Defense reagieren zu können. Das IT-Sicherheitsgesetz 2.0 fordert dies ab 2023 explizit.

Die KRITIS-Regulierung fordert nach §8a (1) BSIG Maßnahmen nach Stand der Technik, im neuen §8a (1a) nun explizit Systeme zur Angriffserkennung und in §8b (4) eine unverzügliche Meldung von Störungen. Der BSI-Katalog Konkretisierung der Anforderungen an §8a Maßnahmen behandelt das Thema wie folgt:

Bereich BSI-ID Anforderung
Governance 77-79, 81-82 Prozesse und Verantwortlichkeiten für Sicherheits­vorfälle
Systeme und Auswertung 80, 90-94 Systeme und Methoden zur systematischen Auswertung
Tests und Schwachstellen 95-96 Regelmäßige Penetrationstests und Umgang mit Schwachstellen
Angriffserkennung

DE Webinar Angriffserkennung im IT-Sicherheitsgesetz 2.0

Neue Anforderungen für IDS, SIEM und SOC bei Betreibern
Online ∙ Registrierung über LinkedIn ∙ 30. Juli 2021

up

Cyber-Angriffe und Vorfälle

Governance

Für die Behandlung von Sicherheitsvorfällen und Störungen in KRITIS-Anlagen sind in der Informationssicherheit klare Verantwortlichkeiten und Abläufe notwendig. Dafür muss das ISMS Rollen und Prozesse für die Erkennung und Behandlung von Informations­sicherheits-vorfällen (IS-Vorfällen) in den KRITIS-Anlagen definieren und im Betrieb implementieren.

BSI-ID Anforderung
BSI-77 Verantwortlichkeiten und Vorgehensmodell
BSI-78 Bearbeitung von Sicherheitsvorfällen
BSI-79 Dokumentation und Berichterstattung über Sicherheitsvorfälle
BSI-81 Verpflichtung der Nutzer zur Meldung von Sicherheitsvorfällen
BSI-82 Auswertung und Lernprozess

Rollen

Das ISMS legt dazu Rollen und Aufgaben für IS-Vorfälle im KRITIS-Geltungsbereich fest. Die Rollen können einzeln oder auch zusammen Teil vom CERT, CSIRT, SOC beim Betreiber sein.

  1. Leiter IS-Vorfälle: Governance für und Leitung der Vorfallserkennung und -behandlung
  2. Team IS-Vorfälle: Reaktionsteam zur operativen Bewältigung und Lösung konkreter Vorfälle

Prozesse

Für den Umgang mit Störungen und IS-Vorfällen müssen durch die Informationssicherheit zentrale Prozesse im IT-Betrieb der KRITIS-Anlagen definiert werden, u.a.:

  1. Detektion: Störungen, Angriffe und IS-Vorfälle müssen anhand von Logs, Mustern und Indikatoren in der IT erkannt und festgestellt werden
  2. Reaktion: Erkannte Vorfälle müssen von Fachpersonal klassifizert und behandelt, und die weitere Bewältigung eingeleitet werden (zum Incident-/Notfall-/Krisen-Management)
  3. Meldungen: Festgestellte IS-Vorfälle und Störungen müssen dokumentiert und gemeldet werden, falls diese BSIG-meldepflichtig sind (ggf. über die Meldeorganisation)
  4. Auswertung: Vorfälle und die Bewältigung müssen für Lessons Learned ausgewertet werden

Nachweise

Artefakte als Nachweis für funktionierende Governance für Vorfälle sind u.a.:

  1. Detektierte Angriffsmuster
  2. Erkannte Angriffe
  3. Bewältigte Vorfälle
  4. Meldungen

up

Systeme und Auswertung

Um Vorfälle und Cyber-Angriffe in KRITIS-Anlagen zu erkennen, müssen Ereignisse (Events) in den IT-Systemen protokolliert, zentral korreliert und ausgewertet werden. Basierend auf den Informationen aus Log-Dateien von IT-Systemen und SIEM-Lösungen (Indikatoren) kann die Organisation für Sicherheitsvorfälle mit ihren Prozessen tätig werden.

BSI-ID Anforderung
BSI-80 Security Incident Event Management (SIEM)
BSI-90 Systematische Log-Auswertung - Konzept
BSI-91 Systematische Log-Auswertung - kritische Assets
BSI-92 Systematische Log-Auswertung – Aufbewahrung
BSI-93 Systematische Log-Auswertung – Konfiguration
BSI-94 Systematische Log-Auswertung – Verfügbarkeit

Logs und Assets

In den wichtigen IT-Systemen (kritische Assets) der KRITIS-Anlagen müssen sicherheits­relevante Ereignisse protokolliert und zentral (geschützt) aufbewahrt werden. Die Ereignisse umfassen in der Regel mindestens alle Vorgänge zu Nutzern, Berechtigungen und Anmeldungen in Systemen und speziell die Aktivitäten von Administratoren. Der Scope der wichtigen IT-Systeme sollte regelmäßig überprüft und angepasst werden.

Systeme

2.0 Das IT-Sicherheitsgesetz 2.0 fordert ab 2023 explizit Systeme zur Angriffserkennung — technische Werkzeuge und unterstützende Prozesse, die kontinuierlich Bedrohungen im laufenden Betrieb mittels Mustern erkennen und vermeiden. Das wird den Einsatz von Technologien wie SIEM und SOC in KRITIS-Anlagen unabdingbar machen.

Nachweise

Nachweise für die effektive Auswertungen von Logs und Vorfällen sind u.a.:

  1. Zentrale Log-Auszüge
  2. Assets im SIEM
  3. Ausgewertete Ereignisse
  4. Indikatoren

up

Penetrationstests

Mit regelmäßigen Sicherheitstests (Penetrationstests) können KRITIS-Betreiber Angriffe auf die KRITIS-Anlagen simulieren — um Schwachstellen und Lücken in der IT und OT aufzudecken und die Reaktion der Organisation auf Vorfälle zu überprüfen. Penetrationstest können so zur Awareness im Unternehmen beitragen und neben technischen Schwachstellen systematische Lücken aufdecken — wie mangelndes Schwachstellen- oder Konfigurations-Management.

BSI-ID Anforderung
BSI-95 Penetrationstest

Nachweise

Artefakte von regelmäßigen und effektiven Penetrationstests sind u.a.:

  1. Testberichte
  2. Jahresplanung von Tests
  3. Maßnahmen
  4. Geschlossene Schwachstellen

up

Management von Schwachstellen

Der Umgang mit kritischen Schwachstellen in IT-Systemen und Prozessen muss Vorgaben aus dem ISMS folgen. Dies umfasst Schwachstellen in KRITIS-Anlagen, die durch die Prozesse der Angriffserkennung in Protokollen, Scans oder Tests erkannt werden, aber auch automatisierte Scans durch das Schwachstellen-Management. Zur Behebung der Schwachstellen ist eine enge Integration mit dem Change-Management der IT und Betrieb notwendig.

BSI-ID Anforderung
BSI-96 Umgang mit Schwachstellen, Störungen und Fehlern

Nachweise

Nachweise für ein effektives Schwachstellen-Management sind u.a.:

  1. Behobene Schwachstellen
  2. Kennzahlen aus Scans
  3. Kennzahlen von Vorfällen

up

Integration im Unternehmen

Die IS-Vorfallserkennung muss zur Behebung mit weiteren Organisationen vernetzt sein.

  1. ISMS: Meldung von Trends und Risiken aus der Angriffserkennung ans ISMS, Input zur Bedrohungslage; Austausch zu Schwachstellen, Maßnahmen und Schwerpunkten
  2. KRITIS-Organisation: Information über Vorfälle, Notfälle und Angriffe als meldepflichtige Störungen der KRITIS-Anlage für die Meldepflicht an das BSI
  3. IT und Incident Management: Zusammenarbeit bei der Bewältigung von Vorfällen und Störungen in der IT; Austausch zu operativen Risiken, Bedrohungen und Schwachstellen
  4. BCM: Meldung von betriebsrelevanten Störungen und Zusammenarbeit bei der Behandlung von IT-Notfällen und Krisen mit dem IT-Notfallmanagement

up

Weitere Informationen

Literatur

  1. ENISA-Studie Proactive detection – Measures and information sources, European Union Agency for Cybersecurity, Mai 2020
  2. ENISA-Studie Proactive detection - Good practices gap analysis recommendations, European Union Agency for Cybersecurity, Mai 2020
  3. ENISA-Studie ENISA Threat Landscape 2020 - Main Incidents, European Union Agency for Cybersecurity, Oktober 2020
  4. IT-Grundschutz-Baustein (200-1): DER.1: Detektion von sicherheitsrelevanten Ereignissen, Bundesamt für Sicherheit in der Informationstechnik, Februar 2021
  5. IT-Grundschutz-Baustein (200-1): DER.2.1: Behandlung von Sicherheitsvorfällen, Bundesamt für Sicherheit in der Informationstechnik, Februar 2021
  6. Kritische Infrastrukturen und weitere meldepflichtige Unternehmen: Einen Vorfall bewältigen, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik
  7. Die Lage der IT-Sicherheit in Deutschland, Bundesamt für Sicherheit in der Informationstechnik, jährliches Lagebild

Standards

  1. ISO/IEC 27035-1:2016, Information technology - Security techniques - Information security incident management - Part 1: Principles of incident management, International Organization for Standardization
  2. ISO/IEC 27035-2:2016, Information technology - Security techniques - Information security incident management - Part 2: Guidelines to plan and prepare for incident response, International Organization for Standardization
  3. ISO/IEC 27035-3:2020, Information technology - Security techniques - Information security incident management - Part 3: Guidelines for ICT incident response operations, International Organization for Standardization

Quellen

  1. Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
  2. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  3. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist