OPENKRITIS ANGRIFFSERKENNUNG IM IT-SIG 2.0 - WEBINAR 30. JULI 2021
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
OpenKRITIS
Angriffserkennung im IT-SiG 2.0
Webinar · 30. Juli 2021
OpenKRITIS · DialogOpenKRITIS-Dialoge 2021 2
IT-Sicherheitsgesetz 2.0
Angriffserkennung KRITIS
Sommer
OT-Sicherheit in KRITIS, altern.: BCM
UNBÖFI und IT-SiG
Herbst
KRITIS-Entsorgung
European Context NIS2 + RCE
Repetitorium KRITIS-Prüfungen Winter
OpenKRITISAgenda heute 3
1 Angriffserkennung und Gesetz Stand der Technik
2 Die Sicht der Prüfer Und was fehlt?
3 Diskussion und Austausch
OpenKRITISAngriffserkennung
im Gesetz
OpenKRITISIT-Sicherheitsgesetz 2.0 Zeitschiene 5
IT-Sicherheits- KRITIS- KRITIS- Beschluss IT-SiG 2.0
gesetz 1.0 Verordnung Verordnung Bundestag in Kraft
2015 Korb 1 Korb 2 IT-SiG 2.0 28.5.2021
Beschluss
EU NIS
Bundesrat
Directive
IT-SiG 2.0
? ?
Entwürfe Entwurf Entwurf
IT-Sicherheits- EU NIS2 KRITIS-
gesetz 2.0 Directive Verordnung 2.0
OpenKRITISAngriffserkennung im Gesetz 6
IT-SiG 1.0 IT-SiG 2.0
§8 (1) BSIG §8 (1a) BSIG-E
[KRITIS-Betreiber sind verpflichtet, ...] angemessene Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische
organisatorische und technische Vorkehrungen zur Vermeidung und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023
von Störungen der Verfügbarkeit, Integrität, Authentizität und auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzt-
Vertraulichkeit ihrer informationstechnischen Systeme, en Systeme zur Angriffserkennung müssen geeignete Parameter und
Komponenten oder Prozesse zu treffen, die für die Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch
Funktionsfähigkeit der von ihnen betriebenen Kritischen erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend
Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene
eingehalten werden. Störungen geeignete Beseitigungsmaßnahmen vorzusehen.
§2 (9b) BSIG-E
Systeme zur Angriffserkennung im Sinne dieses Gesetzes sind durch
technische Werkzeuge und organisatorische Einbindung unterstützte
Prozesse zur Erkennung von Angriffen auf informationstechnische
Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in
einem informationstechnischen System verarbeiteten Daten mit
Informationen und technischen Mustern, die auf Angriffe hindeuten.
OpenKRITISGesetzesbegründung IT-SiG 2.0 7
Drucksache 19/26106,
"Besonderer Teil"
Zu Nr. 12, b/c/e
§ 8a Absatz 1a ergänzt [...] ausdrücklich um Systeme zur Angriffserkennung. Diese Systeme stellen eine effektive Maßnahme zur
Begegnung von Cyber-Angriffen dar und unterstützen insbesondere die Schadensreduktion.
Bereits heute ist eine große Anzahl von Systemen zur Angriffserkennung verfügbar. Diese unterscheiden sich u.a. in den Verfahren zur
Detektion und sind für unterschiedliche Einsatzszenarien optimiert.
Unterschiede liegen [...] in den untersuchten Daten [...] an den Übergängen zu öffentlichen Netzen, netzwerk-internen Datenverkehr
oder auch von internen Daten der IT-Systeme erhoben werden. [...]
Methodik zur Erkennung [...] Abgleich mit statischen Mustern [...] generische Muster sowie Verfahren der künstlichen Intelligenz, [...]
Abweichungen [vom Störungsfreien Betrieb] zur Detektion [...] (Anomaliedetektion).
Die Systeme zur Angriffserkennung sollen die Kommunikationstechnik der Betreiber Kritischer Infrastrukturen möglichst umfassend
schützen. Gleichzeitig können Systeme zur Angriffserkennung zum Beispiel im Falle falscher Warnmeldungen auch zu Schäden führen.
Gefordert wird daher – entsprechend Absatz 1 – nur ein angemessener Einsatz, dem eine Abwägung der Interessen an einem
umfassenden Schutz mit bestehenden Risiken vorgeht.
Unternehmen benötigen für den Einsatz von Systemen zur Angriffserkennung Informationen, die sich als Erkennungsmuster zu Cyber-
Angriffen einsetzen lassen. Der Einsatz der Systeme zur Angriffserkennung erfordert, dass die eingesetzten Erkennungsmuster ständig
aktuell gehalten werden. Das Bundesamt wird dabei weiterhin [...] die Betreiber unterstützen. [...]
OpenKRITISStand der Technik 8
"Somit kann der Stand der Technik als die im Waren- und
Dienstleistungsverkehr verfügbaren Verfahren, Einrichtungen oder
Betriebsweisen, deren Anwendung die Erreichung der jeweiligen
gesetzlichen Schutzziele am wirkungsvollsten gewährleisten kann,
bezeichnet werden.
Verkürzt lässt sich sagen: Der Stand der Technik bezeichnet die am
Markt verfügbare Bestleistung eines Subjekts zur Erreichung eines
Objekts. Subjekt ist die IT-Sicherheitsmaßnahme; Objekt das
gesetzliche IT-Sicherheitsziel."
Beides aus: IT-Sicherheitsgesetz und DSGVO, Handreichung zum Stand der Technik, TeleTrusT 2021
OpenKRITISStand der Technik 9
TeleTrusT 2020 TeleTrusT 2021
+
Alles aus: Handreichung zum Stand der Technik, TeleTrusT 2021 und 2021
OpenKRITISDie Sicht der Prüfer
OpenKRITISRelevante Prüfstandards 11
IDW Prüfungshinweis BSI Konkretisierung
Prüfung der gemäß §8a Abs. 1 BSIG Konkretisierung der Anforderungen an
umzusetzenden Maßnahmen die gemäß §8a Absatz 1 BSIG
PH 9.860.2 umzusetzenden Maßnahmen
q Prüfhinweis für Wirtschaftsprüfer q "Orientierungsmaßstab" und "Hilfestellung"
q 100 Kontrollen (Nr. 1-100), basierend auf BSI C5 q 100 Kontrollen (BSI 1-100), angelehnt an IDW PH
q Mit beispielhaften Prüfungshandlungen für q Deutlich erweiterte Kontrolltexte und deskriptive
Angemessenheit und Wirksamkeit Anforderungen
q Methodik und Schwerpunkte für Wirtschaftsprüfer q Mögliche Grundlage für BSIG-Prüfer, wenn kein B3S
(Auftragsannahme, Typen, Urteile ...) oder sonstige Standards anwendbar sind
Link IDW PH 9.860.2 Link BSI Konkretisierung
OpenKRITISBSI Konkretisierung - Angriffserkennung 12
Governance Systeme Schwachstellen
Sicherheitsvorfälle und Auswertung und Tests
BSI 77-79 BSI 80 BSI 95-96
BSI 81-82 BSI 90-94
Prozesse und
Systeme und Methoden zur Regelmäßige Penetrationstests
Verantwortlichkeiten für
systematischen Auswertung und Umgang mit Schwachstellen
Sicherheitsvorfälle
aus OpenKRITIS Angriffserkennung
OpenKRITISGovernance von Angriffserkennung 13
Governance
Sicherheitsvorfälle
BSI 77-79 q Verantwortlichkeiten und Vorgehensmodell (Richtlinien, Anweisungen)
q Bearbeitung von Sicherheitsvorfällen (Personal, Prozesse)
q Dokumentation und Berichterstattung über Sicherheitsvorfälle
BSI 81-82
q Verpflichtung der Nutzer zur Meldung von Sicherheitsvorfällen (SIM)
q Auswertung und Lernprozess (+ Meldungen, Verbesserung)
OpenKRITISSysteme und Auswertung von Logs 14
Systeme
und Auswertung
BSI 80
q Security Incident Event Management (SIEM)
q (Korrelation, Regeln, Beurteilung, Behandlung, SIM-Prozess)
BSI 90-94 q Systematische Log-Auswertung (Richtlinien, Anweisungen, Prozesse)
q Erkennung von Ereignissen auf kritischen Assets (KRITIS-Anlage)
q Protokollierung, Aufbewahrung der Daten
q Besonderer Schutz der Systeme, Konfiguration und Zugänge
OpenKRITISUnd was fehlt? OpenKRITIS
Bedeutung 16
Angriffserkennung
ab 2023 verpflichtend
Gesetz Prüfungen
IT-SiG 2.0 und BSIG-E Nachweise und Standards
q "Systeme zur Angriffserkennung" q Governance Sicherheitsvorfälle
→ Technische Werkzeuge und Prozesse
q Richtlinien, Prozesse, Rolle f. SIM
mit organisatorischer Einbindung
q Systeme zur Erhebung/Auswertung,
q Automatische, kontinuierliche
SIEM und Log-Auswertung
Auswertung vom laufenden Betrieb
q Protokollierung und Dokumentation
q Bedrohungen identifizieren und
q Meldeprozesse
vermeiden
q Geeignete Beseitigungsmaßnahmen
vorsehen
OpenKRITISAblauf der Angriffserkennung 17
Prozesse
Bedrohungen identifizieren
Angriff Angriffserkennung Und nun?
Geeignete Beseitigungsmaßnahmen
Systeme
Security Incident Management
Vorfall
OpenKRITISOrganisatorische Reaktion 18
tw. in BSI 17-19 (BCM 01, 03, 04)
Security Incident IT-Notfall- Krisen-
Angriff Angriffserkennung
Management Management Management
Systeme Prozesse
Reaktiv Krisenstab
Prozesse Rollen
§ Einstufung von Vorfällen § Abläufe zur Bewältigung von
Regeln zu Notfällen im Betrieb Unternehmenskrisen
§ Prozesse zur Bewältigung § Bei Gefahren zur Betriebs-
von Notfällen, Alarmierung kontinuität und Fortbestand
§ Kommunikation und § Einbindung Unternehmens-
Eskalation zur Leitung leitung + Kommunikation
§ Wiederanlauf und § Geübte Abläufe und Rollen
Wiederherstellung
Präventiv BCM
§ Pläne für IT-Notfälle § Pläne für Aus-/Notfälle
§ Priorisierung + IT-Assets § Business Impact, Assets
§ KVP Prozesse (IT) § KVP Prozesse (Betrieb)
OpenKRITISAufbau Erkennung und Reaktion 19
IT-Notfall-
Normative Neuerung Einbettung bisher nur
Management
im Gesetz deskriptiv (Prüfhinweis)
Prozesse
Security Incident
Bei wörtlicher Auslegung
Management
Management
Elementar: Prozesse,
ggf. zu enger Fokus auf
Krisen-
Rollen und Integration
Systeme zur Erkennung Angriffserkennung
(IDS, IPS, SIEM, SOC) zur Bewältigung von
Notfällen und Krisen
(durch Angriffe).
Systeme
Einbindung Leitung und
Betrieb: Pläne, Übungen
Prävention und Entscheidungen
(BCM, IT-SCM) (wer ist betroffen, wer
darf eigentlich X?)
OpenKRITISAusblick OpenKRITIS
The road ahead 2021+ 21
Gesetzliche Grundlage
IT-Sicherheitsgesetz 2.0 Änderungsgesetz BSIG etc.
In Kraft seit Mai 2021
Überarbeitung der KRITIS-Sektoren Entwurf publik seit April
KRITIS-Verordnung 2.0 mit Anlagen und Schwellenwerten Verabschiedung geplant Juni
Definition Sektor Entsorgung mit
KRITIS Entsorgung Anlagen und Schwellenwerten
Weitere Änderungsverordnung?
"Volkswirtschaftliche Bedeutung" –
UNBÖFI Gruppe 2 Methoden und Schwellenwerte
Zusätzliche Rechtsverordnung?
16 Sektoren essential/important Verabschiedung in der EU in 2021
EU NIS2 und RCE 10 Sektoren critical Weiteres Änderungsgesetz?
Einsatz von Angriffserkennung ab Aufbau und Inbetriebnahme bis vor
Prüfzyklus 2023 1.5.2023 verpflichtend den Prüfungen – dann Nachweise
OpenKRITISDiskussion OpenKRITIS
23
Informationen zu KRITIS aus einer Hand:
openkritis.de – Die freie Plattform mit 40+ KRITIS-Artikeln
Fragen bei der Umsetzung?
Ich helfe gern: insignals.net
OpenKRITIS24
OpenKRITIS
Das freie Informationsportal für Kritische Infrastrukturen.
Angriffserkennung im IT-SiG 2.0 – OpenKRITIS-Webinar
Stand: 30. Juli 2021
Version: 1.0
© Copyright Paul Weissmann 2021
Impressum
Paul Weissmann c/o Insignals GmbH
Rheinwerkallee 6
53227 Bonn
https://www.openkritis.de ∙ ISSN 2748-565X
info@openkritis.de ∙ +49 176 58952135
OpenKRITISSie können auch lesen
