ISMS - Für Betreiber kritischer Infrastrukturen stehen mit dem IT-Sicherheitsgesetz einige Pflichten auf der Tagesordnung. Dazu zählt auch, bis 2018 ein Informationssicherheitsmanagement einzuführen. Um mögliche Angriffe schnell zu erkennen und zu melden, ist zudem ein integraler Ansatz wichtig. Eine Lösung kann ein SIEM sein.
Gerade– aber nicht nur wenn es um den Schutz von kritischen Infrastrukturen geht, ist es wichtig, geeignete Vorkehrungen in den Strukturen eines Unternehmens einzuführen. Und zwar, um Sicherheitsvorfälle– ob intern oder extern zeitnah erkennen, bewerten und entsprechend behandeln zu können
Die Anforderung des IT-Sicherheitsgesetzes (IT-SiG), ein Mindestniveau an Informationssicherheit umzusetzen und aufrecht zu erhalten, bedeutet nichts anderes als ein Information Security Management System (ISMS) einzuführen und zu betreiben. Es gibt diverse IT-Sicherheitsstandards, die Unternehmen dabei unterstützen können, diese Anforderung umzusetzen.
Die bekanntesten und am weitesten verbreiteten Standards sind zum einen der IT-Grundschutz des BSI und zum anderen die ISO 27001.
Zudem basiert ein ISMS auf einem Risikomanagement. Das Betreiben eines Risikomanagements wird im IT-SiG gefordert: »Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Infrastruktur steht« (§8a Abs.1 Satz3). Diese Verhältnismäßigkeit der Angemessenheit wird innerhalb eines Risikomanagements ermittelt.
Ergebnisse des Risikomanagements können beispielsweise das Umsetzen von Netzwork-Access-Control-Lösungen (NAC) sein. Sie schützen das Netzwerk vor Eindringlingen und können somit dazu beitragen, die Verfügbarkeit, Integrität und Vertraulichkeit der kritischen Infrastrukturen zu bewahren. Es gibt bereits softwarebasierte NAC-Lösungen, die keinen Austausch von Hardware wie etwa Switches erforderlich machen.
Aus der in §8a Abs.1 Satz1 geforderten »Vermeidung von Störungen der Verfügbarkeit« ergibt sich eine weitere Anforderung: das Betreiben eines Business Continuity Managements. So können beispielsweise Notfallpläne helfen, während eines Krisenfalls die kritischen Infrastrukturen schnellstmöglich wieder aufzubauen.
Eine weitere Forderung innerhalb des Gesetzes ist das Betreiben eines Incident Managements. Diese Forderung ergibt sich aus der Meldepflicht von Sicherheitsstörfällen nach §8b Abs.4 Satz1 des IT-SiG.
Die Anforderung, dass Störungen zu melden sind, setzt zunächst voraus, dass Vorfälle, die zu solchen Störungen führen können, erkannt, bewertet und behandelt werden (Incident Management). Um dem Gesetz Genüge zu tun, müssen solche Vorfälle dann gegebenenfalls an das BSI gemeldet werden.
Hierzu müssen die Betreiber zunächst einmal die Vorfälle erkennen und die Ursachen herausfinden, um sie im Anschluss daran zu bewerten und zu melden. Als Werkzeug hierzu eignet sich ein Security Information and Event Management (SIEM).
Dieses kann dabei helfen, das Ausmaß der Störungen zu reduzieren, indem ein Vorfall schnellstmöglich erkannt wird und durch entsprechende reaktive Maßnahmen die Auswirkungen minimiert werden.
Daher ist ein SIEM besonders für kritische Infrastrukturen unabdingbar. Es sorgt dafür, dass Störungen der kritischen Infrastrukturen beseitigt werden, und dass der definierte Betriebszustand einer Infrastruktur schnellstmöglich wiederhergestellt wird. Um sicherheitsrelevante Vorfälle frühzeitig erkennen zu können, bedarf es demnach einer definierten Vorfallanalyse und -behandlung. Hier hilft das SIEM-System, die Störungen in der IT-Landschaft sichtbar zu machen, indem es etwa nach festgelegten Angriffsmustern sucht.
Es sammelt von sämtlichen Systemen und Komponenten der IT-Infrastruktur die Protokolldaten ein, wertet diese aus und schlägt Alarm, sobald eine verdächtige Kombination von Ereignissen erkannt wurde. Hauptziel ist dabei, Gefährdungen und Angriffe auf die Informationstechnik zu entdecken und abzuwehren, bevor ein Schaden entsteht, der das Geschäft des Unternehmens beeinträchtigt oder zum Erliegen bringt.
Um eine SIEM-Lösung in Bezug auf das IT-SiG einzuführen, wäre der erste Schritt, herauszufinden, welche Daten und welche IT-Funktionen als kritisch im Sinne des Gesetzes zu bewerten sind. Diese Risikobeurteilung ist ebenfalls Grundlage des Risikomanagements. Selbstverständlich sind die Betreiber kritischer Infrastrukturen gut beraten, hier auch die kritischen Geschäftskomponenten eines Unternehmens einzubeziehen, die nicht vom Gesetz abgedeckt werden.
Der zweite Schritt ist es, diese Werte durch eine gute und effiziente IT-Sicherheitsarchitektur zu schützen. Hier kommen unter anderem alle präventiven Maßnahmen wie Anti-Viren-Systeme, Firewalls, Intrusion-Prevention-Systeme, Zugriffsschutz und Rollenkonzepte zum Einsatz. Dieser Schritt ist ein Teilbereich der Risikobehandlung und ist ebenfalls innerhalb des Risikomanagements zwangsläufig durchzuführen.
In der Regel ist dieser Schutz nicht lückenlos, zumal die Angreifer fortlaufend neue Methoden entwickeln, um Angriffe durchzuführen, neue Schwachstellen in den vorhandenen IT-Systemen zu entdecken oder die Mitarbeiter als Einfallstor in das Unternehmen zu nutzen.
Hier setzt im dritten Schritt ein SIEM an: Alle IT-Geräte werden so konfiguriert, dass die Ereignisse, die Hinweise auf Angriffe geben, aufgezeichnet und an das System zur Auswertung weitergeleitet werden. Ein Beispiel soll zeigen, wie so eine Lösung schützt, während die Prävention versagt: Schadsoftware gelangt etwa per Phishing-Mail auf den Rechner eines Anwenders und übernimmt unbemerkt die Kontrolle. Die Anti-Viren-Software findet nichts, da für diesen Schädling noch keine Signatur vorlag.
Damit die Schadsoftware weiß, was sie auf dem Rechner tun soll, kommuniziert sie mit einem Server im Internet. Diese Kommunikation zeichnet die Firewall auf, sendet das Ereignis ans SIEM, wo dieses dann anhand einer Liste bekannter Server feststellt, dass der Zielserver »böse« ist und Alarm schlägt. Um den Schaden abzuwehren, können nun geeignete Maßnahmen eingeleitet werden.
Zudem müssen Betreiber kritischer Infrastrukturen im Rahmen des IT-SiG auch Nachweise verschiedener Compliance-Anforderungen erbringen. Ein SIEM unterstützt dies. Aufgrund der Reporting-Fähigkeiten der Lösung ist quasi auf Knopfdruck der aktuelle Sicherheits- und Compliance-Status generierbar, und geeigneter Input für diverse Audits verfügbar.
SIEM bildet somit einen integralen Ansatz eines ISMS mit dem Ziel, regelbasiert und kontinuierlich die Standards für Sicherheit, Compliance und Qualität des IT-Betriebs zu verbessern. Es unterstützt die Betreiber kritischer Infrastrukturen einerseits dabei, die Meldepflicht des IT-Sicherheitsgesetzes zu erfüllen und andererseits, ein höheres Sicherheitsniveau für alle Geschäftsprozesse zu erreichen.
Jennifer Lüken & Stephan Berentzen (Consecur)
