ACHT:WERK NEWS

Aktuellste News
25 Apr 2023
Allgemein, News Permalink

Anomalieerkennung für kritische Infrastrukturen und die Industrie

25. April 2023

KES Special 042023

Mit der Einführung des IT-SiG 2.0 gewinnt das Thema Anomalieerkennung in der Leit-, Auto- matisierungs- und Fernwirktechnik in allen Bereichen absolute Aufmerksamkeit. Gründe da- für sind die Frequenz und Komplexität von Cyberangriffen. Die Maßnahmen der Angriffserkennung und -reaktion („Detect and Respond“) sind entsprechend wichtig.

(…) Security muss übersichtlich, bedienbar und einfach sein. Dieser Anspruch und das Prinzip „Security by Design“ bilden die Grundpfeiler für die Entwicklung von IRMA®. Das Resultat ist die Erfüllung der Empfehlungen des BSI CS 134 zum „Monitoring und Anomalieerkennung in Produktionsnetzwerken“, des IT-Sicherheitsgesetzes 2.0 und die Verwendung in allen Branchen.

(…)

Die aktive Suchfunktion – Die Informationen aus dem Datenpool gehen in IRMA® grundsätzlich zwei Wege. Zum einen werden die Daten in IRMA® analysiert und in der Weboberfläche übersichtlich und verständlich dargestellt. Bei Anomalien erfolgt automatisch eine Alarmierung. Zum anderen werden alle passiv erfassten Netzwerkpakete in einem Speicherbereich gesichert und stehen im Nachgang für eine forensische Analyse über PCAP-Dateien zur Verfügung.
Somit steht mit IRMA® der Angriffserkennung im Unternehmensumfeld ein intuitiv bedienbares Paket zur Verfügung. Dabei kann der Betreiber seine Sicherheitsaufgaben auch an ein kompetentes Unternehmen auslagern und IRMA® als Sensor für die Datenbeschaffung und Alarmierung verwenden.
Eine SIEM-Integration mittels der integrierten Rest API ist ohne Probleme möglich. In solch einer Konstellation liefert IRMA® die notwendigen Daten für ein überge- ordnetes System.

(…)

Weiterlesen: Hier den gesamten Artikel herunterladen

20 Apr 2023
Allgemein Permalink

Der Countdown zu NIS2. Diese Pflichten kommen auf die Industrie zu

20. April 2023

AUTlook, 06.04.2023 – Klaus Lussnig und Jens Bußjäger mit einem ersten Überblick – welche Pflichten kommen, was kritische Infrastrukturen ausmacht, welche Relevanz die Unternehmensgröße hat, wen Sicherheitsausfälle besonders hart treffen würden.

Naturkatastrophen, Cyberattacken und nicht zuletzt der Angriffskrieg Russlands gegen die Ukraine verdeutlichen die Bedeutung kritischer Infrastrukturen für eine funktionsfähige Gesellschaft und Staat. Mit der NIS2-Richtlinie hat die Europäische Union einen weiteren Schritt in die Widerstandsfähigkeit der Gemeinschaft geschaffen. Die Mitgliedstaten haben nun bis zum Oktober 2024 Zeit, die technischen Entwicklungen zu monitoren und die rechtlichen Anforderungen umzusetzen.

EU-weiter Fokus & nationale Reaktion 

Die NIS2 normiert die Pflicht für Mitgliedsstaaten Cybersicherheitsstrategien zu verabschieden und nationale Reaktionsteams für IT-Sicherheitsvorfälle zu benennen. Es wurden Pflichten zum Austausch von Cybersicherheitsinformationen definiert. Der Fokus auf hohe Schwellenwerte bei der Einordnung kritischer Infrastrukturen entsprach nicht dem Handlungsbedarf. Mit der finalen Fassung der NIS2 ergeben sich zukünftig zahlreiche Änderungen für die Einordnung kritischer Infrastrukturen.

Was macht eine Infrastruktur kritisch? 

Die Bestimmung der Kritikalität und der kritischen Infrastrukturen birgt Komplexität. Oft wird „das Kritische“ an Infrastrukturen als gegeben vorausgesetzt. Kann eine Infrastruktur unkritisch sein? Mit der Kennzeichnung der Kritikalität wird es genauer, Infrastrukturen als kritisch zu erkennen, während alles reibungslos funktioniert. Oft wird die Kritikalität nur durch eine Störung „sichtbar“. Der risikobasierte Ansatz führt zum Ziel, vermag jedoch erst im Schadensfall Gewissheit bringen. Somit wird die solide Risikoanalyse im Prozess gefordert.

Welche Sektoren NIS2 betrifft 

Die aktuell genannten Sektoren mussten durch die zunehmende Digitalisierung angepasst werden. Nun kommen wesentliche und wichtige Einrichtungen hinzu: Bei den wesentlichen Einrichtungen wird die Abwasserwirtschaft, die Verwaltung von IKT-Diensten, die öffentliche Verwaltung und der Sektor Weltraum als kritisch definiert; neu dazugekommen ist der Teilsektor Wasserstoff. In den Sektoren der Gesundheit und der digitalen Infrastruktur sind bisher nicht erfasste Einrichtungen benannt. 

Weitere Sektoren, die den wichtigen Einrichtungen zugeordnet werden sind Post- und Kurierdiensten, der Abfallbewirtschaftung, der Produktion, Herstellung und dem Handel mit chemischen Stoffen, der Vertrieb von Lebensmitteln, das verarbeitende Gewerbe, Anbieter digitaler Dienste sowie Forschung. Unklarer sind die Anforderungen im Sektor der öffentlichen Verwaltungen, Sicherheitsbehörden mit Justiz, Parlamenten und Zentralbanken.

Der Unterschied zwischen „wesentlich“ und „wichtig“ 

Zwischen „wesentlichen“ und „wichtigen“ Einrichtungen gibt es ein Rangverhältnis: Dieses ist abhängig vom „Grad der Kritikalität des Sektors […] sowie dem Grad der Abhängigkeit anderer Sektoren.“ Die NIS2 fokussiert somit erstmalig eine systemische Kritikalität. Zwischen den wesentlichen und wichtigen Einrichtungen besteht kein Unterschied hinsichtlich der Risikomanagementanforderungen und Meldepflichten, jedoch beim Aufsichts- und Sanktionsregime. Wesentliche Einrichtungen haben deutlich mehr Aufsichtsmaßnahmen zu erfüllen. 

Als einziges Kriterium für das Überschreiten einer Kritikalitätsschwelle dient nun die unionsrechtliche KMU-Definition. Nach Art. 2 der europäischen KMU-Definition liegt die Grenze bei 50 Mitarbeitern oder einem Jahresumsatz oder einer Jahresbilanz ab 10. Mio. Euro. Im ländlichen Raum, auch aufgrund zunehmender Automatisierung, könnten kritische Infrastrukturen durchs Raster fallen.

Auch wenn oft das Verhältnismässigkeitsprinzip für kleiner Organisation von kritischen Infrastrukturen und Aufwendungen zu Cybersicherheit diskutiert werden, die Notwendigkeit staatlicher Beteiligung ist hier oft das Indiz, dass ein wirtschaftlicher Betrieb nicht möglich ist. Die betroffenen, oft ländlich geprägten, Regionen würde ein Ausfall der Infrastruktur besonders hart treffen. Die Anforderungen an ausreichende IT-Sicherheit ist somit verhältnismäßig. So hilft die Bestimmung der systemisch erfassten Kritikalität auch hier.

NIS2 ist eine Chance 

Für die anstehende Überarbeitung des NIS-Gesetz wird es zu massiven Ausweitungen bei IT- Sicherheitspflichten kommen. Die NIS2 wird die von Risikomanagementanforderungen und Meldungen betroffenen Organisationen ausweiten. Es ist zu begrüßen, dass große Teile der öffentlichen Verwaltung künftig zu kritischen Infrastrukturen zählen und mit der Wahl der KMU-Definition können kritische Infrastrukturen systematisch und umfassend identifizieren werden. Es besteht die Chance eine gute Antwort darauf zu finden, was an kritischen Infrastrukturen genau kritisch ist, somit die Cybersicherheit und folgend die Verfügbarkeit der Versorgung abzusichern.

Erstveröffentlichung AUTlook 06.04.2023 — Informationsreihe zur Cybersicherheits-Richtlinie NIS2

NIS2 ist am 16. Jänner 2023 in Kraft getreten Noch bis Oktober 2024 haben die Mitgliedsstaaten Zeit, technische und rechtliche Grundlagen zur Umsetzung der „Richtlinie zur Netz- und Informationssicherheit“ zu schaffen. Die Zeit läuft: Mit dieser Kolumnenserie zeigen wir, was auf die Unternehmen zukommt und wie sie damit ihre Resilienz gegenüber Cyberattacken und anderen Sicherheitsvorfällen erhöhen können.

20 Apr 2023
Allgemein, Presse Permalink

FÜR ALLE ENERGIEVERSORGER. STROM, GAS, ÖL ODER FERNWÄRME

20. April 2023

Das IT-Sicherheitsgesetz 2.0 (ITSiG 2.0) hat konkretisiert, dass Betreiber KRITISCHER INFRASTRUKTUREN verpflichtet sind zum 1. Mai 2023 ein System zur Angriffserkennung (SzA)
einzusetzen.
Mit dem IRMA® SYSTEM erreichen Sie Stufe 3 für ihre KRITISCHE DIENSTLEISTUNG, VERNETZTE AUTOMATISIERUNG (OT), NETZLEIT- oder FERNWIRKTECHNIK.

Zeitungen verpasst?

IRMA_KES_2023Herunterladen
04 Feb 2023
Allgemein Permalink

VIVAVIS: Zusammenarbeit im Bereich OT-Security verstärkt

4. Februar 2023

Vivavis und Videc: Zusammenarbeit im Bereich OT-Security verstärkt. Im Dezember 2022 unterzeichneten die Verantwortlichen von Vivavis und Videc einen Partnervertrag über die Zusammenarbeit im Bereich OT-Security. Der Schwerpunkt liegt im Einsatz des Produktes IRMA®. Beide Unternehmen vereinbarten neben einem Know-how-Transfer die gemeinsame vertriebliche und technische Betreuung der Betreiber kritischer Infrastrukturen.

Jörn Fischer, Leiter Vertrieb Deutschland bei Vivavis, ergänzt: „Nach intensiver Marktanalyse sind wir zu dem Ergebnis gekommen, dass IRMA® für uns und unsere Kunden, d. h. die Anwender unserer Netzleitsysteme High-Leit und EP2000, das optimale Produkt ist, da sowohl die Leistung als auch der Preis stimmen. Dieser sehr positive Eindruck hat sich durch die pragmatische und lösungsorientierte Vorgehensweise der Videc beim Abschluss des Partnervertrages bestätigt. Wir sind sicher, dass wir damit für die neuen sicherheitstechnischen Herausforderungen im Bereich der Anomalieerkennung bestens gerüstet sind.“

http://ow.ly/4R2g104tl6B

Vivavis ist durch seine starke Präsenz im Bereich der Energieversorgung sowie durch die Kompetenz im Bereich Netzleitsysteme und Netzwerktechnik der richtige Partner für Videc, wenn es um die Erfüllung der OT-Security geht. Mit dem Produkt IRMA® konnte die notwendige Komponente für eine Anomalieerkennung, die sowohl das EnWG als auch das BSI („IT-SiG 2.0“) fordert, in das Portfolio der Vivavis aufgenommen werden.

Beide Unternehmen planen in der nächsten Zeit, diese Partnerschaft intensiv auszuprägen, damit die Vivavis-Kunden den genannten gesetzlichen Anforderungen inhaltlich und möglichst zeitgerecht nachkommen können. Schulungen, Workshops und gemeinsame Termine werden die Zusammenarbeit kennzeichnen und abrunden. Dieter Barelmann, Geschäftsfüphrer bei Videc, betont: „Wir haben schon sehr früh bei den Gesprächen gemerkt, dass ein tiefes Selbstverständnis für ein partnerschaftliches Miteinander besteht. Und dieses Vertrauen ist auch bei einer Zusammenarbeit dringend notwendig, wenn man erfolgreich auch im Sinne der Endkunden und verbesserter Sicherheitsanforderungen agieren möchte. Wir freuen uns auf die gemeinsamen Aufgaben.“

01 Feb 2023
News, Presse, WebSession Permalink

ALLES NEU? ALLES IRMA®! Alles Einfach!

1. Februar 2023

Wir vom Team Achtwerk freuen uns unseren Kunden, Interessenten und Partner mehr IRMA® zu zeigen.

Die Marke IRMA® erhält ihren eigenen Auftritt im Internet. Hier finden Sie alle Informationen rund um passive Asset Detektion und Management, OT-Netzwerkmonitoring, Anomalieerkennung, Orientierungshilfe für System zu Angriffserkennung, Kritis, Industrie, Blogs, News, Datenblätter, Updates, Erfahrungsaustausch und vieles mehr.

Sie sind Kunde? Sie sind Partner? Dann registrieren Sie sich und sind stets auf dem Laufenden mit aktuellen Informationen und kostenfeine Unterstützungen. Wir freuen uns auf Sie.

IRMA® — SO EINFACH, SO SICHER

https://irma-security.de

16 Jan 2023
Allgemein, News, Veranstaltungen Permalink

Erfahrung trifft auf Angriffserkennung

16. Januar 2023

Implementierung eines Systems zur Angriffserkennung / Anomalieerkennungssystems

Achtung – Umsetzungsfrist: 01.05.2023

Schutz vor Cyber-Angriffen ist keine Kür – das IT-Sicherheitsgesetz verpflichtet Betreibende von kritischen Infrastrukturen (KRITIS), ihre Anlagen und IT-Systeme gegen Cyber-Attacken zu schützen. Dabei wird ein Mindeststandard für die Sicherheit der entsprechenden IT-Infrastrukturen festgelegt.

Weiter Details und Kontakt klicken bitte Sie HIER! (externer link zu PhoenixContact)

14 Dez 2022
Allgemein, News, Presse, WebSession Permalink

KRÄFTE-MÄNGEL !?

14. Dezember 2022

Sieht etwas komisch aus, ist aber richtig geschrieben: Kräftemängel!

 05.12.2022 – aus der AUTLOOK 12.2022 — Lesezeit: ca. 2 Minuten

Was meine ich damit? Ich meine die quantitative und qualitative Verfügbarkeit von Menschen zur Unterstützung und Umsetzung der Projekte. Er ist da, der „Fach“-Kräftemangel. Es beginnt somit ganz banal mit der Anzahl von Menschen. Wo wir hinschauen werden Arbeitnehmer gesucht. Es fehlen die Leute! Es fehlen Arbeitnehmer, die Menschen, um eine bestimmte Arbeit zu erfüllen. Was sind die Gründe dafür?

Eine erste These ist, dass unsere Arbeit sich verändert. Das sich in vielen Branchen die Arbeit verändert. Vom Schweißer zum „Programmierer“ des Schweißroboters, vom Elektriker zum Netzwerkadministrator, vom Safety-Spezialisten zum Security-Fachmann. Es gibt noch viele weitere Beispiele. Mehr Wissen und Kopfarbeit sind von Nöten.

Die zweite These dazu ist, dass wir als Menschheit mehr und mehr Wissen erforscht haben. Dieses Wissen ist jedoch schwer in der gleichen Länge der Ausbildungszeit wie vor 50 Jahren zu vermitteln. Ausbildungen dauern länger – das Wissen wird auf viele Menschen verteilt und steht wiederum viel später dem Arbeitsmarkt zur Verfügung. Wir müssen uns auch von altem Wissen trennen: Ich sollte in einer meiner ersten Prüfungen noch einen Kabelbaum mit Garn flechten, doch im Betrieb nutzten wir ausschließlich Kabelbinder … ich denke fast jeder hat so ein Beispiel parat.

Wir leben in der Welt der stetigen Veränderung und des Lernens auf Lebenszeit. Das Dilemma ist, dass für mehr Arbeit weniger Menschen zu Verfügung stehen und so oft die Zeit zum notwendigen Lernen fehlt. Dazu kommt, dass der Stand der Ausbildungen sehr, sehr unterschiedlich ist. Und darum Mängel. Zusammen geführt ein Kräftemängel.

Nun, wir können nicht alles wissen, aber wir können immer aufmerksam fragen. Wir müssen effizienter werden. Effizienz an dieser Stelle bedeutet auch, sich die richtigen Werkzeuge zur Unterstützung zu suchen. Das ist auch die Aufgabe der Lieferanten. Und die Herausforderung ist, die wesentlichen Funktionen zu finden und nicht die bunten Darstellungen. Es geht nicht darum Daten anzuzeigen, sondern Informationen sichtbar zu machen. Das Ziel muss sein, eine Anforderung „bestmöglich vereinfacht und somit wertig“ zur Verfügung zu stellen.

In jeder Situation. In jedem Projekt. Mit all den Fachmenschen.

Achten Sie darauf – in der OT ist Automatisierungs- und Security Know How wesentlich!

Vielen Dank an Klaus für die gemeinsame Erstellung der Kolumne und die tolle Kooperation mit der AUTLOOK.

25 Nov 2022
News, Veranstaltungen, WebSession Permalink

Sicher mit IRMA® – Schulung

25. November 2022

Karlsruhe | 13.12.2022 Gratisproduktschulung

Dauer 10.00 – 16.00 h

Zielgruppe: IRMA® Interessenten und Anwender

Jeder Teilnehmer erhält ein Teilnahmezertifikat.

Inhalte (Auszug)

  • Was bedeutet Sicherheit?
  • Welche Prozesse bringen Sicherheit?
  • TOP 10 Bedrohungen
  • Assetmanagement
  • Risikomanagement
  • Live Angriffsszenario
  • Anomalien erkennen
  • Nutzen für KRITIS
    (IT-SiG 2.0, Orientierungshilfe SzA)

Hier geht erst Anmeldung und den weiteren Terminen (Durchgeführt von unserem Distributionspartner Videc data engineering GmbH


24 Nov 2022
Allgemein, News, Presse Permalink

Countdown für Systeme der Angriffserkennung

24. November 2022

Ab dem 1. Mai 2023 besteht die Verpflichtung zum Einsatz von Systemen zur Angriffserkennung gemäß dem Gesetzeswortlaut. Konkretere Anforderungen für Betreiber kritischer Infrastrukturen werden zurzeit durch das BSI erarbeitet und in Form einer Orientierungshilfe veröffentlicht. Doch was bedeutet das alles konkret für die Unternehmen und wie können oder sollten sie sich schon jetzt vorbereiten?

Viele erinnern sich wahrscheinlich noch an die Ende 2021/2022 aufgetretenen kritischen Schwachstellen in Log4J (als CVE-2001-44228 dokumentiert). Durch sie konnten Angreifer ohne Authentifizierung auf Systeme zugreifen, die die Log4J-Bibliothek verwenden, um dort Schadcode auszuführen. Die richtige Lösung für Betreiber kritischer Infrastrukturen wäre damals (und ist es auch noch heute in gleich gelagerten Fällen) das Update aller im Unternehmen existierenden Log4J-Bibliotheken auf die aktuellste Version gewesen. Oftmals wissen die Unternehmen aber gar nicht, welche Applikationen die Bibliotheken nutzen, und ein einmaliges globales Java-Update der Log4J-Bibliothek über die Softwareverwaltung auf Betriebssystemebene reicht hier nicht aus. In der Regel können auch nur die Softwarehersteller, welche die Bibliotheken in die Programme eingebunden haben, das Update vornehmen. Um trotzdem Angriffe zu erkennen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Arbeitspapier “Log4J: Detektion und Reaktion” zur Verfügung gestellt. Hier wurde allerdings die Anomalieerkennung auf Netzwerkebene als das nach diesseitiger Sicht eindeutig wirkungsvollste Tool vorgestellt. Sicherlich ist das umgehende Patchen noch besser. Aber manchmal ist die zweitbeste Lösung immer noch besser als gar keine Lösung.

Das magische Datum 1. Mai 2023

Gemäß § 8a Abs. 1a BSI-Gesetz sind Betreiber kritischer Infrastrukturen ab dem 1. Mai 2023 auf den Einsatz von Systemen zur Angriffserkennung verpflichtet: “Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohung zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.”

Gerade aufgrund der oben geschilderten positiven Erfahrung des BSI mit Angriffserkennungssystemen ist es eher unwahrscheinlich, dass das BSI hier über die Frist hinwegsehen wird, zumal diese Frist nicht in einer Verordnung, sondern in einem Bundesgesetz festgehalten wurde. Für Betreiber kritischer Infrastrukturen im Energiesektor ist neben § 8a Abs. 1a BSIGesetz auch noch § 11 (1d) EnWG zwingend zu beachten.

Gemäß § 8a (3) BSI-Gesetz müssen die Betreiber kritischer Infrastrukturen entsprechende Nachweise gegenüber dem BSI vorlegen. Bereits heute hat das BSI darauf hingewiesen, dass ab dem 1. Mai 2023 auch die Ergebnisse der Systeme zur Angriffserkennung inklusive der aufgedeckten Sicherheitsmängel vorzulegen sind. Für die meisten Betreiber kritischer Infrastrukturen aus dem Energiesektor ist hierfür § 11 (1e) die entsprechende Gesetzesgrundlage zur Umsetzung.

Theoretisch existiert bereits ein sehr guter Ansatz durch das BSI-Dokument: “Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen nach § 8 (1) 1 BSI-Gesetz” (Version 1.0a vom 25. Februar 2021). Allerdings bezieht sich dieser 86 seitige Mindeststandard “nur” auf die Informationstechnik des Bundes. Um den Wünschen der Betreiber kritischer Infrastrukturen entgegen zu kommen, hat das BSI ein separates Arbeitsdokument im Entwurfsstadium zum 1. Juni 2022 zur Verfügung gestellt: “Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (*) inklusive Formulare für den Nachweis zu § 8a (1a) BSIG und § 11 (1d) EnWG.” Selbst für den Fall, dass diese Orientierungshilfe nicht bis zum 1. Mai 2023 freigegeben sein sollte, wird dies die Betreiber kritischer Infrastrukturen nicht von ihrer Verpflichtung in Sachen Einsatz von Systemen zur Angriffserkennung entbinden. Diese Orientierungshilfe stellt im Übrigen keine verbindliche Vorgabe dar.

Auf jeden Fall zu beachten sind die BSI Bausteine:

  • OPS.1.1.4 Schutz vor Schadprogrammen,
  • OPS.1.1.5 Protokollierung,
  • NET.1.2 Netzmanagement,
  • NET.3.2 Firewall,
  • DER.1 Detektion von sicherheitsrelevanten Ereignissen,
  • DER.2.1 Behandlung von Sicherheitsvorfällen sowie
  • Kapitel 2.2 und 2.3 des Mindeststandards des BSI zur Protokollierung und Detektion von Cyber-Angriffen nach § 8a (1) 1 BSIG

In den Normenreihen der ISO/IEC 2700x sowie der IEC 62443 sind wichtige Anforderungen an Detektion und Reaktion formuliert. Gleichwohl reicht eine Zertifizierung nach einer dieser Normen (in der Regel) nicht aus, um einen entsprechenden Nachweis nach § 8a (1a) BSIG bzw. § 11 (1d) EnWG zu erbringen. Es empfiehlt sich hier stets eine zeitnahe Kontaktaufnahme zum BSI, die gerne bei Fragen weiterhelfen, was im Rahmen von bestehenden Zertifikaten “anerkannt” werden kann.

Unter Bezug auf § 2 (9) 1 BSIG sei darauf verwiesen, dass Systeme zur Angriffserkennung stets auch organisatorische Maßnahmen erfordern, welche bei der Planung der Ressourcenverteilung zu berücksichtigen sind.

Systeme zur Angriffserkennung beziehen sich sowohl auf die IT als auch auf die OT sowie auf weitere Bereiche, wie Rechenzentren oder Embedded-Systeme.

Für zukünftige Prüfungen im Rahmen der branchenspezifischen Sicherheitsstandards (B3S) sei auch darauf verwiesen, dass diese zukünftig Vorgaben für Systeme für Angriffserkennung abdecken müssen. Somit wird ab dem 1. Mai 2023 kein Weg mehr an Systemen zur Angriffserkennung vorbeiführen.

Allgemeine Anforderungen gemäß des Entwurfs der Orientierungshilfe (OH) sind:

  • Signaturen von Detektionssystemen müssen immer aktuell sein,
  • Informationen zu aktuellen Angriffsmustern für technische Vulnerabilitäten müssen fortlaufend für die im Anwendungsbereich eingesetzten Systeme eingeholt werden,
  • alle zur Angriffserkennung erforderliche Hard- und Software muss auf einem aktuellen Stand gehalten werden,
  • alle notwendigen technischen, organisatorischen und personellen Rahmenbedingungen müssen geschaffen werden,
  • alle relevanten Systeme müssen so konfiguriert werden, dass bekannte Möglichkeiten der Schwachstellenerkennung genutzt werden.

Anforderungen an die Protokollierung

Prinzipiell geht das BSI erst einmal davon aus, dass alle Basisanforderungen von OPS.1.1.5 erfüllt sein müssen. Darüber hinaus sieht es folgende Punkte als ein Muss an:

  • Aufbau einer zentralen Protokollierungsinfrastruktur,
  • Bereitstellung von Protokollierungsdaten für die Auswertung sowie
  • Prüfung, ob alle geplanten Protokollierungsquellen gemäß Planung umgesetzt werden. Muss-Anforderungen an die Detektion:
  • alle Protokolldaten müssen kontinuierlich überwacht und ausgewertet werden,
  • für die Detektion von sicherheitsrelevanten Ereignissen müssen genügend personelle Ressourcen bereitgestellt werden,
  • Schadensdetektionssysteme müssen zentral verwaltet eingesetzt werden. Anhand des Netzplans muss festgelegt sein, welche Netzsegmente durch zusätzliche Detektionssysteme geschützt werden müssen,
  • Übergänge zwischen internen und externen Netzen müssen um netzbasierte Intrusion Detection Systems (NIDS) ergänzt werden,
  • eine zeitliche Synchronisation muss erfolgen,
  • Ereignismeldungen müssen regelmäßig auf Auffälligkeiten kontrolliert werden,
  • es muss eine Auswertung von Informationen aus externen Quellen erfolgen,
  • die Auswertung der Protokolldaten muss durch spezialisiertes und qualifiziertes Personal erfolgen,
  • zentrale softwaregestützte automatisierte Analysen mit Software müssen eingesetzt werden, um alle Protokollierungsereignisse aufzuzeichnen, in Bezug zueinander zu setzen und sicherheitsrelevante Vorgänge sichtbar zu machen,
  • die Protokollierungsdaten müssen lückenlos einsehbar sein und permanent ausgewertet werden,
  • werden definierte Schwellenwerte überschritten, muss automatisch alarmiert werden,
  • die Systemverantwortlichen müssen die Analyseparameter regelmäßig auditieren und anpassen,
  • bei einem sicherheitsrelevanten Ereignis müssen die eingesetzten Parameter das Ereignis automatisch melden und in Netzen, wo die kritische Dienstleistung nicht gefährdet ist, muss es möglich sein, automatisch mit geeigneten Schutzmaßnahmen zu reagieren,
  • der Ausschluss von Netzen oder Netzsegmenten von einer automatischen Reaktion muss begründet sein.

Anforderungen an die Reaktion

  • festgestellte Sicherheitsvorfälle im vermeintlichen Zusammenhang mit Angriffen müssen gemeldet werden,
  • Sicherheitsvorfälle, die zu einem Ausfall oder einer erheblichen Beeinträchtigung der Funktionsfähigkeit der kritischen Infrastruktur führen oder führen können, müssen an die zuständige Behörde gemeldet werden, entsprechend müssen auch Sicherheitsvorfälle, die im Zusammenhang mit Angriffen stehen, gemeldet werden,
  • die zur Angriffserkennung eingesetzten Systeme sollten automatisiert Maßnahmen zur Vermeidung und Beseitigung von angriffsbesdingten Störungen ergreifen können, wenn das zugrunde liegende sicherheitsrelevante Ereignis (SRE) eindeutig qualifizierbar ist. Dabei muss es gewährleistet sein, dass automatisiert ergriffene Maßnahmen nicht zu einer relevanten Beeinträchtigung der kritischen Dienstleistung des Betreibers führen können.

Beim letzten Punkt muss aus praktischer Sicht darauf verwiesen werden, dass der Begriff “eindeutige Qualifizierbarkeit eines sicherheitsrelevanten Ereignisses” unbedingt genauer zu definieren ist. In der Regel hinterlassen Cyber-Kriminelle weder eine Visitenkarte noch ein Manual.

Bewertung der Systeme zur Angriffserkennung

Die Systeme zur Angriffserkennung sollen nach folgenden “Reifegradmodell” bewertet werden. Die Stufen des Reifegradmodells sind wie folgt definiert:

  • 0: Es sind bisher keine Anforderungen umgesetzt und es bestehen auch keine Planungen zur Umsetzung von Anforderungen.
  • 1: Es bestehen Planungen zur Umsetzung von Anforderungen, jedoch für mindestens einen Bereich noch keine konkreten Umsetzungen.
  • 2: In allen Bereichen wurde mit der Umsetzung von Anforderungen begonnen. Es sind noch nicht alle Muss-Anforderungen umgesetzt worden.
  • 3: Alle Muss-Anforderungen wurden für alle Bereiche umgesetzt. Idealerweise wurden Sollte-Anforderungen hinsichtlich ihrer Notwendigkeit und Umsetzbarkeit geprüft. Ein kontinuierlicher Verbesserungsprozess wurde etabliert.
  • 4: Alle Muss-Anforderungen wurden für alle Bereiche umgesetzt. Alle Sollte-Anforderungen wurden umgesetzt, außer sie wurden stichhaltig und nachvollziehbar begründet ausgeschlossen. Ein kontinuierlicher Verbesserungsprozess wurde etabliert.
  • 5: Alle Muss-Anforderungen wurden für alle Bereiche umgesetzt. Alle Sollte-Anforderungen und Kann-Anforderungen wurden für alle Bereiche umgesetzt, außer sie wurden stichhaltig und nachvollziehbar begründet ausgeschlossen. Für alle Bereiche wurden sinnvolle zusätzliche Maßnahmen entsprechend der Risikoanalyse/Schutzbedarfsfeststellung identifiziert und umgesetzt. Ein kontinuierlicher Verbesserungsprozess wurde etabliert.

Nachweiserbringung

Zeitnah, das heißt vor dem 1. Mai 2023, wird das BSI ein entsprechendes Formular zur Verfügung stellen. Aller Voraussicht nach wird dieses in einer überarbeiteten Version der BSI Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG zu finden sein.

Es ist davon auszugehen, dass ein Nachweis zu Angriffserkennungssystemen als vollständig erachtet werden wird, wenn die Ergebnisse der Prüfung der Systeme zur Angriffserkennung inklusive aufgedeckter Sicherheitsmängel inkludiert sind.

Fazit

Dass am 1. Mai 2023 Systeme zur Angriffserkennung implementiert sein müssen, ist allen Beteiligten bekannt. Bis dato gab es jedoch noch Interpretationsspielräume, welche Anforderungen die Systeme zur Angriffserkennung erfüllen müssen. Durch den BSI-Entwurf im Rahmen der Orientierungshilfe zum Einsatz von Systemen der Angriffserkennung wurde Klarheit geschaffen. Es ist zu erwarten, dass dieser Entwurf bald finalisiert wird. Und auch wenn er nicht finalisiert wird, so ist dies zur Pflicht der Umsetzung kein Problem, da die Orientierungshilfe nicht 1:1 umzusetzen ist.

Mit der OT-Security-Lösung IRMA® von VIDEC werden Automatisierungsnetze überwacht und geschützt

Den gesamten Artike finden Sie hier. (externer link zu unserem Distributionsparter Videc data engineering GmbH)

Verfasst durch:  Prof. h. c. PhDr. Stefan Loubichi
IT-/OT-Sicherheitsexperte mit dem Branchenschwerpunkt Energiewirtschaft, zuletzt unter anderem als leitender Auditor für ISMS-Systeme, Fachautor für VGB und Cyber-Security- Verantwortlicher für diverse Unternehmen.

Aus open automation, Ausgabe 5/2022, VDE Verlag, S. 38-40

*) Zugriff nur für registrierte & eingeloggte Kunden unseres Distributionspartners

Kontakt

Achtwerk GmbH & Co. KG
Am Mohrenshof 11a
28277 Bremen

Tel.: +49 (0) 421 878 478 80

E-Mail: k o n t a k t @ acht-werk.de

Anfahrt