IDS / KRITIS
KRITIS 2.0 - Wie Unternehmen die IDS-Pflicht mit Managed Service Providern erfüllen können
Cyber-Security-Richtlinien
Von Christian Scholz, Senior Consultant Network & Security, Axians Networks & Solutions
Durch KRITIS 2.0 haben sich die Vorgaben bezüglich Cyber Security für KRITIS Unternehmen erweitert und verschärft. Es müssen sich nun auch Unternehmen mit dem Thema befassen, die früher nicht zu KRITIS gehört haben. Obligatorisch gewordene IDS (Intrusion Detection Systeme) spielen dabei eine wichtige Rolle im Cyber-Security-Szenario. Doch vielen dieser Organisationen sind die neuen rechtlichen Verpflichtungen noch gar nicht bewusst. Christian Scholz, Senior Consultant Network & Security bei Axians Networks & Solutions, erläutert alle relevanten Änderungen der Rechtslage und wie Managed Services Provider dabei helfen, die verschiedenen Sicherheitssysteme eines Unternehmens KRITIS 2.0-konform miteinander zu verknüpfen.
Am 19. Mai 2021, dem Tag der Inkraftsetzung des neuen IT-Sicherheitsgesetzes 2.0, rollte eine Welle des Unmuts durch die IT-Welt in Deutschland: Ausweitung der betroffenen KRITIS-Sektoren – vor allem auf Abfallentsorgung und andere Unternehmen im besonderen öffentlichen Interesse (UBI) – strengere Auflagen für die Betreiber bezüglich den Sicherheitssystemen und der Meldepflicht und eine noch stärkere Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI). Für alte und neue KRITIS-Betreiber bedeutet die Gesetzesanpassung also einen erheblichen Mehraufwand. Ziel des Gesetzgebers ist dabei, kritische IT-Infrastrukturen gegen Angriffe aus dem Cyberspace abzusichern. Die größte Änderung von KRITIS 2.0 ist die Verpflichtung zur Einführung von IDS. Ab Veröffentlichung dieses Gesetzes gilt dabei eine einjährige Frist, um diese Maßnahmen initial umzusetzen. Vielen kleineren und mittleren Unternehmen ist jedoch noch gar nicht bewusst, dass sie nun ebenfalls unter die KRITIS-Kriterien fallen und den neuen Cyber-Security-Ansprüchen schleunigst nachkommen müssen. Die Sanktionen im Fall einer Nichteinhaltung der neuen Auflagen haben es dabei in sich: KRITIS-Betreiber, die gegen die neuen Sicherheits- und Meldeauflagen verstoßen, müssen seit dem 1. Januar 2022 mit Geldstrafen von bis zu 20 Millionen Euro rechnen.
Vor allem für Unternehmen, die neu in den KRITIS-Bereich hineinfallen oder mit strapazierten IT-Abteilungen und Fachkräftemangel kämpfen, ist deshalb interessant, was IDS genau ausmacht, und wie sie die neuen Sicherheits-Richtlinien in Zusammenarbeit mit Managed Service Providern einfach umsetzen können.
IDS – Funktionsweise in der weiteren Sicherheitsarchitektur
Das Intrusion Detection System (IDS) ist ein passives Erkennungssystem, um Cyberangriffe und andere relevante Sicherheitsvorfälle automatisiert im Netzwerk aufzuspüren und zu melden.
IDS analysiert zu diesem Zweck ständig den Netzwerk-Traffic. Dem System ist es dabei möglich, die Logs von Firewalls, Endpoint Clients, Malware Scannern und anderer Quellen sowie das Kommunikationsverhalten der Geräte untereinander zu untersuchen. Diese Logs gleicht es dann mit bestimmten Angriffsmustern ab, die vorher im System hinterlegt wurden. Im Bedarfsfall wird automatisch Alarm gegeben. Die abzugleichenden Angriffsmuster können dabei entweder vom Hersteller direkt kommen oder selbst erstellt und hinterlegt werden. Da es aber wenig zweckdienlich ist, Vorfälle nur zu erkennen, wird IDS in der Regel mit Intrusion Prevention Systemen (IPS) und einem Security Information and Event Management System (SIEM) verknüpft. Eine solche kombinierte Infrastruktur kann dann für regelmäßig auftretende Angriffsmuster automatisierte Sicherheitsreaktionen hinterlegen, beispielsweise wäre es möglich, bei einem häufig auftretenden Angriffsvektor dynamisch eine Firewall-Regel einzuführen. Somit wird ein solcher Angriff in Zukunft ganz automatisch abgewehrt.
Ablauf einer IDS-Einführung
Theoretisch teilt sich die Einführung eines IDS in 7 Phasen – von der ersten Bedarfsfeststellung bis hin zu Betrieb und Revision. Zu den einzelnen Phasen und Prozessen gibt es dabei einen nützlichen Leitfaden des BSI .
In der Praxis ist es ratsam, erst einmal die vorhandene Infrastruktur genauer zu analysieren. Gibt es etwa Altgeräte zu ersetzen, um IDS und Hersteller-Komptabilität für Logs zu gewährleisten? Wo sollen Detection und Enforcement Points gesetzt werden? Je nach Anzahl der Geräte und der Komplexität des Netzwerkes benötigt dabei die Umstellung mehr Zeit, jedoch sollten Unternehmen nie weniger als ein Jahr Vorlauf einplanen.
Für Integration und Betrieb werden schon vorab fest definierte Prozesse benötigt: Patchmanagement etwa, um die Geräte immer up to date zu halten, die ständige Pflege von Software-Repositorien und das Verwalten von Nutzungsrechten. Feste Milestones und kleine Testgruppen im Vorfeld helfen dabei, den Informationsfluss der Überwachungssysteme zu überprüfen und gegebenenfalls zu justieren, damit Mitarbeiter:innen nicht durch falsche Alerts überlastet werden. Während des Live-Betriebs sollte dann das System ständig bezüglich Erweiterungsmöglichkeiten überprüft werden.
Zuliefererketten und BSI-Schnittstellen
Wichtig für Unternehmen ist, dass die Verpflichtung zu KRITIS 2.0 nicht nur das Unternehmen selbst sondern auch die ganze Zuliefererkette betrifft. Zwar ist es möglich, bei der Umsetzung der Maßnahmen auf mehrere Partner zurückzugreifen, jedoch sollte unbedingt sichergestellt werden, dass für jeden Punkt der Lieferkette ein ständiger Security-Kontakt für das BSI erreichbar ist. Diese Schnittstelle wird auch regelmäßig für den Ernstfall getestet. Denn im Falle eines relevanten Sicherheitsverstoßes muss das BSI in der Lage sein, alle relevanten Daten schnell von den Unternehmen abzufragen. Die jeweilige Meldefrist für Vorfälle ist dabei natürlich einzuhalten. Das BSI kann sich durch diese Softwareschnittstelle direkt in den Analyseprozess einklinken und wichtige Fragen zum Sicherheitsvorfall klären, wie etwa den genauen Angriffszeitpunkt, die betroffenen Systeme und die vorhandenen Sicherheitsmaßnahmen.
Use Cases für Aufbau und Betrieb von IDS in Zusammenarbeit mit Managed Services Providern
Bei einem Sicherheitsvorfall in einem KRITIS-Unternehmen sind nicht nur das Unternehmen selbst sondern oft ganze Stadt- und Landesteile betroffen. Der Ausfall von Wasser- oder Energieversorgung oder das Eindringen in die Netzwerke der Rüstungsindustrie gefährdet nicht nur den Betrieb einer Firma, sondern die ganze Gesellschaft. Zwei Use Cases zeigen, wie IDS in Zusammenarbeit mit Managed Service Providern umgesetzt wurde, um kritische Infrastrukturen effektiv zu schützen.
KRITIS Netzwerksicherheit bei einem überregionalen Wasserversorger
Ein Wasserversorger wollte die gesamte Hardware und 120 Außenstationen erneuern. Die Modernisierung sollte bei laufendem Betrieb durchgeführt werden, um die Wasserversorgung nicht zu unterbrechen. Der Wasserversorger entschied sich bei der Modernisierung für Systeme zur “Intrusion Prevention und Advanced Malware Protection”. Als erster Installationsschritt wurde eine Basisinfrastruktur bereitgestellt, um von Beginn an eine Sicherheit für alles Dienste zu garantieren. Dann wurde das Windows-System um die Basis herum aufgebaut. Die Sicherheitsstruktur verläuft von innen nach außen mit abnehmender Priorität. Den Kern bildet die Ankopplung an die Außenstationen, die zentrale Firewall und das Prozessleitsystem. In der nächsten Zone befinden sich die Anlagekomponenten und die äußere Schale realisiert den Anschluss ans Internet. Die Zonenübergänge werden von ein- oder zweistufigen, dauerhaft aktiven Firewalls gesichert. Zum Einsatz kamen Produkte von Cisco und Fortinet. Der Wasserversorger betreibt nun ein modernes, in alle Richtungen abgesichertes Prozessleitsystem, das deutlich mehr Funktionalität bietet.
Ein vernetztes und sicheres KRITIS-Leitstellensystem
Aufgabe und Ziel war die komplette Modernisierung der Netzleitstelle für Strom- und Gasnetze, inklusive sämtlicher Netz- und Firewall-Strukturen. Dabei sollte die Compliance mit KRITIS und den Anforderungen eines Informationssicherheits-Managementsystems (ISMS) sichergestellt werden. Gelöst wurde diese Aufgabe mit Aufbau, Betrieb und Absicherung einer Netzwerk- und Sicherheitsinfrastruktur für ein KRITIS-Leitstellensystem und der standortübergreifenden Einführung eines mehrstufigen Firewall-Systems. Dazu kam noch ein separiertes Out-of-Band-Management (OOBM). Ein Managed Service Provider wie beispielsweise Axians übernimmt nach Abschluss der Umstellung eine ständige Betreuung der Systeme rund um die Uhr. Somit wurden nicht nur alle KRITIS-Kriterien erfüllt, sondern auch Zeitersparnis erreicht durch Synergieeffekte und effektive Moderation zwischen den einzelnen Gewerken.
Fazit
IDS ist nun Pflicht für KRITIS-Unternehmen, jedoch ist IDS als automatische Maßnahme für Gefahrenerkennung nur ein Teil der Sicherheitsarchitektur. Um dabei unnötigen Aufwand wegen verschiedener Sicherheitsprovider und Lösungen zu vermeiden, können alle Sicherheitslösungen elegant innerhalb eines SIEM kombiniert werden. Für Unternehmen, die mit Fachkräftemangel kämpfen oder deren IT-Abteilungen ohnehin bereits ausgelastet sind, bietet sich die Zusammenarbeit mit einem Managed Service Provider an, der Planung, Aufbau und Betreuung des KRITIS-konformen Sicherheitsnetzwerkes übernimmt. Somit werden IT-Abteilungen entlastet bei gleichzeitiger Garantie des Gesamtüberblicks.
Über den Autor
Christian Scholz ist seit 2011 in der ICT-Branche tätig und seit 2021 Senior Consultant bei der Axians Networks & Solutions. Zu seinem Aufgabenbereich zählen die Beratung, Konzeption und Implementierung von sicheren Infrastrukturen. Er verfügt dank zahlreicher Zertifizierungen über exzellente Kenntnisse in den Bereichen Security, Campus-Netzwerke, Datacenter und IoT. 2018 wurde er als erster Deutscher in den Botschafterkreis von Juniper Networks aufgenommen und baut seine Expertise stetig weiter aus.