2023-02_kes_Special Angriffserkennung

Verlagsbeilage, April 2023 Die Zeitschrift für Informations-Sicherheit m i t L e s e p r o b e a u s d e m S p e c i a l H a u p t h e f t Special Systeme im Blick: Was Monitoring heute können muss S. 4 MDR oder eigenes Team: Geht der Trend zum Machen- lassen? S. 8 Angriffser- kennung und Reaktion Produkte und Services

Mitherausgeber Inhalt Was Security-Monitoring heute können muss IT-Fachjargon erschwert C-Suite das Verständnis für aktuelle Bedrohungen Warum Unternehmen und KRITIS-Betreiber auf MDR setzen sollten Seite 4 Seite 6 Seite 8 Prävention durch Perspektiv- wechsel Seite 10 Jedes Unternehmen braucht Systeme zur Angriffserken- nung und -abwehr KRITISche Angelegenheit: Angriffserkennung für IT und OT Cyberattacken sichtbar machen Wie sich Angriffserkennung nach BSI-Vorgaben umsetzen lässt Ich sehe was, das Du (noch) nicht siehst! Seite 12 Seite 14 Seite 17 Seite 20 Seite 22 Anomalieerkennung für kritische Infrastrukturen und die Industrie Seite 25 Worauf es bei der Erkennung von Angriffen ankommt Seite 28 Gesetzliche KRITIS-Vorgaben sind bis zum 1. Mai 2023 zu erfüllen Impressum Seite 31 Seite 33 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023 3

Management und Wissen Was Security-Monitoring heute können muss Das Monitoring der IT-Sicherheit ist ein wichtiger Eckpfeiler in der Security-Strategie jeden Unternehmens. Richtig aufgesetzt, erlaubt es nicht nur unberechtigte Zugriffe und Angriffe zeitnah zu erken- nen, auch Compliance-Anforderungen lassen sich damit schnell und einfach prüfen. Doch trotz fortschrittlicher Technologie und professioneller Sicherheitslösungen bleibt das Monitoring eine große Herausforderung für viele Unternehmen. Zu oft reißen lü- ckenhafte Überwachung und mangelnde Verknüpfung von Sicher- heitsinformationen blinde Flecken in die Kontrolle. Worauf ist also bei der Auswahl einer Monitoring-Lösung zu achten? Von Stefan Mutschler, freier Fachjournalist für AMPEG Die IT-Systeme in Unternehmen werden im- mer komplexer und vernetzter. Neue Technologien wie Cloud-Computing, mobile Geräte und das Internet of Things (IoT) stellen neue Anforderungen an das Moni- toring der IT-Sicherheit. Es wird zunehmend schwieriger, sämtliche Ereignisse im Netzwerk zu erfassen und zu analysieren. Die steigende Anzahl an Datenquellen und -formaten erschwert die Integration und Korrelation von Informationen. IT-Netzwerken jederzeit überprüfen und sicherheitsre- levante Fehlkonﬁgurationen in Echtzeit erkennen. Das macht die operative Sicherheit zu einer messbaren und steuerbaren Größe. Somit lassen sich Sicherheitslücken und Handlungsbedarfe zeitnah identiﬁzieren. Diese Si- cherheitsmaßnahmen können langfristig analysiert und aktiv gesteuert werden, um dem Risikoappetit des Unter- nehmens gerecht zu werden. Dieses Verfahren wird als Security-Level-Management (SLM) bezeichnet. It doesn‘t matter until you measure it. And if it doesn‘t matter, you shouldn‘t measure it. Ein weiteres Problem beim Monitoring der IT-Sicherheit ist die fehlende Integration von Si- cherheit und Compliance. Viele Unternehmen sehen die Einhaltung gesetzlicher Vorschriften als separate Aufgabe an, die nichts mit der IT-Si- cherheit zu tun hat. Das führt dazu, dass Sicherheitsmaßnahmen oft nur auf die Einhaltung von Compliance-Vorgaben ausgerich- tet sind und nicht auf die tatsächlichen Sicherheitsrisiken. Auch mit der Cloud kommen häuﬁg unterschätzte Risiken ins Unternehmen. Oft fehlt es an Transparenz und Kon- trolle über die Cloud-Infrastruktur und die Daten, die in der Cloud gespeichert werden. Das macht es schwierig, eine umfassende Sicht auf die Sicherheitslage des Unter- nehmens zu bekommen. Sicherheitsstatus kontinuierlich im Griff: SLM statt SIEM SLM unterscheidet sich von reaktiven Security-In- formation-and-Event-Management-(SIEM)-Lösungen, die durch die Korrelation von zentral gesammelten Log-Daten Sicherheitsvorfälle nachträglich erkennen und den IT-Be- trieb beim Troubleshooting unterstützen. Im Gegensatz dazu erkennt SLM mögliche Abweichungen von Vorgaben und Sicherheitslücken proaktiv, bevor ein Sicherheitsvor- fall eintritt. Dadurch kann die Angriffsﬂäche rechtzeitig minimiert werden. Korrekturmaßnahmen lassen sich mittel- bis langfristig umsetzen. SLM passt perfekt zu den einschlägigen Standards und Normen wie PCI DSS (Anfor- derungen 5 und 6), BSI Kriterienkatalog C5 (OPS und PSS) und der ISO 27001, die auf dem Plan-Do-Check-Act-Zyklus basieren. Mit seinem Ansatz, Abweichungen und Sicher- heitslücken aufzuzeigen, bietet SLM eine umfassende und präventive IT-Sicherheitslösung. Schneller Überblick über die Sicherheitslage Mit kontinuierlichem Monitoring können CISOs, beziehungsweise IT-Teams den Sicherheitsstatus von Die Fragen, die Unternehmen zur Feststellung der Sicherheitslage in ihrer IT haben, folgen einer typischen Charakteristik. Vieles sind Standardfragen, die sich häuﬁg 4 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023

Sicherheitsniveaus zu erhalten. Damit das gelingen kann, ist es wichtig, dass möglichst viele Hersteller von Sicherheitssystemen mit dem Monitoring verbunden sind. Praktischerweise werden dafür Konnektoren oder Kollektoren eingesetzt. Sie speisen die Informationen in das Monitoring ein. Großer Vorteil solcher Kollektoren: Flexibel je nach Bedarf ergänzt, können blinde Flecken im Monitoring ausgemerzt werden. Die gesammelten Informationen aus verschiede- nen Bereichen werden für das übergreifende Monitoring und Reporting sowie für die Datenkorrelation verar- beitet. Ein Beispiel: Sind das Active Directory (AD), ein Update-Management, ein Virenschutz und ein Schwach- stellenscanner an das Monitoring angebunden, können durch die Korrelation der Informationen unter anderem jene Rechner ermittelt werden, die entweder keinen Vi- renschutz besitzen oder nicht in das Update-Management integriert sind. Globale Sicht: Vogelperspektive mit Lupenfunktion Was im Monitoring keinesfalls fehlen sollte: ein Regelwerk, das den Sicherheitsstatus nach den in- dividuellen Vorgaben des Unternehmens bewertet. Die Darstellung des ermittelten Sicherheitsstatus erfolgt am einfachsten mittels einer Ampelfunktion. Neben Torten- diagrammen, die durch Listen ergänzt werden, ist eine Übersichtslandkarte, welche die Sicherheitsinformatio- nen in einer geograﬁschen Darstellung präsentiert, eine sinnvolle Ergänzung. Eine Sicherheitsinformationskarte ermöglicht es, Schwachpunkte im Netzwerk schnell und effektiv zu identiﬁzieren. Ein Klick auf eine geograﬁsche Region oder einen Standort zeigt detaillierte Informati- onen zum aktuellen Status des Netzwerks an. Die Karte trägt ebenfalls dazu bei, die Wirksamkeit der IT-Sicherheit zu erhöhen. Fazit Das Monitoring der IT-Sicherheit ist ein unver- zichtbarer Bestandteil des Sicherheitsmanagements in Unternehmen. Es dient dazu, mögliche Angriffspunkte zu erkennen, zu analysieren und zu bekämpfen. Unterneh- men, die auf ein professionelles Monitoring der IT-Sicher- heit setzen, können wirtschaftliche Schäden vermeiden und gesetzliche Anforderungen erfüllen. n wiederholen. Daher ist es sehr hilfreich, wenn ein Moni- toringsystem eine möglichst große Zahl der entsprechen- den Auswertungen gleich mitbringt, etwa in Form von Landkarten, Listen und Diagrammen. Sie liefern direkt Antworten auf wichtige Fragen, wie zum Beispiel wo ak- tuell das größte Risiko im Netz besteht, welche Lokationen oder Geschäftsbereiche regelkonform arbeiten oder eben nicht, welchen Sicherheitsstatus kritische Systeme haben, ob Schwachstellen erfolgreich geschlossen wurden und ob sich die Sicherheitslage langfristig verbessert hat. Die Liste der Auswertungen lässt sich beliebig erweitern. Weitere typische Analysen stellen etwa fest, wel- che mobilen Geräte nicht regelkonform eingerichtet sind, wie gut das Sicherheitsniveau der Systeme aus der Produk- tion ist, welche Netzwerkgeräte eine veraltete Firmwa- re-Version haben, welche Updates auf welchen Systemen noch nicht installiert wurden und welche Schwachstellen aus dem CVE-Catalogue davon betroffen sind sowie vieles mehr. Wenn das System die ermittelten Daten über einen längeren Zeitraum speichert, lassen sich Langzeitanalysen durchführen, idealerweise über mehrere Jahre. Das erleich- tert die Optimierung von Prozessen enorm. Ein großer Pool an Standardauswertungen erlaubt es, Analysen ohne manuelles Einstellen von Sicherheitsin- formationen zu starten. Die Analyse des Sicherheitsstatus etwa kann so durch das Hinzufügen der Auswertungen an der Managementkonsole sofort beginnen. Individuelle Anpassungen sollten durch die Anpassung von Grenz- und Schwellenwerten, Kategorien, Filtern und Unternehmens- standorten möglich sein. Damit wird der Aufwand zur Erstellung von detaillierten Auswertungen minimiert. Ein zentrales Management-Dashboard erleichtert die Aufgabe zusätzlich. Der Nutzen wird auch schnell deutlich, wenn bei- spielsweise Wirtschaftsprüfer sich ankündigen, um einen Blick auf das Sicherheitsniveau eines Unternehmens zu werfen. Wo früher Hektik und Nervosität ausbrach, kön- nen Sicherheitsteams die gefragten Informationen sofort und in anschaulicher Form anbieten. Auch Reports lassen sich schnell und zielgruppengerecht erstellen. All dies erleichtert Audits erheblich. Auf europäischer Ebene wird besonders durch die NIS-2-Richtlinie (IT-SiG 2.0) auf die Auswertung des Sicherheitsstatus auf Basis der Erfassung aller technischen Komponenten hingewiesen. Wie system- und herstellerüber- greifende Korrelation funktioniert Wichtig ist, dass die Analysen übergreifende und herstellerunabhängige Informationen aus verschie- denen Sicherheitsbereichen bieten. Dadurch können Korrelationen zwischen diesen Informationen hergestellt werden, um eine übergreifende Aussage zum Stand des © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023 5

Management und Wissen Sprechen Sie Cybersecurity? IT-Fachjargon erschwert C-Suite das Verständnis für aktuelle Bedrohungen Entscheider sind sich bewusst, dass Cyberangriffe die größte Bedrohung für Unternehmen darstellen, geht aus einer aktuellen Kaspersky-Umfrage hervor. Allerdings schreckt der schwierige IT-Fachjargon die Führungsetage ab. Von Waldemar Bergstreiser, Kaspersky Wissen Entscheider in europäischen Unterneh- men mit welchen Cyberbedrohungen sie konfrontiert werden und wie sie darauf richtig reagieren? Diese Frage stellte eine aktuelle Studie von Kaspersky. Danach sehen 47 Prozent der Entscheider in Deutschland Cyberangrif- fe –- neben wirtschaftlichen Faktoren – als die größte Bedrohung für ihr Unternehmen. Die Umfrage, die im September 2022 erstellt wurde, zeigt auch, dass Cyber- angriffe in Deutschland immer weiter zunehmen. So waren ein Viertel (26 Prozent) der mittelständischen und fast zwei Drittel (59 Prozent) der großen Unternehmen in den vergangenen zwölf Monaten mit mehr Angriffen konfrontiert. Um sich über die neuesten Bedrohungstrends zu informieren, nutzt daher mehr als die Hälfte (55 Pro- zent) der Entscheider in deutschen Unternehmen private Threat-Intelligence-Dienste. Allerdings setzen ebenso viele (53 Prozent) auch auf öffentliche Informationsquel- len wie aktuelle Nachrichten, Branchenblogs oder sogar soziale Medien. Hürde für Threat Intelligence In der Studie zeigten sich jedoch auch Heraus- forderungen für das Verständnis und die Nutzung von Ein Ergebnis der Umfrage (Bild: Kaspersky) Threat-Intelligence-(TI)-Services. Für fast die Hälfte (46 Prozent) des C-Levels in Deutschland stellen Fachjargon und Branchenbegriffe derzeit die größte Hürde für Cy- bersicherheit dar – noch vor Budget-Restriktionen (44 Prozent). Folgende Begriffe sind unter anderem für die Führungsriege verwirrend: ––——— Malware (40 Prozent) ––——— Zero-Day-Exploit (40 Prozent) ––——— Phishing (39 Prozent) ––——— Ransomware (38 Prozent) ––——— APTs (36 Prozent) Wenig überraschend in diesem Zusammenhang: Technischerer Fachjargon wie IoC (Indicator of Compro- mise, 56 Prozent), YARA-Regeln (54 Prozent) oder TTPs (Tactics, Techniques, and Procedures – 54 Prozent) wird ebenfalls häuﬁg nicht verstanden. Diese Ergebnisse deuten darauf hin, dass eine fehlende Priorisierung von Cybersicherheit im höheren Management unter anderem auch auf Verständnisschwie- rigkeiten seitens der Entscheider zurückzuführen sein könnte. Für einen dauerhaft funktionierenden und vor allem sicheren Betrieb ist es äußerst wichtig, dass relevante Vorfälle der Chefetage verständlich und klar mitgeteilt werden. Cybersicherheit darf nicht an der Kommunika- tion scheitern. In dem Report zur Studie stellt Kaspersky neben den weltweiten Umfragezahlen auch ein kleines Cyber-Glossar zur Verfügung. n Der Report „Sprechen Sie Cybersecurity?“ ist unter dem Short- link kas.pr/ti-report kostenfrei zum Download erhältlich. Für die Studie wurden 1800 Entscheidungsträger in großen Unternehmen mit mindestens 1000 Mitarbeitern in 12 Län- dern befragt, 100 der Befragten stammen aus Deutschland, 50 jeweils aus der Schweiz und Österreich. 6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023

Allgeier CyRis: Ihr Ansprechpartner für Sicherheit in der IT und OT KEEP SAFE. KEEP WORKING. KEEP GROWING. Mehr Schutz für Ihre Daten und Informationen Cyberangriﬀ e: DIE Bedrohung des 21. Jahrhunderts. Allgeier CyRis unterstützt Sie umfassend bei der Planung und Umsetzung Ihrer CYBERSICHERHEIT. SCAN ME Allgeier CyRis GmbH · Hans-Bredow-Straße 60 · 28307 Bremen Telefon +49 (0) 421 438 41 875 · E-Mail: info@allgeier-cyris.de www.allgeier-cyris.de

Management und Wissen Managed-Detection-and-Response Warum Unternehmen und KRITIS- Betreiber auf MDR setzen sollten Cyberangriffe auf Unternehmen jeder Größe nehmen zu. Auch vor kritischen Infrastrukturen machen Hacker keinen Halt mehr. Um sich zu schützen, brauchen Organisationen heute nicht nur eine gute Abwehr, sondern auch eine leistungsfähige Detection and Response. Wie ge- lingt es, diese trotz Fachkräftemangels und angespannten Budgets zu etablieren? Von Wolfgang Kurz, indevis Seit Beginn des russischen Angriffskriegs auf die Ukraine ist die IT-Sicherheitslage so angespannt wie nie zuvor. Das Bundesamt für Sicher- heit in der Informationstechnik (BSI) ruft zu erhöhter Wachsamkeit auf und warnt besonders vor Cyberan- griffen auf kritische Infrastrukturen. Erst Ende Januar kam es zu zahlrei- chen DDoS-Attacken durch die russi- sche Hackergruppe Killnet. Betroffen waren vor allem Flughäfen, Finanz- dienstleister und der Online-Auftritt der Bundesregierung. Ransomeware- Attacken trotz hohem Schutzniveau Selbst Unternehmen und Organisationen, die bereits in mo- MDR-Schaubild (Quelle: indevis) derne Security-Systeme investiert haben, sind nicht mehr vor Angriffen mit schwerwiegenden Folgen gefeit. Das zeigt etwa die Attacke auf das Klinikum Lippe im vergangenen November: Eine internationale Ha- ckergruppe verschlüsselte Daten und legte große Teile der IT-Infrastruktur lahm. Dabei war das Klinikum zum Zeitpunkt des Angriffs eigentlich gut geschützt und hatte ein hohes Sicherheitsniveau. Die Firewall war „scharf“ und das Netzwerk seg- mentiert. Dank Unterstützung des Managed-Security-Service-Providers indevis konnte das Klinikum den Cybervorfall zwar schnell bewälti- gen, er zeigt jedoch, wie wichtig es ist, neben defensivem Schutz auch verstärkt in die Angriffserkennung zu investieren. Denn Cyberkriminelle gehen heute hochprofessionell vor und setzen moderne Technologie ein, um Sicherheitsmaßnahmen auszuhebeln. So gelingt es ihnen, lange Zeit unbemerkt zu bleiben, IT-Umgebungen auszuspionieren und sensible Daten abzugreifen. Häuﬁg wird ein Vorfall erst dann entdeckt, wenn es bereits zu spät ist und Systeme verschlüsselt sind. Angriffserkennung in Security-Infrastruktur integrieren Auch der Gesetzgeber hat erkannt, wie wichtig Systeme zur Angriffserkennung sind. Für KRI- TIS-Betreiber werden sie ab Mai 2023 Pﬂicht – so schreibt es das IT-Si- cherheitsgesetz 2.0 vor. Doch auch unabhängig davon gilt für alle Un- ternehmen: Sie müssen in der Lage sein, Security-Daten in der gesamten IT-Landschaft zu sammeln, sinnvoll zusammenzuführen und zu analysie- ren – nur so sind sie für den Ernstfall gerüstet und können Systemausfälle verhindern. Dafür eignen sich Lösungen wie Extended-Detecti- on-and-Response (XDR), Security-In- formation-and-Event-Management (SIEM) und Security-Orchestration, Automation and Response (SOAR). Allerdings sind solche Systeme teuer, und es reicht auch nicht aus, die Technologie anzuschaffen – man muss sie richtig konﬁgurieren, die 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023

Logquellen anbinden und pﬂegen. Das erfordert Expertenwissen und eine kontinuierliche Betreuung. Die größte Herausforderung aber besteht darin, die Warnmeldungen der Se- curity-Lösungen zu überwachen, zu analysieren und nachzuverfolgen. Sie geben täglich Hunderte von Alerts aus, von denen ein Großteil False Positives sind. Security-Teams müssen in der Lage sein, in diesem Grundrauschen die Hinweise zu erkennen, die auf tatsächliche Bedro- hungen hindeuten. Werden Anzei- chen für einen Angriff identiﬁziert, ist eine tiefere Untersuchung erfor- derlich. Dafür braucht man spezia- lisierte Sicherheitsanalysten, die auf dem Arbeitsmarkt heiß begehrt sind. Ein eigenes SOC ist meist zu teuer All diese Aufgaben finden üblicherweise in einem Security-Ope- rations-Center (SOC) statt. Doch ein solches SOC zu betreiben, ist für kleinere und mittelständische Un- ternehmen in der Regel zu teuer. Sie leiden unter dem Fachkräftemangel, ﬁnden nur schwer Security-Experten und müssen gut mit ihren Ressourcen haushalten. Für einen effizienten SOC-Betrieb nach neuestem Stand der Technik braucht man ein SOAR, das grundlegende Security-Analysen automatisiert durchführt. Eine sol- che Automatisierung ist wichtig, um schnell zu reagieren. Denn auch Cy- berattacken erfolgen meist automa- tisiert. Manuelle Security-Analysen können mit dieser Geschwindigkeit nicht Schritt halten. SOAR-Lösun- gen sind allerdings hochpreisig und komplex. Allein sie einzurichten, dauert bis zu sechs Monate und bindet während dieser Zeit vier Mitarbei- ter. Im laufenden Betrieb muss das Security-Team dann die Playbooks, anhand derer die Automatisierung funktioniert, kontinuierlich an aktuelle Bedrohungen anpassen. In ihnen sind Logiken hinterlegt, die das SOAR abarbeitet, um etwa einen Ransomware-Angriff zu er- kennen. Der Trend geht zu MDR Statt selbst in ein SOAR zu investieren, Security-Analysten einzustellen und ein eigenes SOC zu betreiben, entscheiden sich immer mehr Unternehmen für Managed-Detection-and-Response (MDR). Ein spezialisierter Dienstleis- ter stellt dann die Security-Techno- logie bereit, konﬁguriert sie, bindet die Logquellen an und kümmert sich um die Pﬂege der Playbooks. Außerdem beschäftigt er ein Team aus Security-Spezialisten, die die Warnmeldungen überwachen und Bedrohungen genauer untersuchen. Falls Handlungsbedarf besteht, in- formieren die Experten den Kunden und unterstützen ihn dabei, schnell Gegenmaßnahmen zu ergreifen. Bei Bedarf ziehen sie auch Partner aus der IT-Forensik hinzu. Gerade diese Unterstützung im Ernstfall ist enorm wichtig. Denn wenn es tatsächlich zu einem Cyberangriff kommt, liegen die Nerven blank und jede Minute zählt. Dann brauchen Unternehmen einen verlässlichen Partner an ihrer Seite, der sofort zur Stelle ist und ihnen hilft, die richtigen Entschei- dungen zu treffen. So führen Unternehmen MDR ein Bei der Wahl des Dienstleis- ters sollten Unternehmen darauf achten, dass er auf Managed-Se- curity-Services spezialisiert ist und über ausreichend viele erfahrene Analysten verfügt. Außerdem sollte er führende Security-Technologie einsetzen. Diese muss normalerweise mit dem eigenen Stack kompatibel sein, denn nicht jedes SOAR arbeitet mit den Endpunkt-Security-Lösun- gen jedes Herstellers zusammen. Von Vorteil ist es daher, mit einem Dienstleister zusammenzuarbeiten, der mit einer herstellerunabhän- gigen Security-Operations-Suite wie Google Chronicle im Hinter- grund agiert. An das cloudnative SIEM- und SOAR-System lassen sich die Log-Quellen unterschiedlicher Hersteller unkompliziert per Pro- grammierschnittstelle (API) und Syslog integrieren. Die Daten wer- den automatisch normalisiert und lassen sich dann mit der integrierten Threat-Intelligence einfach durchsu- chen, korrelieren und analysieren. Auch aus Kostensicht lohnt sich Google Chronicle: Umfangreiche Cloud-Speicherkapazität ist zu kal- kulierbaren und überschaubaren Preisen inkludiert. Hat man den geeigneten Managed-Security-Service-Provi- der (MSSP) gefunden, erfolgt das Onboarding. Gemeinsam mit dem Kunden ermitteln die Experten, welche Logquellen man integrie- ren möchte. Der MSSP übernimmt dann die Anbindung dieser Quellen, während der Kunde dafür sorgt, dass die Daten zuverlässig zur Verfügung stehen. Außerdem ist es wichtig, einen Ansprechpartner im IT-Team festzulegen, der die Schnittstelle zwischen Unternehmen und MSSP bildet. Schnelle Angriffs- erkennung und -abwehr wird unverzichtbar Die Bedrohung durch Cy- berangriffe wird weiter zunehmen, denn für Cyberkriminelle stehen ﬁ- nanzielle Interessen im Vordergrund und sie werden das Geschäftsmodell Ransomware weiter vorantreiben, solange es ﬂoriert. Unternehmen und KRITIS-Betreiber müssen sich daher bestmöglich schützen. Dafür ist neben einer guten Abwehr eine leistungsfähige Detection und Re- sponse unverzichtbar. Ein eigenes SOC zu betreiben, lohnt sich aller- dings nur selten und ist angesichts des Fachkräftemangels schwer. Stattdessen empﬁehlt es sich, auf Managed-Detection-and-Response zu setzen. So proﬁtieren Unterneh- men von erfahrenen Security-Spezi- alisten und SOAR-Automatisierung, ohne dass sie selbst das Know-how und die Technologie vorhalten müssen. n © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023 9

Management und Wissen Präventive Maßnahmen beugen nicht nur Cyberangriffen vor, sondern unterstützen auch im Ernstfall Prävention durch Perspektiv- wechsel Angesichts der zunehmenden Bedrohung durch Cyberkriminalität müssen viele Unter- nehmen ihre IT-Security auf den Prüfstand stellen. Die Hürden für Cyberkriminelle so hoch wie möglich halten, ist das eine, für den Ernstfall vorbereitet sein, das andere. In der Praxis bewährt sich dafür ein Mix aus technischen und organisatorischen Maßnah- men. Von Laura Schönewolf, IBYKUS AG für Informati- onstechnologie „Vorsicht ist besser als Nachsicht“. Doch wo anfangen, wenn es theoretisch doch viele Einfallstore für Cyberkriminelle gibt? Zwei präventive Maßnahmen, die zur Best Practice der IT-Security-Experten der IBYKUS AG zählen, sind ein externer und interner Schwachstel- lenscan. Anhand des externen Schwachstellenscans wer- den IT-Systeme aus der Sicht eines Angreifers analysiert. Ergebnis dieser Analyse ist eine Übersicht über potenzielle Angriffspunkte, über die es möglich ist, Cyberattacken auf ein Unternehmen auszuüben. Optimal ergänzt wird diese Sicht durch einen internen Netzwerkscan. Hierbei binden sich die Experten in die Netzwerke von Unternehmen ein und identiﬁ zieren anhand dieser Perspektive innere Schwachstellen wie unzureichende Passwörter, Sicher- heitslücken und vieles mehr. Ausgehend von der identiﬁ - zierten Angriffsﬂ äche lassen sich konkrete To-dos zu deren Minimierung ableiten und als Teil der IT-Security-Strategie zusammen mit weiteren Maßnahmen umsetzen. Trotz Angriff handlungsfähig bleiben Was aber tun, wenn es nun doch zum Cyberan- griff kommt? Auch hier proﬁ tieren Unternehmen von Vorab-Maßnahmen. Um im Krisenfall handlungsfähig zu bleiben, ist es ratsam, zunächst bestehende Geschäftspro- zesse zu analysieren und zu entscheiden, welche davon kritisch beziehungsweise von essenzieller Bedeutung sind. Eine dahin gehende Priorisierung der Prozesse hilft dabei, gezielt adäquate Maßnahmen zu ergreifen. So kann verhindert werden, dass im Ernstfall die Geschäfte eines Unternehmens zum Erliegen kommen. Auch ein durch- dachtes Zugriffs- und Rollenkonzept kann im Fall der Fälle das Ausmaß an Schäden minimieren. Je umfassender das Konzept für Systemzugriffe, Berechtigungen und Co. aufgestellt ist, desto besser ist die Handlungsfähigkeit im Ausnahmezustand sichergestellt. Oftmals als lästig empfunden, im Krisenfall aber ein Fels in der Brandung, ist die organisatorische Dokumentation. Eine zentrale Protokollierung und Aufzeichnung von Systemlandschaft und Prozessen im Unternehmen gibt einen schnellen Überblick und kann bei der Analyse und Auswertung betroffener Systeme unterstützen. Viele Maßnahmen führen zur IT-Sicherheit Vor allem der präventive Charakter sowie das opti- male Ineinandergreifen der eingesetzten Instrumente sind es also, die zur Optimierung der IT-Sicherheitslage von Un- ternehmen beitragen. Über die aufgeführten Maßnahmen hinaus bestehen viele weitere Möglichkeiten, die IT-Secu- rity eines Unternehmens zu stärken. Welche hiervon zu ergreifen sind, hängt von individuellen Gegebenheiten ab. Die Leistungen der IBYKUS AG sind daher auf die ganz- heitliche Betrachtung von Unternehmen ausgerichtet. Oftmals stehen Firmen vor einer Herausforderung, wenn es darum geht, verschiedene Maßnahmen aufeinander abzustimmen. Mit ihrer langjährigen Expertise unterstützt die IBYKUS AG nicht nur bei der Umsetzung einzelner technischer oder organisatorischer Maßnahmen, sondern auch bei der Erstellung eines IT-Security-Konzepts sowie der Priorisierung darin enthaltener Arbeitspakete. n 10 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023

ANOMALIEERKENNUNG NACH KRITIS SO EINFACH. SO SICHER. § Checkliste zur Orientierungshilfe SzA nach dem BSI (Download) § Protokollierung, Detektion und Reaktion nach Kritis plus Risiko Management und Netzplan § Diverse Protokolle z.B. S7, IEC 60870-5-104, uvm. GRATISSCHULUNGEN ZUM THEMA ANOMALIEERKENNUNG NACH KRITIS: »SICHER MIT IRMA®« Termine: Lich 20.04. | Karlsruhe 25.04. | Leipzig 03.05. | München 09.05.23 weitere auf Anfrage Unsere kostenlosen Tagesseminare. Hier können Sie sich anmelden! e d . r o t n o k u a l b w w w . www.videc.de

Interview Interview mit Mario Jandeck, Geschäftsführer der Enginsight GmbH Jedes Unternehmen braucht Systeme zur Angriffserkennung und -abwehr Systeme zur automatischen Angriffserkennung und -abwehr müssen zum Standard-Security- Toolset jedes Unternehmens gehören, findet der Geschäftsführer von Enginsight und hat mit seiner 100 % selbst entwickelten All-in-one-Plattform eine Lösung für den deutschen Mittel- stand geschaffen. bleibt am Ende immer ein Faktor unberechenbar: der Mensch. Eine integrierte Security-Architektur mit Analyse- und Automatisierungs- funktionen, also Systemen zur auto- matischen Angriffserkennung (SzA), verbessert Transparenz und Auto- matisierung und kann gleichzeitig Kontrollinstanz sein für Technik und Mensch. Deshalb gehören SzA zum Standard-Security-Toolset jedes Unternehmens. Worauf sollten Unterneh- men bei der Auswahl der passenden Lösung für Angriffserkennung und Abwehr achten? Mario Jandeck: In erster Linie geht es darum, dass die Erken- nung gut funktioniert. Woran lässt sich das fest- machen? Mario Jandeck: Das ist tat- sächlich nicht so einfach. Verall- gemeinert ließe sich sagen, dass leistungsfähige Systeme dabei unter- stützen, Abläufe zu automatisieren, optimal zu reagieren und Risiken zu minimieren. Mit Techies würde ich an der Stelle über Snort Rules sprechen. Vielleicht dazu kurz: Sys- teme zur Angriffserkennung setzen auf Netzwerkebene verschiedene (standardisierte) muster- und ver- haltensbasierte Sets ein, sogenannte Snort Rulesets. In Enginsight setzen wir etwa auf eine Kombination aus den Snort Rulesets und eigenen Erkennungsmechanismen; bringen also zusätzlich eigenes Know-how zur Angriffserkennung mit rein für noch bessere Erkennungsraten. Performance ist doch ein Thema, das bei der Lösungsauswahl eine Rolle spielt, oder? Mario Jandeck: Auf jeden Fall. Es gibt zwei Ansätze in der Angriffserkennung: Systeme, die netzwerkbasiert arbeiten und solche, die hostbasiert arbeiten. Sie unter- scheiden sich auch hinsichtlich der Performance. Was ist der der Unterschied zwischen netzwerk- und hostbasier- tem Ansatz? Mario Jandeck: Der klassi- sche Ansatz ist netzwerkbasiert. Das bedeutet: Es gibt einen zentralen Punkt im Netzwerk, an dem sämt- licher Netzwerkverkehr analysiert wird, um im Zweifelsfall einen po- tenziellen Angriff zu blockieren. Der Vorteil hier liegt im schnellen Setup. Der Nachteil: Fällt das Zentralgerät aus, liegt das ganze Netzwerk lahm. Die zweite Variante ist der hostbasierte, also dezentrale An- satz, ein sogenanntes hostbasiertes Mario Jandeck ist Gründer und Geschäftsführer der Enginsight GmbH. Ob KRTIS-Unternehmen oder nicht, warum müssen Systeme zur Angriffserkennung und Reakti- on heute zum Security-Toolset jedes Unternehmens gehören? Mario Jandeck: Die zuneh- mende Digitalisierung führt zu einer rasant wachsenden Angriffsﬂäche, die es immer schwieriger macht, sich vor hochkomplexen Bedrohungen zu schützen. Erschwerend kommen andere Faktoren hinzu: Unterneh- men führen digitale Innovationen oftmals schneller ein als deren Absicherung. Die Komplexität und Fragmentierung von Infrastrukturen tragen ebenfalls zum Anstieg von Cy- ber-Kriminalität und Datenschutz- verletzungen bei. Ein Flickwert aus punktuellen Security-Lösungen in verschiedenen Unternehmensein- heiten macht es Security-Verant- wortlichen schwer, eine klare, ein- heitliche Übersicht zu bekommen. Und bei aller technischer Vorsorge 12 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023

Intrusion-Detection-System (IDS). Bei dieser Variante läuft ein Agent auf jedem Endgerät, um Angriffe zu erkennen und abzuwehren. In einer klassischen Serverumgebung würde ich die hostbasierte Variante als de- zentral-performantes System immer bevorzugen. Der Vorteil liegt auf der Hand: Das Netzwerk bleibt intakt, wenn nur das eine Gerät betroffen ist. Der Nachteil liegt im Setup-Auf- wand; also darin, jedes Endgerät damit auszustatten. Fürs Ausrollen und Patchen gibt es doch heutzutage Automatio- nen. Insofern ist das Thema Setup/ Patchen doch kein echter Nachteil, oder? Mario Jandeck: So könnte man es auch sehen. Wobei wir in naher Zukunft ebenfalls planen, ein netzwerkbasiertes IDS auszuliefern. Denn je nach Kunden-Szenario kann auch dieser Ansatz zielführend sein. Wenn es beispielsweise Netzwerk- segmente gibt, in denen alte Geräte gebündelt werden – wie in der Medi- zintechnik – ist es durchaus sinnvoll, einen netzwerkbasierten Sensor vor dieses Segment zu stellen, weil ich die einzelnen Geräte im Zweifelsfall nicht analysieren kann. Wäre in dem Fall die Kom- bination mit Mikrosegmentierung sinnvoll? Mario Jandeck: Richtig. Mikrosegmentierung ist ohnehin eine wunderbare Möglichkeit für mehr Sicherheit in Netzwerken. Mikrosegmente stützen den proak- tiven Sicherheitsansatz, auf dessen Grundidee Enginsight basiert und gehört deshalb zum Feature-Set von Enginsight. Wie lassen sich False-Positi- ves reduzieren beziehungsweise wie lässt sich verhindern, dass ein SzA fälschlicherweise Geräte abschaltet (weil ein vermeintlicher Fehler auf- taucht oder eine Unregelmäßigkeit auftritt)? Mario Jandeck: Dafür gibt es die Klassiﬁzierung der Vorfälle. Wir nennen diese bei Enginsight Kritikalität. Genauer gesagt machen wir einen Plain-Log; das heißt, wir klassiﬁzieren vor, wie kritisch ein Vorfall ist. Je nachdem, welche Kritikalität vorliegt, wird ein Gerät blockiert oder eben nicht. Das heißt im Umkehrschluss, wir schießen nicht jedes Gerät einfach so ab, son- dern der Kunde* behält die Kontrolle und deﬁniert seine Regeln, ab wann Netzwerkverkehr (automatisch) unterbunden werden soll. Dieses Blockieren ist mit Enginsight sehr granular möglich. Ich glaube, der Hauptaspekt für eine Akzeptanz von Systemen zur Angriffserkennung und -verhinde- rung liegt in der Abwägung zwischen dem unterbrechungsfreien IT-Be- trieb und Sicherheitsabwägungen. Wenn das SzA häuﬁg Geräte blockt, obwohl kein Angriff vorliegt, dann geht das Vertrauen in die Lösung verloren. Und aus diesem Grund gibt es bei uns zwei Mechanismen zum Blocken: erstens mittels der Bestimmung der Kritikalität, wann geblockt wird und zweitens durch gezieltes Blocken einzelner Angrei- fende, statt Blocken des ganzen Gerätes. An einem Beispiel erklärt, sähe das wie folgt aus: Wenn der eigene Laptop angegriffen wird, gibt es zwei Möglichkeiten zu reagieren. Variante 1: Wir blocken den gesam- ten Netzwerkverkehr des Laptops. In dem Fall kann der Mitarbeiter* aber nicht mehr arbeiten. Variante 2: Da der Angriff von einer ganz konkreten IP-Adresse über einen bestimmten Port erfolgt, können wir auch ge- zielt diesen Angreifenden blocken, worauf er die Verbindung verliert. Alle anderen Dienste funktionieren weiter; der Betrieb wird nicht un- terbrochen. Im Bereich kritische In- frastrukturen, aber auch Produktion *Genderhinweis: Wir verzichten zugunsten der Lesbarkeit auf die gendergerechte Schreibweise; weisen aber an dieser Stelle ausdrücklich darauf hin, dass „Kunde“ alle Geschlechtsidentitäten einbezieht. insgesamt kommt es genau darauf an, dass Systeme oder Maschinen unterbrechungsfrei laufen. Apropos kritische Infra- strukturen: Nach KRITIS-V wird NIS 2 wohl die nächste Herausfor- derung. Was kommt da auf Unter- nehmen zu? Mario Jandeck: Genaueres ist offen. Die Bundesregierung muss in diesem Jahr nachziehen und das IT-Sicherheitsgesetz 2.0 überarbei- ten. Vieles, was die NIS 2 fordert, steht bereits im IT- Sicherheitsgesetz. Es wird wohl hauptsächlich auf eine Erweiterung des Geltungsbereiches hinauslaufen, sodass die Vorgaben dann für alle Firmen ab zehn Millio- nen Euro Umsatz gelten, unabhängig davon, ob sie zur kritischen Infra- struktur gehören. Gibt es abschließend noch einen Tipp für alle, die schon eine SzA-Lösung haben und sich fragen, ob sie hält, was sie verspricht? Mario Jandeck: Mein Tipp lautet: auf Nummer sichergehen durch Tests. Unternehmen können Angriffe simulieren und schauen, was passiert. Dafür müssen die Verantwortlichen keine Hacker sein. Unser Hacktor übernimmt das ganz bequem. Einen Testaccount kann mich sich einfach anlegen unter https://app.enginsight.com/#/ signup. n https://enginsight.com Basis-Security-Lösungsset zur technischen IT-Absiche- rung — Backup — Antivirus und Firewall — Patchmanagement — E-Mail-Verschlüsselung — Automatische Angriffs- erkennung und -abwehr (EDR, MDR, IDS/IPS) — VPN © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023 13

Management und Wissen Wie sich gesetzliche Anforderungen in der Praxis umsetzen lassen KRITISche Angelegenheit: Angriffserkennung für IT und OT Die Uhr tickt: Ab dem 1. Mai 2023 sind kritische Infrastrukturen und Betreiber von Energie- versorgungsnetzen verpflichtet, Systeme zur Angriffserkennung einzusetzen, um Störungen durch Cyberangriffe vorzubeugen. Wie kann das für komplexe IT- und OT-Umgebungen gelin- gen? Von Götz Schartner, 8com GmbH & Co. KG Im Mai 2021 ist das IT-Si- cherheitsgesetz 2.0 in Kraft getreten. Es soll zur Erhöhung der Sicherheit von IT-Systemen und zum Schutz kritischer Infrastrukturen beitragen. Vor allem Letztere sehen sich nun mit konkreten erweiterten Anfor- derungen an ihre Cyber-Security konfrontiert. Darunter fällt auch die Forderung nach Systemen zur An- griffserkennung (SzA), deren Einsatz zum 1. Mai 2023 erstmals nachgewie- sen werden muss. Bei Betreibern kritischer In- frastrukturen wirft diese Neuerung viele Fragen auf: Wie ist es eigentlich um die eigene IT- und OT-Sicherheit bestellt? Wo ist Nachholbedarf? Und welche Produkte oder Services braucht es genau, um der Nachwei- spﬂicht künftig gerecht zu werden? Orientierungshilfe zum Einsatz von SzA Das Bundesamt für Sicher- heit in der Informationstechnik (BSI) hat dazu im September 2022 eine Orientierungshilfe (OH) zum Einsatz von Systemen zur Angriffser- kennung veröffentlicht. Darin sind insgesamt über 200 Anforderungen für den Einsatz von SzA deﬁniert, denen Betreiber von kritischen Infra- strukturen und Energieversorgungs- netzen nachweislich gerecht werden müssen (§ 8a Absatz 1a BSIG und § 11 Absatz 1e-1f EnWG). Bei Nicht- befolgung drohen hohe Bußgelder. Die Anforderungen un- terteilen sich in Muss-, Soll- und Kann-Anforderungen. Um diese Bestimmungen zu erfüllen, müssen Betreiber unterschiedliche Maßnah- men ergreifen. Hauptsächlich han- delt es sich dabei um Maßnahmen, die das Information-Security-Ma- nagement-System (ISMS) betreffen sowie den Einsatz und Betrieb von Techniken zur Protokollierung von sicherheitsrelevanten Ereignissen und zur Erkennung und Abwehr von potenziellen Cyber-Sicherheits- vorfällen. Langfristig soll neben der Umsetzung aller Anforderungen außerdem ein kontinuierlicher Ver- besserungsprozess etabliert werden, der auf den Ergebnissen regelmäßiger Audits fußt. Ein solches Audit bildet auch den Startpunkt für die Einführung oder Optimierung von Systemen zur Angriffserkennung. Im Idealfall wird es von einem externen Dienst- leister durchgeführt. Für die Nach- 8com Whitepaper über SzA (PDF-Download) weispﬂicht gemäß BSI-Gesetz (§ 8a Absatz 3) ist eine externe prüfende Instanz sogar vorgeschrieben, um Unabhängigkeit und Neutralität bei der Beurteilung zu gewährleisten. Sicherheit für IT-Infra- strukturen schaffen Zum Einstieg empﬁehlt es sich, mithilfe einer Gap-Analyse den Ist-Zustand der IT-Netzwerksicher- heit zu ermitteln und technische und organisatorische Lücken auf- zudecken. Dazu arbeitet 8com eng mit seinen Kunden zusammen und geht in einen tiefen Austausch rund um bereits bestehende Abwehrsys- teme, Netztopologie, ISMS-Doku- mentationen und so weiter, um die nächsten Schritte abzuleiten und zu priorisieren. Dabei hat 8com immer das Umsetzungsgradmodell nach der OH des BSI vor Augen. Denn Ziel eines jeden KRITIS-Betreibers muss es sein, mindestens Umsetzungsgrad 3 von 5 zu erreichen, um der Nach- weispﬂicht des BSI nachzukommen. In der Praxis bedeutet das: ––——— Alle Muss-Anforderungen wurden für alle Bereiche erfüllt. ––——— Alle Soll-Anforderungen wurden idealerweise hinsichtlich ihrer Notwendigkeit und Umsetzbar- keit geprüft. 14 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023

––——— Ein kontinuierlicher Ver- besserungsprozess wurde etabliert oder ist in Planung. Für den zweiten Prüfzyklus ist davon auszugehen, dass mindestens Umsetzungsgrad 4 von 5 gefordert wird. Die Einführung von Systemen zur Angriffserkennung ist also kein Einmalprojekt mit Deadline, sondern der Beginn eines Verbesserungspro- zesses, der sich ständig neuen Gege- benheiten anpassen muss. SIEM zur Angriffs- erkennung Die Anforderungen der OH an SzA lassen sich für reine IT-In- frastrukturen, zum Beispiel in der Leitstelle, am effektivsten durch die Einführung eines Security-Infor- mation-and-Event-Managements (SIEM) erfüllen. Mit einem SIEM können verdächtige Aktivitäten und unbekannte Bedrohungen in der gesamten IT-Infrastruktur rund um die Uhr protokolliert und sichtbar gemacht werden. Die dazu benötig- ten Logs werden von allen relevanten Datenquellen aus der Netzwerk- umgebung bezogen und schaffen Sichtbarkeit in der Systemlandschaft. Durch die Protokollierung, Normali- sierung und Korrelation der Daten schafft ein SIEM außerdem konti- nuierlich Transparenz über laufende Prozesse. So können beispielsweise ungewöhnliche Anmeldeversuche oder Rechteerweiterungen auch über längere Zeiträume erkannt und die Verantwortlichen alarmiert werden. Aber wer klassiﬁziert die Alarme? Als Managed-Security-Ser- vice-Provider bietet 8com sein SIEM nicht bloß als Software-Lösung an, sondern löst auch das Problem feh- lender personeller Ressourcen und stellt gleichzeitig Fachwissen zur Verfügung, das den Kunden häuﬁg fehlt. Ein Analysten-Team prüft in unserem Security-Operations-Center (SOC) 24 Stunden am Tag eingehen- de Alarme. False-Positives werden manuell als solche eingestuft und Das 8com Security- Operations-Center mithilfe von Machine-Learning-Pro- zessen immer weiter reduziert. Echte Alarme hingegen werden umgehend eskaliert. Je nach Absprache und Service-Umfang kann sogar eine sofortige Isolation von Systemen an- gestoßen werden. Der Zeitraum von der Entdeckung eines potenziellen Cyberangriffs bis zur Reaktion wird so auf ein Minimum reduziert. Darüber hinaus vereint das SOC von 8com Fachwissen aus diversen Bereichen der Angriffser- kennung und -reaktion. So ﬂießen auch Erkenntnisse aus unserem Schwachstellenmanagement, End- point-Detection-and-Response, di- gitaler Forensik und Incident-Res- ponse in unsere SIEM-Regeln ein, die den Grundstein für zuverlässige Alarme legen. Angriffserkennung für Operational Technology Ein für viele kritische Infra- strukturen neues Sicherheitsfeld ist die Einführung von Systemen zur Angriffserkennung, die neben der IT auch die OT einbinden müssen. So stehen beispielsweise Wasser- oder Energieversorgungsunternehmen vor der Herausforderung, auch Fern- wirk-, Prozessleit- und Netzleittech- nik zu monitoren. Ein SIEM allein kann das in der Regel nicht leisten. Gemeinsam mit Rhebo, ei- nem Anbieter zur Überwachung von Automatisierungssystemen, bietet 8com deshalb eine Network-Detec- tion-and-Response-(NDR)-Lösung an, die einen Managed-Service auch für komplexe OT-Umgebungen ermöglicht. Dazu wird beim Kun- den zunächst der Rhebo Industrial Protector installiert, ein OT-Sicher- heitsmonitoring mit Anomalieer- kennung, das eine rückwirkungs- freie Überwachung der OT-Systeme auf sicherheitsrelevante Ereignisse ermöglicht. Vorab erfolgen eine Analyse der Netzwerkarchitektur und eine Aufstellung über kriti- sche Komponenten und sinnvolle Monitoring-Punkte. Die Daten aus dem dedizierten Monitoring der Kommunikation innerhalb der OT werden schließlich an das SIEM ge- meldet und dort weiter verarbeitet. Die Überwachung erfolgt ebenso wie beim SIEM rein passiv und rund um die Uhr. So können sich Kunden zu jedem Zeitpunkt auf ihr Kern- geschäft konzentrieren, ohne die OT-Sicherheit aus den Augen zu ver- lieren. Fazit Aus unserer eigenen Er- fahrung wissen wir: Die Forderung nach dem Einsatz von Systemen zur Angriffserkennung trifft viele Betrei- ber kritischer Infrastrukturen und Energieversorger kurz vor Beginn der Nachweispﬂicht unvorbereitet. Auf lange Sicht führt allerdings kein Weg daran vorbei. Betroffene sind deshalb gut beraten, sich dieser Herausfor- derung so schnell wie möglich zu stellen – mit einem vertrauensvollen Partner an ihrer Seite. n © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023 15

Angriffserkennung als kosteneffektiver Service: indevis MDR Protection allein reicht nicht mehr aus: Setzen Sie auf Managed Detection and Response Cyberangriffe schnell erkennen und bekämpfen ist heute für Unternehmen unverzichtbar. Moderne Security-Tools wie SIEM und SOAR sind teuer und komplex. Der Eigenbetrieb eines SOC ist in Zeiten von Fachkräftemangel schwer zu bewerkstelligen. Sparen Sie sich den Aufwand und setzen Sie auf Managed Detection and Response von indevis. Mit diesem Service wird fortschrittliche Cybersecurity auch für mittelständische Unternehmen und KRITIS-Betreiber erschwinglich. Vergeuden Sie keine wertvolle Zeit – kontaktieren Sie uns noch heute! indevis Detection and Response Mehr über indevis MDR indevis IT-Consulting and Solutions GmbH  Irschenhauser Str. 10  81379 München  Deutschland +49-89-452424-100  sales@indevis.de  www.indevis.de

Management und Wissen Mit MDR die Besonderheiten von KRITIS- und OT-Umgebungen berücksichtigen Cyberattacken sichtbar machen Der auf Operational-Technology-(OT)-Umge- bungen ausgerichtete Managed-Detection-and- Response-Service (MDR-OT) der r-tec IT Security GmbH bringt eine verhaltensbasierte Anomalie- erkennung mit dem Know-how erfahrener IT-Sicherheitsexperten zusammen. Dank ihres mehrstufigen Aufbaus kann diese moderne Art der Angriffserkennung die Anforderungen der vom BSI herausgegebenen Orientierungshilfe über Systeme zur Angriffserkennung (SzA) erfül- len. MDR-OT stellt daher auch für KRITIS-Betrei- ber eine geeignete Lösung dar. Von Dr.-Ing. Stefan Rummenhöller, r-tec IT Security GmbH Angesichts immer komplexer werdender Angriffsmethoden lassen sich Cyberattacken heutzutage nur schwerlich verhindern. Selbst weitrei- chende IT-Sicherheitsvorkehrungen können Hacker nicht zwangsläuﬁ g aufhalten. Gelingt es Cyberkriminel- len, Zugang zu einem Unternehmens- netzwerk zu erlangen, bleibt dem Angegriffenen in der Regel aber noch eine kleine Chance, das Worst-Case- Szenario abzuwenden: Hacker sind meist einige Tage lang unbemerkt in den eroberten Netzwerken unterwegs, bevor sie die befallenen Systeme in Geiselhaft nehmen und Lösegeldfor- derungen stellen. Mithilfe mehrstu- ﬁ ger Angriffserkennungssysteme wie Managed-Detection-and-Response (MDR) kann die Bedrohung bereits in dieser frühen Angriffsphase erkannt werden. Unternehmen haben dann die Möglichkeit, schnell zu reagieren und die Attacke einzudämmen oder sogar abzuwehren. So können Betrof- fene Datenverluste sowie Produktions- störungen und -ausfälle meist noch rechtzeitig verhindern. Eine moderne Angriffserken- nung erweist sich daher oftmals als existenzrettende Sicherheitskompo- nente für Unternehmen jeder Größen- ordnung. Wie hoch der durch einen Cyberangriff verursachte Schaden ausfällt, ist schließlich in hohem Maße von der Zeitspanne zwischen Angriffs- beginn und Eindämmung abhängig. Je länger ein Angreifer ungehindert agieren kann, desto gravierender sind die Folgen. Besonderheiten von KRI- TIS- und OT-Umgebungen berücksichtigen Nicht umsonst verpflichtet das 2021 in Kraft getretene IT-Sicher- heitsgesetz 2.0 (IT-SiG 2.0) Betreiber kritischer Infrastrukturen (KRITIS), den Einsatz eines Angriffserkennungs- systems bis zum 1. Mai 2023 nachzu- weisen. Immerhin kann ein Ausfall einer KRITIS-Organisation weitrei- chende oder sogar dramatische Kon- sequenzen für die Bevölkerung nach sich ziehen. Angriffe lassen sich in diesem Umfeld aber nur dann verläss- lich aufdecken, wenn die eingesetzten Lösungen die besonderen Ansprüche von kritischen Infrastrukturen und OT-Umgebungen erfüllen können. Aufgrund hoher Verfügbar- keitsanforderungen und spezieller technischer Gegebenheiten können aus der Ofﬁ ce-Welt bekannte IT-Si- cherheitslösungen in diesen Bereichen nicht zum Einsatz kommen. Es ist zum Beispiel möglich, dass ein Schwach- stellenscanner komplexe OT-Systeme durch seine aktiven Anfragen stört oder sogar komplette Anlagenausfälle hervorruft. Des Weiteren sind IT-Se- curity-Lösungen nicht in der Lage, © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023 17

Management und Wissen OT-Protokolle und typische OT-Geräte zu analysieren. Hinzu kommt, dass die für die Angriffserkennung wichti- gen Informationen wie Patchstände, vorhandene Schwachstellen oder Gerätehersteller in OT-Umgebungen nicht so einfach generiert werden können wie in IT-Umgebungen. Im Bereich der Betriebstechnik müssen dafür Protokolle bis auf Wertebene dekodiert werden. Deshalb benötigen betreffende Unternehmen spezielle technische Lösungen. Doch sowohl für OT- als auch für IT-Umgebungen gilt: Technische Lösungen allein reichen nicht aus, um professionell vorgehende Cyber- kriminelle zu enttarnen. Benötigt wird außerdem qualiﬁ ziertes Personal, das verdächtige IT-Security-Events indivi- duell beurteilt und, falls nötig, schnell eingreift. r-tec kombiniert Next- Generation-SIEM mit Expertenwissen Genau diese beiden Kompo- nenten bringt der auf OT-Umgebun- gen ausgerichtete Managed-Detec- tion-and-Response-Service der r-tec IT Security GmbH zusammen (www. r-tec.net/ot-security-managed-detecti- on-and-response.html). Zum Einsatz kommt unter anderem ein Next-Ge- neration-SIEM-System, das eine ver- haltensbasierte Anomalieerkennung ermöglicht. Mittels Machine-Learning lernt das System das Verhalten von Nutzern und Geräten im Unterneh- mensnetzwerk kennen und leitet aus den gewonnenen Erkenntnissen ein Normalverhalten aller Mitarbeiter und Anlagen sowie typische Kommu- nikationsvorgänge und Prozesse ab. Anschließend können Abweichungen und somit auch bis dahin unbekannte Angriffsmuster zuverlässig identiﬁ ziert werden. Wenn ein Angreifer beispiels- weise versucht, eine neue Kommunika- tionsbeziehung aufzubauen, um sich in der OT-Umgebung ausbreiten zu können, wird die Anomalieerkennung sein Verhalten sofort als auffällig ein- stufen und Alarm schlagen. Verdächtige Anomalien wer- den dann automatisch an ein erfah- renes Expertenteam weitergeleitet, das die betreffenden Events manuell untersucht, klassifiziert und deren Kritikalität bestimmt. Besteht tatsäch- lich ein erhöhtes Risiko, werden alle relevanten Personen über zuvor deﬁ - nierte Meldewege über den Incident informiert. Verhaltensbasierte Analyse macht Use-Case- Einsatz überﬂ üssig Der Vorteil gegenüber klas- sischen SIEM-Systemen liegt auf der Hand: Während sich die verhaltens- basierte Analyse automatisch aktuali- siert, setzt SIEM bei der Datenanalyse ausschließlich auf starre Use-Cases, die ständig händisch aktualisiert werden müssen. Letztere verursachen außerdem sehr viele Alarme, die eine sofortige Analyse und Einstufung er- fordern. Um die zunehmende Masse an Meldungen bearbeiten zu können, benötigen die Betriebe eine dicke Per- sonaldecke. Wer auf den MDR-OT-Ser- vice von r-tec setzt, muss keine zusätzlichen Mitarbeiter für die Inci- dent-Prüfung abstellen. In diesem Fall kümmern sich die Spezialisten des Wuppertaler IT-Security-Dienstleisters um die kontinuierliche Überwachung der IT- oder OT-Umgebung. Angriffserkennung und -bewältigung aus einer Hand Darüber hinaus enthält der MDR-Service auch einen Incident-Re- sponse-Service. Dieser stellt innerhalb garantierter Annahme- und Reakti- onszeiten sicher, dass einem Unter- nehmen im Ernstfall die richtigen Ressourcen und Kompetenzen zur Verfügung stehen. Wird ein Angriff erkannt, liefern die r-tec-Spezialisten eine schnelle Einschätzung der Gefah- renlage sowie hilfreiche Maßnahmen- empfehlungen. Im Anschluss wird das betroffene Unternehmen bei der Eindämmung und der Bereinigung der Attacke unterstützt. Auf diese Weise kann r-tec Angriffserkennung und -bewältigung aus einer Hand anbieten. Dabei dürfen sich Unterneh- men auf einen Rundumservice verlas- sen. Das Expertenteam steht seinen Kunden schließlich in jeder Phase eines Angriffs zur Seite. Auch bei der Implementierung der technischen Lösungen erhalten Unternehmen umfassende Unterstützung. Mit MDR-OT der BSI-Orientierungshilfe begegnen Für KRITIS-Betreiber, die noch nicht über die im IT-Sicherheitsgesetz 2.0 festgeschriebenen Systeme zur An- griffserkennung (SzA) verfügen, bietet r-tec einen zusätzlichen Service an: Mit SzA Readiness Assessment helfen die Experten betroffenen Unternehmen dabei, bis zum Ablauf der Umsetzungs- frist eine gesetzeskonforme Lösung zu etablieren. Sie beantworten Fragen zu den Anforderungen der vom Bun- desamt für Sicherheit in der Informa- tionstechnik (BSI) herausgegebenen Orientierungshilfe zum SzA-Einsatz oder helfen bei der Implementierung von Systemen zur Angriffserkennung. Falls bereits entsprechende Lösungen vorhanden sind, überprüfen sie deren Anforderungskonformität. Wie der MDR-OT-Service von r-tec den Anforderungen der BSI-Ori- entierungshilfe gerecht werden und die im IT-SiG 2.0 festgeschriebenen Vorgaben zur SzA-Implementierung erfüllen kann, haben die IT-Securi- ty-Spezialisten außerdem in einem Whitepaper erläutert. Das Dokument „Systeme zur Angriffserkennung (SzA) für KRITIS-Unternehmen“ kann unter folgendem Link kostenlos he- runtergeladen werden: www.r-tec. net/whitepaper-angriffserkennung- fuer-kritis-betreiber.html. n 18 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023

Excellence in Digital Security. Angriﬀserkennung in KRITIS: Jetzt alle gesetzlichen Vorgaben zuverlässig erfüllen Ab dem 01. Mai 2023 wird es ernst: KRITIS-Betreiber und Unternehmen im besonderen öﬀentlichen Interesse sind dann verpﬂichtet, ein System zur Angriﬀserkennung einzusetzen. IT-/OT-Netze zuverlässig schützen Zum Schutz von IT-/OT-Netzen bietet genua mit cognitix Threat Defender ein zukunftssicheres System. Es erfüllt alle Anforderungen des BSI an Systeme der Angriﬀserkennung. Hierzu zählen: • Angriﬀserkennung nach aktuellem Stand der Technik intelligente Überwachung und Protokollierung des Netzwerkverkehrs • • Detektion von sicherheitsrelevanten Ereignissen in Echtzeit • automatisierte Behandlung von Sicherheitsvorfällen Handeln Sie jetzt und schützen Sie Ihre kritischen Infrastrukturen zuverlässig – sichern Sie sich dafür bis 31. Mai 2023 unseren Aktionspreis: 35 % Preisvorteil bis 31. Mai 2023 www.genua.de/it-sig-20-kritis-wirksam-schuetzen

Management und Wissen Cybersicherheit für KRITIS-Betreiber Wie sich Angriffserkennung nach BSI-Vorgaben umsetzen lässt Das IT-Sicherheitsgesetz 2.0 verpflichtet KRITIS-Betreiber ab dem 1. Mai 2023 zum Einsatz von Systemen zur Angriffserkennung. secunet bietet eine speziell auf die regulatorischen Anforderungen zugeschnittene Lösung. Von Frederic Hermann, secunet Nicht zuletzt in Krisenzeiten zeigt sich die Bedeutung kritischer Infrastrukturen (KRITIS). Ausfälle betreffender Einrichtungen und Unternehmen können schwerwie- gende Folgen für die Gesellschaft haben. Dementsprechend hoch sind die Anforderungen an die IT-Sicher- heit, die angesichts einer sich stetig wandelnden Bedrohungslage zuneh- mend vor Herausforderungen steht. Deshalb werden KRITIS-Unterneh- men besonders geschützt: mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0). Pﬂicht für KRITIS- Betreiber, Vorbild für die Industrie Das IT-Sicherheitsgesetz (IT- SiG) ist seit 2015 eines der ent- scheidenden Gesetze, mit denen die Bundesregierung Behörden und die Bevölkerung vor Cyberangriffen und ihren Folgen schützen will. Mit Inkrafttreten des IT-SiG 2.0 im Jahr 2021 haben sich die Spielre- geln auch für viele Unternehmen geändert, die zuvor noch nicht im Fokus standen – und sie bekamen zwei Jahre Zeit, die neuen Vorgaben umzusetzen. Zuvor waren Betreiber kritischer Infrastrukturen (KRITIS) in den Bereichen Energie, Wasser, Er- nährung, Informationstechnik und Telekommunikation, Transport und Verkehr sowie Gesundheit betroffen. Neu hinzugekommen sind der Sektor Siedlungsabfälle und alle sogenann- ten „Unternehmen im besonderen öffentlichen Interesse“ (UBI). Das Gesetz verpﬂichtet KRITIS-Betreiber ab dem 1. Mai 2023 Systeme zur Angriffserkennung in ihrem Cyber- sicherheitskonzept nachzuweisen. Die „Orientierungshilfe zum Einsatz von Systemen zur Angriffserken- nung“ konkretisiert anhand des Umsetzungsgradmodells die genau- en MUSS-, SOLL- und KANN-An- forderungen, die als maßgebliche Beurteilungsgrundlage eines solchen Systems herangezogen werden – und zu denen unter anderem eine signa- turbasierte Angriffserkennung über verschiedene Logdatenfunktionen zählt. In der Praxis bleiben jedoch für viele Betreiber noch wichtige Fragen offen: Welche Produkte und Services benötige ich? Welchen Sta- tus hat unsere IT/OT? Und erfüllen wir alle wichtigen Anforderungen? Für die Implementierung eines zuverlässigen Angriffserken- nungssystems ist langfristiges Den- ken gefragt, denn es reicht nicht, nur einzelne Schwachstellen zu schlie- ßen. Vielmehr ist ein Gesamtsystem notwendig, das einen umfassenden und nachhaltigen Schutz bietet. Ein kompetenter Partner, der die gesetz- lichen Anforderungen an das System kennt, kann dabei unterstützen und Unternehmen individuell sowie lö- sungsorientiert beraten. Denn gerade bei mittelständischen KRITIS-Betrei- bern sind selten alle Kompetenzen und Ressourcen gebündelt vorhan- den, um die benötigte Sicherheits- infrastruktur selbst aufzusetzen oder zu verwalten. Eine optimierte Lösung für KRITIS-Unternehmen Um möglichen Fallstricken zu entgehen, bietet sich eine res- sourcen- und kostenefﬁziente Lö- sung wie secunet monitor KRITIS an, die sich ﬂexibel in bestehende (SIEM-)Plattformen integrieren lässt und auch eigenständig ohne diese funktioniert. secunet monitor KRITIS erfüllt zudem passgenau die technischen Voraussetzungen und steht „On Premises“ zur Verfügung. Das Netzwerk-Monitoring-System erkennt auf Basis signaturbasierter Angriffserkennung Cyberattacken mittels Netzwerk- und Loganalyse und erfüllt dabei die MUSS-Anfor- derungen, die das BSI in der Orien- tierungshilfe zum IT-SiG 2.0 festlegt. Die Lösung identiﬁziert beteiligte Komponenten, ohne dabei die für den Versorgungsprozess notwendige Datenkommunikation zu beein- trächtigen. Das System ermöglicht außerdem die Anbindung von BSI Indicator-of-Compromise-(IoC)- Feeds für neue Signaturen und nimmt eine Vorbewertung sicher- heitsrelevanter Events vor. Damit ist secunet monitor KRITIS sowohl für 20 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023

BSI-Meldungen und -Audits als auch Managed-Security-Services oder Security-Operations-Center (SOC) optimiert. Reportings können teil- automatisiert an das BSI übermittelt werden, da das System die relevan- ten Daten vorausfüllt und einzelne Events in übergreifende sicherheits- relevante Fälle zusammenfasst. Die Handhabung ist einfach: Die von secunet monitor KRITIS gesammel- ten Informationen lassen sich so- wohl auf dem Desktop als auch auf dem Tablet über intuitive Status- und Management-Oberﬂ ächen abrufen. Weitere Maßnahmen für eine ganzheitliche IT-Sicherheit Neben einem System zur Angriffserkennung ist für alle Unter- nehmen ein ganzheitliches Cybersi- cherheitskonzept empfehlenswert. Hierbei steht eine Bestandsaufnah- me am Anfang, bei der ein Überblick über den aktuellen Reifegrad und die möglichen Risiken gewonnen wird. Die häuﬁ gsten Risiken, insbesondere für produzierende Unternehmen, kommen dabei aus den Bereichen, die mit dem Internet kommunizie- ren, also von außen erreichbar sind. Dazu zählen unter anderem der Ofﬁ ce-Bereich oder externe Zugänge wie beispielsweise Fernwartungs- zugänge verschiedener Maschinen- und Anlagenhersteller. Durch sogenannte „Pene- trationstests“ können einzelne Systeme oder Infrastrukturen auf Sicherheitslücken untersucht wer- den. Unter Nutzung von Methoden und Techniken echter Angreifer wird das Gesamtsystem einem Stresstest unterzogen und die Robustheit des Unternehmens geprüft. So lassen sich wirksam risikobasiert Schwach- stellen aufdecken. Anhand der Ergebnisse werden im Anschluss da- ran effektive Maßnahmen für einen wirksamen Schutz abgeleitet. Die Schutzmaßnahmen sind systemabhängig. Sie beginnen bei secunet monitor KRITIS richtet sich an KRITIS-Unternehmen und berücksichtigt die gültigen Anfor- derungen aus der Orientierungshilfe des BSI (netzwerk- und logbasierte Angriffserkennung). präventiver „Basis-Security“ wie Optimierungen der Firewalleinstel- lungen, Netzwerksegmentierungen oder Zugriffsberechtigungen und reichen bis hin zu intelligenten Systemen zur Angriffserkennung. Zu Ersterem zählen auch Aware- ness-Schulungen, die Mitarbeiter:in- nen und Führungskräfte für das Thema Cybersecurity sensibilisieren. Denn technische Systeme können nicht vor menschlichen Fehlern schützen. Es ist wichtig, das System vor Ransomware abzusichern, aber genauso wichtig, dass Mitarbeiter:in- nen nicht auf Links oder Anhänge in verdächtigen E-Mails klicken. Nicht zu vernachlässigen ist das Thema De- saster-Recovery, also das Wiederher- stellen des Geschäftsbetriebs nach einem Sicherheitsvorfall. Hier sind automatisierte und funktionierende Backup-Systeme essenziell. Ein weiteres Mittel ist das sicherheitstechnische Abkoppeln veralteter Maschinen von der ver- netzten Infrastruktur durch die Nut- zung von gehärteten Industrial PCs („Secure Edge“). Die Maschine ist so nur noch indirekt angebunden und kann von außen nicht erkannt und kompromittiert werden. Das trägt dazu bei, Angriffe zu erschweren und Risiken zu reduzieren. Angriffser- kennungssysteme ermöglichen das frühzeitige Erkennen eines Vorfalls. Je kürzer die Erkennungszeit, desto effektiver können Schäden einge- dämmt werden. Dies setzt voraus, dass das System genutzt werden kann und Reaktionsmaßnahmen und Verantwortlichkeiten vorab de- ﬁ niert sind. Diese Maßnahmen hel- fen, die Agilität von Unternehmen bei Cyberangriffen zu verbessern. Auch hierbei bietet das IT-SiG 2.0 eine Orientierungshilfe für den ef- fektiven Aufbau und Einsatz solcher Systeme. Für die Zukunft abgesichert Die Anforderungen an die IT-Sicherheit verändern sich stetig. Cyberkriminelle ﬁ nden fortlaufend neue Angriffswege, zu denen ins- besondere Ransomware-Attacken zählen. Dabei werden Daten ver- schlüsselt oder es wird mit deren Leak gedroht. Die IT-Sicherheit muss sich ebenso dynamisch wei- terentwickeln, und das IT-SiG 2.0 bildet diese Notwendigkeit ab. Über verschiedene Updates ist deshalb der kontinuierliche Ausbau der Funktionen von secunet monitor KRITIS entlang der weiteren Stufen des Umsetzungsgradmodells des BSI möglich, um auch künftig zuverläs- sig gegen Cyberangriffe gewappnet zu sein. secunet steht den Betrei- bern auch hier stets beratend zur Seite (www.secunet.com/loesungen/ secunet-monitor-kritis). n © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023 21

Management und Wissen Erfolgreiche Cyberangriffe frühzeitig erkennen und verhindern Ich sehe was, das Du (noch) nicht siehst! Jede Organisation steht heute vor der Herausforderung, die eigenen Netzwerke gegen die hohe Bedrohung durch Cyberangriffe abzusichern. Sicherheitsrelevante Ereignisse müssen rechtzeitig erkannt und behandelt werden. Dabei stehen viele IT-Verantwortliche branchen- übergreifend vor dem gleichen Problem: zu viele Anforderungen, zu hohe Analysenauf- wände und zu wenig Fachpersonal. Von Jens Kulikowski, Allgeier Trotz etablierter Schutz- maßnahmen wie Intrusion-Detec- tion-Systeme oder Firewalls und Endpoint-Protection können Cyber- angriffe oft nicht verhindert werden. Diese Lösungen vermitteln zumeist ein trügerisches Gefühl von Sicher- heit. So zeigen die Systemprotokoll- daten zwar an, dass zum Beispiel unberechtigte Zugriffe verhindert werden, tatsächlich handelt es sich aber häufig um eher allgemeine und nicht zielgerichtete Angriffe, die abgewehrt werden. Eine größere Gefahr geht stattdessen von hoch entwickelten und zielgerichteten, anhaltenden Cyberattacken (Ad- vanced-Persistent-Threats) aus. Die dazu erforderlichen tiefergehenden Analysen benötigen sehr viel Zeit und speziell qualiﬁziertes Personal. Beides fehlt fast immer. Warum Cyber-Threat- Hunting? Cyber-Threat-Hunting ist ein aktiver Prozess. Die Security-Ana- lysten gehen vom schlimmsten Fall einer Kompromittierung des Netzwerkes aus und davon, dass ein oder mehrere Endgeräte wahr- scheinlich betroffen sind. Hierfür wird die Netzwerkkommunikation kontinuierlich überwacht. Ziel ist es, potenzielle Angriffsmuster frühzeitig zu identiﬁzieren. Unter Zuhilfenah- me einer Softwarekomponente gilt es, die aufgespürten Kompromittie- rungen korrekt einzuordnen und sie gegebenenfalls als Indicators of Compromise (IoC) zu bewerten. IoCs sind Merkmale und Daten, die mit hoher Wahrscheinlichkeit auf einen unberechtigten Systemzugriff hin- weisen, wie beispielsweise außerge- wöhnliche Netzaktivitäten, Einträge in Logﬁles oder gestartete Prozesse. Durch die Nutzung eines Managed-Detection-and-Respon- se-(MDR)-Services lagert ein Unter- nehmen Kompetenzen im Bereich des Cyber-Threat-Hunting an einen externen Cybersecurity-Dienstleister aus. Die beauftragten Threat-Hunter unterstützen dabei als externes SOC- Team (Security-Operation-Center, SOC) bei der aktiven Suche nach möglichen Kompromittierungen und Anomalien in den Systemen. Bei Auffälligkeiten mit Handlungsbedarf gilt es umgehend Gegenmaßnah- men einzuleiten, um weitreichende Schäden zu verhindern. Der Active-Cyber-Defense- (ACD)-Service von Allgeier secion ist ein solcher MDR-Service, eine in der Kundeninfrastruktur installierte Lösung zur Erkennung ungewöhn- licher Netzwerkkommunikation. Geschulte IT-Security-Analysten übernehmen das 24/7-Monitoring zur Erkennung von Vorfällen (Inci- dent-Detection) und prüfen, ob es Abweichungen von deﬁnierten Stan- dardkommunikationen gibt, die auf einen sicherheitsrelevanten Vorfall hindeuten. ACD erfüllt zudem die gesetzlichen Anforderungen (zum Beispiel IT-SiG 2.0) zum Einsatz von Systemen zur Angriffserkennung (SzA) für die drei Bereiche Protokol- lierung, Detektion und Reaktion. Schnell reagieren! Je länger sich ein Angreifer unbemerkt im Netzwerk bewegen kann, desto größer ist in der Regel auch der Schaden. Oftmals dauert es bis zu sechs Monate, bis ein Cy- berangriff entdeckt wird. Ist ACD im Einsatz, haben Cyberkriminelle gar nicht erst die Möglichkeit, sich monatelang unentdeckt im System zu bewegen, die zeitkritische Lücke zwischen „Detection“ und „Respon- se“ wird deutlich reduziert. Use-Case: FH-Vorarlberg Cyberangriffe auf Organisa- tionen werden immer komplexer; zu den Folgen gehören unter anderem Verschlüsselung mit hohen Löse- geldforderungen, Datendiebstahl 22 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023

Angesichts des akuten Fachkräf- temangels liegt einer der größten Vorteile darin, dass durch die Be- auftragung ein komplettes Exper- tenteam, inklusive effektiver Tools und erprobter Detektionsmethoden, dauerhaft zur Seite steht. Insbe- sondere auch für mittelständische Unternehmen, die intern nicht über die erforderlichen personellen und ﬁnanziellen Ressourcen verfügen, um ihre Systeme selbst rund um die Uhr zu überwachen. n und negative Berichterstattung. Auch Bildungseinrichtungen blei- ben davon nicht verschont. Ein Angriff auf die Universität Gießen (Dezember 2020) zog beispielsweise einen Gesamtschaden in Höhe von rund 1,7 Millionen Euro und einen einmonatigen Ausfall der komplet- ten IT-Infrastruktur nach sich. Ende Juli 2022 legte ein Hackerangriff auf die Bergische Universität in Wupper- tal große Teile der Infrastruktur lahm. Die Fachhochschule Vorarl- berg (FHV – Vorarlberg University of Applied Sciences) mit über 1600 Studierenden und rund 350 Mit- arbeitenden wollte einem solchen Szenario vorbeugen und die bereits etablierten IT-Sicherheitsmaßnah- men um einen Managed-Detection- and-Response-Service ergänzen. Hintergrund: Die FHV hatte erkannt, wie wichtig die Angriffserkennung als zentraler Bestandteil der eigenen IT-Sicherheitsstrategie ist. Knapp 2000 Studierende und Mitarbeitende greifen auf die Netzwerke der Fach- hochschule zu – in den vergangenen zwei Jahren überwiegend remote. Einheitliche Standards für die Cy- bersicherheit können aufgrund der Vielzahl der genutzten Endgeräte daher nicht immer wirksam gewähr- leistet werden. Gesucht: Effektive und kostengünstige Angriffserkennung Das IT-Team der FHV umfasst insgesamt 20 Mitarbeitende. Für die IT-Sicherheit sind zwei Personen zu- ständig, die aber auch noch andere Aufgaben haben. „Die größten He- rausforderungen unseres IT-Securi- ty-Teams sind die zeitintensive Suche und Analyse von Anomalien und die Unsicherheit, ob unsere Gegenmaß- nahmen ausreichen“, erklärt Egon Niederacher, Leiter Information Ser- vices an der FHV. „Intern haben wir für die IT-Security als schnelllebiges und arbeitsintensives Feld schlicht keine ausreichenden Ressourcen. Zudem ist es unrealistisch, geeignete Spezialisten auf dem Arbeitsmarkt zu rekrutieren.“ Gesucht wurde also eine effektive, aber ressourcenspa- rende Lösung für ein Frühwarnsys- tem, wobei die FHV mit ACD schnell fündig wurde. Die Implementierung von ACD startet mit der Installation des Tools, über das der Service betrie- ben wird: Sensor- und Analyse-Ap- pliance. In der Safelisting-Phase werden irrelevante Ergebnisse von relevanten unterschieden und her- ausgeﬁltert. Die permanente Über- wachung ermöglicht es, die kritische Zeitspanne zwischen dem Versagen von (passiven) Protection-Tools und der Einleitung geeigneter Res- ponse-Maßnahmen zu minimieren. Warnhinweise durch das ACD-Team erfolgen, sobald Auffälligkeiten im Netzwerk registriert werden – und nicht erst nach der riskanten durch- schnittlichen Zeitspanne von bis zu sechs Monaten. „ACD von Allgeier secion ermöglicht uns die Überwachung unseres gesamten Netzwerks, ein- schließlich aller Desktops, Laptops, Tablets oder Server“, bestätigt Egon Niederacher. „Der Betrieb nimmt für unser IT-Security-Team nur wenige Stunden pro Monat in Anspruch. Dass die Cybersecurity-Spezialisten von Allgeier secion unsere Netzwerke rund um die Uhr überwachen und uns bei Ereignissen mit Handlungs- bedarf informieren, entlastet unser Team gewaltig. Auch bei der Erstel- lung eines Incident-Response-Leit- fadens haben wir uns professionell von Allgeier secion begleiten lassen.“ Fazit Gerade für kleinere IT-Teams ohne eigene IT-Security-Fachkräfte und mit überschaubarem Budget stellen Managed-Detection-and- Response-(MDR)-Services eine große Entlastung dar. Mögliche Warnmel- dungen werden im Rahmen der umfassenden Bedrohungsanalyse richtig interpretiert und priorisiert. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023 23

MEHR SICHERHEIT MEHR KONTROLLE mit der All-in-One Cybersecurity Software, Made in Jena. Ermitteln Sie Ihren CYBERSECURITY-ZUSTAND. Funktionierende ABWEHR-MECHANISMEN auf Knopfdruck. + Ihr System zur Angriffserkennung (SzA) + Konzipiert für den deutschen Mittelstand. + KRITIS/NIS2 Ready Automatisierte Pentests Schwachstellen-Scans Konfigurations-Checks IT-Monitoring Eventlog-Analyse Intrusion Detection Intrusion Prevention Mikrosegmentierung + jetzt kostenlos testen ENGINSIGHT.COM

Management und Wissen Anomalieerkennung für kritische Infrastrukturen und die Industrie Mit der Einführung des IT-SiG 2.0 gewinnt das Thema Anomalieerkennung in der Leit-, Auto- matisierungs- und Fernwirktechnik in allen Bereichen absolute Aufmerksamkeit. Gründe da- für sind die Frequenz und Komplexität von Cyberangriffen. Die Maßnahmen der Angriffser- kennung und -reaktion („Detect and Respond“) sind entsprechend wichtig. Von Dieter Barelmann, VIDEC Data Engineering GmbH Bis zum 1. Mai 2023 (BSIG § 8a Abs. 1a, EnWG § 11 Abs 1f) verlangen das BSI-Gesetz (§ 2 Abs. 9b, § 8a Abs 1) und Energiewirt- schaftsgesetz (§ 11 Abs. 1e) von Betreibern kritischer Infrastrukturen und Energieverteilungsnetzen ein System zur Angriffserkennung (SzA). In weiteren Schritten werden auch andere Bereiche zu diesen Maßnah- men verpﬂichtet. Industrielle Cybersicher- heitslösungen müssen eine umfas- sende Übersicht sowie einen tiefen Einblick der zu überwachenden Anlagen zur Verfügung stellen. Ak- tuellen Angriffen lässt sich entspre- chend der Vielfalt von Geräten und Protokollen – auch sehr alten – nur noch bedingt durch eine Absiche- rung an den Netzgrenzen begegnen. In den meisten Fällen wird bei der Incident-Response (direkte Aktivitä- ten nach dem Vorfall) und fast immer bei der folgenden Analyse klar, dass es immer Anzeichen im Produkti- onsnetzwerk gab. Anomalien, also Abweichungen vom Normalbetrieb, sind erste Anzeichen. Eine Angriffser- kennung ist somit Stand der Technik und ein absolutes Muss für alle auto- matisierten Anlagen. Angriffserkennung Die Einrichtung einer An- griffserkennung ist in den Ether- net-basierten Netzen schnell umge- setzt. Die vollständige Erfassung und Analyse aller Kommunikationspart- ner, Assets, Zeitpunkt und Dauer der Kommunikation sowie der gespro- chenen Protokolle aller Sitzungen passiert ohne weitere Anpassungen. Alarmierungen erfolgen da- bei ohne Konﬁguration auf Basis von Anomalien. Anomalien sind einer- seits abweichendes Verhalten vom Normalbetrieb (Fingerprint der An- lage), anderseits sind es auch Proto- kollfehler und -manipulationen bis hin zur automatisierten Erkennung von Aktivitäten unterschiedlicher Angriffsmodelle. Die Detektion bietet indi- rekten Schutz gegen Angriffe auf das Netzwerk und deckt diese frühzeitig auf. Aktuell beträgt die Zeit zwischen Inﬁzierung, also dem Beginn des Angriffs und dem Schadenseintritt circa sieben Monate. Diese „Inkuba- tionszeit“ kann mit einer Anomalie- erkennung efﬁzient genutzt werden. Für die Reaktion, den „Respond“, stehen die aufgezeichneten Daten direkt innerhalb der Alarmierung zur Verfügung und werden für die forensischen Untersuchung gespei- chert. Schnell wird klar, ob alle Assets bekannt sind, welche Bedrohungen vorhanden sind und wie bereits vor- handene Maßnahmen helfen. Mit einer Anomalieerkennung wirken die Maßnahmen weit vor dem Ein- tritt eines Notfalls. Der ehemals hohe Aufwand für einen Schutz hat sich durch den Einsatz einer Anomalieerkennung stark reduziert. IRMA wurde als Anomalieerkennung, Risikobewer- tung und Netzplan für Kritis- und Industrieunternehmen entwickelt. Eine Zielsetzung war es, die Security in den Automatisierungsbereichen möglichst einfach mit dem vorhan- denen Personal zu bewerkstelligen. IRMA Security muss übersichtlich, bedienbar und einfach sein. Dieser Anspruch und das Prinzip „Security by Design“ bilden die Grundpfeiler für die Entwicklung von IRMA. Das Resultat ist die Erfüllung der Empfehlungen des BSI CS 134 zum „Monitoring und Anomalieerken- nung in Produktionsnetzwerken“, des IT-Sicherheitsgesetzes 2.0 und die Verwendung in allen Branchen. IRMA enthält in der Grund- konﬁguration bereits die wichtigsten Kernfunktionen, um die Kritis-An- forderungen der Anomalieerken- nung zu erfüllen. Automatische Erkennung der Assets Insgesamt geht es um die Er- fassung relevanter Protokolldaten der betreffenden Systeme und Netzwer- ke, die Aufschluss über einen Cyber- © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023 25

Management und Wissen Das Dashboard von IRMA angriff geben können. Idealerweise mit einer Deep-Packet-Inspection für relevante Protokolle (z. B. 104er Fernwirkprotokoll oder Siemens S7). IRMA identiﬁ ziert vollstän- dig autonom, erfasst und analysiert alle Systeme und Verbindungen ohne jegliche Aktivität im Netzwerk der Produktionsanlage. Diese grund- sätzliche Funktion ist im Wesentli- chen passiv, bedeutet, dass zunächst kein Teilnehmer aktiv angefragt wird. Ein wichtiger Aspekt, da viele alte Geräte auf solche Abfragen sehr sensibel reagieren und neue Teilneh- mer dadurch automatisch erkannt werden. Auch bei segmentierten Netzwerken wird dabei die ganz- heitliche Überwachung durch den Einsatz IRMA-Client-TAPs (verteilte Sensoren) gewährleistet. Eine Anzeige des Bedro- hungslevels in Form eines Wertes gibt dem Anwender einen kontinu- ierlichen Überblick über den Zustand seiner Anlage. Über die Zeit gesehen, lässt sich die Kennzahl auch für eine Langzeitbetrachtung nutzen. Ein nützliches Werkzeug für jeden Anla- genfahrer, der mit einem Blick seine Anlage einschätzen und eventuell notwendige Maßnahmen einleiten kann. Risikomanagement Das Risikomanagement un- terstützt die Mitarbeiter (IT- und Automatisierungsfacharbeiter) bei der Bewertung eines jeden Assets und ermöglicht die standardkonfor- me Dokumentation für das Securi- ty-Management. Mit der Bewertung der Risiken lassen sich Maßnahmen optimaler planen und bei Anomalien besser einschätzen. Netzwerkplan IRMA bietet eine graﬁ sche Darstellung des gesamten Netzwer- kes mit allen Querverbindungen in der Kommunikation sowie die Auswertungen zu jedem einzelnen Teilnehmer. Jeder Netzwerkplan kann einzeln gespeichert werden, und bei erneuter Öffnung wird der Anwender sofort auf die Änderungen hingewiesen. Alarmierung Die Alarmierung bei Ano- malien wird in der Bedienoberﬂ äche angezeigt und automatisiert über gesicherte Verbindungen kommu- niziert. Es steht mit der Schaltung von potenzialfreien Kontakten eine elektrische Alarmierung direkt in das Leitsystem zur Verfügung. Durch die Vielzahl der elektronischen Da- tenschnittstellen als restAPI, SMTP oder SFTP ist die Weitergabe und In- tegration in ein Alarmierungssystem (z. B. AIP) oder in unternehmenswei- te Security-Information-Event-Ma- nagement-(SIEM)-Systeme sowie in Information-Security-Manage- ment-Systeme (ISMS) aufwandsarm möglich. Die aktive Suchfunktion Die Informationen aus dem Datenpool gehen in IRMA grundsätz- lich zwei Wege. Zum einen werden die Daten in IRMA analysiert und in der Weboberﬂ äche übersichtlich und verständlich dargestellt. Bei Anomalien erfolgt automatisch eine Alarmierung. Zum anderen werden alle passiv erfassten Netzwerkpakete in einem Speicherbereich gesichert und stehen im Nachgang für eine forensische Analyse über PCAP-Da- teien zur Verfügung. Somit steht mit IRMA der Angriffserkennung im Unterneh- mensumfeld ein intuitiv bedienbares Paket zur Verfügung. Dabei kann der Betreiber seine Sicherheitsaufgaben auch an ein kompetentes Unter- nehmen auslagern und IRMA als Sensor für die Datenbeschaffung und Alarmierung verwenden. Eine SIEM-Integration mit- tels der integrierten Rest API ist ohne Probleme möglich. In solch einer Konstellation liefert IRMA die notwendigen Daten für ein überge- ordnetes System. Die Produktentwicklung in Bremen folgt den Prinzipien des Se- curity-by-Design-Ansatzes (vgl. IEC 62443-4-x). Die Entwicklungsmann- schaft besteht aus einem Team kom- petenter IT-/OT-Sicherheitsexperten, die auf mehrere Jahrzehnte Berufser- fahrung in den Marktsegmenten IT-Security und Automatisierung zu- rückblicken können. IRMA ist durch die Selbstverpflichtungserklärung bereits seit vielen Jahren Trägerin des TeleTrusT-Vertrauenszeichen „IT Security made in Germany“. n 26 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023

Schutz für IT und OT Systeme zur Angriffserkennung 8com unterstützt Betreiber von Kritischen Infrastrukturen und Energieversorgungsnetzen bei der Umsetzung der Orientierungs- hilfe (OH) zum Einsatz von Systemen zur Angriffserkennung (SzA). J e t z t W h i t e p a p e r h e r u n t e r l a d e n Gap-Analyse zur Ermittlung des Ist-Zustands Priorisierung technischer und organisatorischer Lücken Einführung oder Optimierung SzA (SIEM/NDR) Erfüllung von Umsetzungsgrad 3 oder höher gemäß OH des BSI www.8com.de/sza

Management und Wissen Technische und organisatorische Maßnahmen nötig Worauf es bei der Erkennung von Angriffen ankommt Im September letzten Jahres hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung final ver- öffentlicht – und damit die Anforderungen aus dem IT-Sicherheitsgesetz 2.0 weiter kon- kretisiert. Eine wichtige Rolle spielen dabei die Aufgaben Protokollierung, Detektion und Reaktion. Worauf es dabei ankommt und wie KRITIS-Betreiber eine passende Lösung noch termingerecht umsetzen können, erklärt dieser Beitrag. Von Arnold Krille, genua GmbH Paragraf 8a des BSI-Gesetzes (BSIG) verpﬂichtet Be- treiber kritischer Infrastrukturen ab dem 1. Mai 2023 Syste- me zur Angriffserkennung (SzA) einzusetzen. Diese gelten als effektive Maßnahme, um Cyberangriffe frühzeitig zu erkennen und Schäden zu vermeiden oder zumindest zu vermindern. Um für betroffene Unternehmen bei der individuellen Umsetzung der neuen gesetzlichen Anfor- derungen zusätzliche Klarheit und Sicherheit zu schaffen, hat das BSI Ende September 2022 eine „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ he- rausgegeben. Sie soll künftig auch prüfenden Stellen als Anhaltspunkt dienen. Gemäß Orientierungshilfe lassen sich die tech- nischen Funktionen und Aufgabenbereiche von Syste- men zur Angriffserkennung drei Bereichen zuordnen: Protokollierung, Detektion und Reaktion. So müssen die Systeme durch fortlaufende Auswertung der gesammelten Informationen sicherheitsrelevante Ereignisse erkennen, beispielsweise durch Missbrauchs- oder Anomalie-Erken- nung. Betreiber sollten ferner Maßnahmen implemen- tieren, um Störungen infolge von Angriffen zu verhin- dern oder auf sie zu reagieren. Das kann sowohl durch technische als auch durch organisatorische Maßnahmen umgesetzt werden. Protokollierung in der Angriffserkennung In der gängigen IT-Infrastruktur haben sich zen- trale Protokollierungsdienste und Log-Management-Lö- sungen weitgehend etabliert. Sie ermöglichen eine umfas- sende Analyse von Vorgängen und Angriffen. Anders sieht es dagegen im Internet der Dinge aus, beispielsweise bei vernetzten Maschinen und Anlagen in der industriellen Produktion. Ein zentrales Logging ist hier bisher nur sehr selten anzutreffen, jedoch unerlässlich, um Störungen und Angriffe effektiv zu erkennen und zu bekämpfen. Eine zentrale Erfassung der relevanten Logdaten aller Komponenten ist darum Pﬂicht. Auch gibt es Komponenten im Netz, die aufgrund ihrer beschränkten Ressourcen neben der normalen Funk- tion keine zusätzlichen Logging-Aufgaben übernehmen können. In solchen Fällen ist eine Überwachung des ent- sprechenden Netzwerksegments von außen notwendig. Auch diese Überwachungserkenntnisse müssen in das zentrale Logging eingespeist werden. Der cognitix Threat Defender zeigt aufsummiert, welche Assets in den letzten 30 Tagen wie viel Datenverkehr initiiert beziehungsweise beantwortet haben sowie den Daten- verkehr zwischen den Assets. Die Qualität von Angriffserkennung ist davon abhängig, dass Assets und Kommunikation im Netzwerk vollständig gescannt werden können. Die Qualität der Erkennung ist davon abhängig, dass ein System zur Angriffserkennung ein Netzwerk vollständig scannen kann. Relevante Daten sind beispiels- 28 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023

weise, welche Geräte im Netzwerk vorhanden sind, wer mit wem kommuniziert, und welche Kommunikations- protokolle wie häuﬁg verwendet werden. Daher empﬁehlt das BSI, zusätzlich ein System zur Netzwerküberwachung zu installieren, selbst wenn alle Geräte ihre Aktivitäten eigenständig protokollieren können. Denn nur mit einer breiten Datenbasis kann die nachfolgende Detektion erfolgreich sein. Auffälligkeiten analysieren und richtig bewerten Die durch die Protokollierung erzeugten Daten müssen auf Abweichungen analysiert werden. Dabei ist es nicht ratsam, sich allein auf eine technische und auto- matische Analyse zu verlassen. Stattdessen muss zwingend ein Mensch die Protokolle regelmäßig und vollständig auf Auffälligkeiten prüfen. Das BSI ist sich der Schwierigkeit bewusst, dass technische Systeme zwar sehr gut Abweichungen von ge- lernten Mustern erkennen, jedoch nur sehr schlecht deren Auswirkungen einschätzen können. Zumal in gängigen Anlagen (gewollte) Änderungen die Lernfähigkeit von automatischen Methoden regelmäßig überfordern. Das Erkennen von neuen und unbekannten Störungen und die Bewertung, ob es sich um Störfälle, Probleme oder gar Angriffe handelt, obliegt also explizit dem Fachpersonal. Effektive Reaktion braucht ein klares Lagebild Auf die mit der Detektion erkannten sicherheits- relevanten Ereignisse muss dann adäquat reagiert werden. Neben der Benennung von Verantwortlichen sind hier vor allem die Deﬁnition und Einhaltung von standardisierten Vorgehensweisen wichtig. Nur wenn alle Beteiligten und Betroffenen schnell ein klares Bild von der Bedrohung und der nötigen Reaktion haben, kann auch effektiv reagiert werden. Dabei ist es elementar wichtig, zwischen mehr oder weniger drastischen Maßnahmen der Angriffs- bekämpfung auf der einen und der Sicherstellung der eigentlichen Kernaufgabe der kritischen Infrastruktur auf der anderen Seite abzuwägen. Auch die passende und zeit- nahe Information an die jeweils relevanten Meldestellen muss deﬁniert sein. Je schneller und umfassender Maßnahmen erfol- gen, umso effektiver wirken sie. Daher wird zumindest in weniger kritischen Bereichen auch die automatische Re- aktion nicht nur empfohlen, sondern muss möglich sein. Die Überwachung eines Netzwerkes mit der Möglichkeit des aktiven und automatisierten Eingreifens muss also von Anfang an berücksichtigt werden. Blick ins Cockpit des cognitix Threat Defender. Nur wenn alle Beteiligten und Betroffenen schnell ein klares Bild von der Bedrohung und der nötigen Reaktion haben, kann effektiv reagiert werden. Angriffserkennung mittels Anomalieerkennung Wie sich Protokollierung, Detektion und Reaktion mit Anomalieerkennung nach aktuellem Stand der Tech- nik unterstützen lassen, sei am Beispiel des cognitix Threat Defender (genua GmbH) erklärt. Die Lösung erfüllt alle wesentlichen gesetzlichen Anforderungen an ein techni- sches System zur Angriffserkennung. cognitix Threat De- fender zeichnet sich unter anderem durch eine sehr gute Erkennung von Netzwerkkomponenten aus und bezieht alle maßgeblichen Systeme, Komponenten oder Prozesse wie IT, OT, Rechenzentren und Embedded-Systeme ein. Betreiber können relevante Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Werden Auffälligkeiten entdeckt, steht ein abgestuftes Spektrum an Reaktionsmöglichkei- ten zur Verfügung. Neben der Meldung von Anomalien können Geräte und Kommunikation beispielsweise isoliert, verlangsamt oder vollständig blockiert werden. Um bei unklarer Bedrohungslage unnötige Beeinträchti- gungen im Netzwerk zu vermeiden, kann cognitix Threat Defender im Fall einer Inzidenz auch adaptiv reagieren. Dann lässt er für das betroffene Gerät im Netzwerk nur jene Aktionen zu, die in den vergangenen 24 Stunden als „normal“ gelernt wurden. Alles, was davon abweicht, wird gedrosselt oder blockiert und an die Security-Verant- wortlichen gemeldet. Damit gewinnen diese Zeit für eine angepasste und effektive Reaktion. Organisatorische Maßnahmen unterstützen Ein System zur Abwehrerkennung beschränkt sich laut BSI allerdings nicht allein auf technische Lösungen, sondern umfasst auch organisatorische Maßnahmen, um die Cybersicherheit eines Unternehmens sicherzustellen. cognitix Threat Defender als technische Komponente ist darum auch mit Blick auf die Usability entwickelt worden. Mit der modernen Benutzeroberﬂäche werden dem Ver- antwortlichen die relevanten Informationen auf einfache Weise dargestellt und geben damit schnell die „situational awareness“. n © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023 29

Management und Wissen Fristgerechte Umsetzung durch intelligente Sicherheitsorchestrierung und -Automatisierung Gesetzliche KRITIS-Vorgaben sind bis zum 1. Mai 2023 zu erfüllen Cyberbedrohungen auf kritische Bereiche haben in den letzten Jahren nicht nur massiv zu- genommen, sondern sie sind auch aggressiver, intelligenter und perfider geworden. Laut Bitkom beläuft sich der Schaden pro Jahr allein in Deutschland auf 200 Milliarden Euro. An das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab es im Jahr 2022 (Juni 2021 bis Mai 2022) rund 452 Meldungen von KRITIS-Betreibern. Seit 2015 gibt es eine Mel- depflicht für Betreiber kritischer Infrastrukturen. Von Sabine Kuch, freie Journalistin für Rapid7 Aufgrund der wachsenden Bedrohungslage hat der Gesetzgeber die Vorgaben für Betreiber kritischer Infrastrukturen verschärft. Unter- nehmen, Zulieferer, Einrichtungen und Organisationen, die kritische In- frastrukturen (KRITIS) betreiben und mithilfe von Anlagen wie Hard- und Software kritische Dienstleistungen bereitstellen, unterliegen den vom Gesetzgeber beziehungsweise von den Regulierungsbehörden festge- legten Registrierungs-, Prüf-, Mel- „Cyberangriffe sind zu einer enormen Bedro- hung für die deutsche Wirtschaft und somit unsere kritischen Infrastrukturen geworden“, Georgetta Toth, Regional Director Central Europe bei Rapid7. de- und Nachweispﬂichten (BSIG, KRITISV 2016, IT-Sicherheitsgesetz 2.0, KRITIS-Verordnung 2021). Kritische Infrastrukturen sind Orga- nisationen und Einrichtungen mit wichtiger Bedeutung für das staatli- che Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, er- hebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Dazu zäh- len beispielsweise Unternehmen der Energieversorgung, Transport oder Abfallwirtschaft. Schutz von Staat, Bevöl- kerung und Wirtschaft Mit dem IT-Sicherheitsgesetz 2.0 kommen auch immer mehr Un- ternehmen in die Pﬂicht, Vorkehrun- gen nach dem aktuellen Stand der Technik zu treffen. Die Haftung für die Umsetzung liegt dabei regelmä- ßig auf Geschäftsführerebene. Dazu Georgetta Toth, Regio- nal Director Central Europe, Rapid7: „Cyberangriffe sind zu einer enor- men Bedrohung für die deutsche Wirtschaft und somit unsere kriti- schen Infrastrukturen geworden. Die Schäden durch Cyberkriminalität, verbunden mit dem Ausfall von IT- und OT-Systemen oder der Störung von zentralen Betriebsabläufen, steigen dynamisch. Durch die fort- schreitende Digitalisierung der Wirt- schaft und nicht zuletzt durch den Krieg in der Ukraine ist uns bewusst geworden, wie sehr unser Wohlstand beispielsweise auf eine störungsfreie Energieversorgung angewiesen ist. Mit unserem Innovationskonzept der intelligenten Sicherheit -Or- chestrierung und -Automatisierung bietet Rapid7 Unternehmen und Organisationen aus dem KRITIS-Um- feld hoch performante Lösungen zur Absicherung hybrider Netzwerke. Unsere Experten stehen Unterneh- men bei der Planung und Umsetzung der notwendigen Maßnahmen zur Verfügung.“ Mehr Vorsorge und Transparenz gefordert Bis Ende April 2023 müssen Präventiv- und Schutzmaßnahmen wie Bedrohungs-, Schwachstellen- und Asset-Analysen sowie Systeme zur Angriffserkennung integriert und nachgewiesen, Störungen gemeldet werden (BSIG, KRITISV 2016, IT-Si- © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023 31

Management und Wissen cherheitsgesetz 2.0, KRITIS-Verord- nung 2021). Bei einer Verfehlung dieser Vorgaben drohen äußerst empﬁndliche Strafen bis in den sie- benstelligen Euro-Bereich. Das neue IT-Sicherheitsge- setz 3.0 ist bereits in Diskussion, und man kann jetzt schon absehen, dass der damit verbundene Mehrauf- wand für Unternehmen in puncto Komplexität, Audits, Tests und Fachpersonal noch einmal steigen wird. Sollte zudem die EU-Direktive NIS-2 Eingang in das neue IT-Sicher- heitsgesetz 3.0 ﬁnden, werden schon bald Unternehmen mit kritischer Infrastruktur ab 50 Mitarbeitenden als KRITIS-Betreiber eingestuft. Es gilt als wahrscheinlich, dass die umfassendere CER-Richtlinie (EU 2022/2557) von Ende 2022, die die Resilienz von kritischen Infrastruktu- ren in der EU reguliert und bis 2024 in nationales Recht überführt werden muss, ebenfalls in das neue IT-Si- cherheitsgesetz 3.0 einﬂießen wird. Es ist anzunehmen, dass zukünftig Mithilfe der Rapid7-Lösung lassen sich die gesetzlichen Vor- gaben umsetzen. Betreiber kritischer Infrastrukturen auch proaktive Schutzmaßnahmen vor Bedrohungen aus dem Deep Web und Dark Web, sowie zur Absiche- rung von Public-Cloud-Infrastruktu- ren nachweisen müssen. Zukunftsfähige Sicherheitslösungen erforderlich Um die Vorgaben des IT-Si- cherheitsgesetzes zu erfüllen, muss nicht nur Cybersicherheit, sondern auch Investitionssicherheit garan- tiert werden. Um KRITIS-Betreiber technologisch und unter Beachtung von Compliance-Vorgaben zu- kunftssicher bedienen zu können, sind die Anforderungen an Sicher- heitslösungsanbieter entsprechend hoch. Folgende Mindeststandards sind zu erfüllen: ––——— einfach implementierbare, durch zahlreiche Erweiterungen auch in Drittanbieter-Umgebungen integrierbare Lösungen ––——— ein durch Sicherheitsor- chestrierung logisch abgestimmtes Lösungsportfolio ––——— ein transparentes Lizenz- modell, das planbare Investitionen ermöglicht ––——— eine Sicherheitsautomati- sierung, die auch Aspekte wie Fach- kräftemangel, Speicherdauer von Logdaten berücksichtigt ––——— eine auch durch einschlägi- ge IT-Marktforschungs- beziehungs- weise Consulting-Unternehmen an- erkannte internationale Reputation ––——— eigene Forschungen und Weiterentwicklungen, die den Si- cherheitsgedanken vorantreiben und immer neue Impulse verleihen. Sicherheitsexpertin Toth er- gänzt: „Wir erhalten aktuell viele An- fragen von Unternehmen, um diese bei der Umsetzung der Standards zu begleiten. Unser Unternehmen ist in- ternational als einer der innovativs- ten Anbieter für Sicherheitslösungen 32 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023

mit mehr als 10 000 Kunden weltweit anerkannt. Wir sind mehrfach als „Leader“ (Forrester, Gartner, Frost & Sullivan, Cyber Defense Magazine, IDC) und Visionär (Gartner Magic Quadrant) ausgezeichnet worden. Unsere Rapid7-Sicherheitslösungen werden in eigenen Security-Ope- rations-Centern rund um die Uhr von IT-Sicherheitsexperten zur Überwachung, zur Analyse und zum Schutz vor Cyberattacken eingesetzt und kontinuierlich durch neue Forschungsergebnisse weiterentwi- ckelt.“ Rapid7 wurde in der Forres- ter Wave: Midsize Managed Security Services Providers (Q3 2020) zum Leader ernannt. Forrester nennt 26 wesentliche Kriterien bei der Bewertung von Managed-Securi- ty-Service-Providern, wobei das umfassende Portfolio von Rapid7 in elf Kriterien die höchstmögliche Punktzahl erhielt. Schutz und Compliance mit skalierbaren Sicher- heitslösungen Mit seinem Innovationskon- zept der intelligenten Sicherheitsor- chestrierung und -Automatisierung bietet Rapid7 Unternehmen und Organisationen aus dem KRITIS-Um- feld hoch performante Lösungen zur Absicherung hybrider Netzwerke. Das gilt für Schwachstellen, die Analyse von Bedrohungen (SIEM), für die proaktive Bedrohungsanalyse im Clear-, Deep- und Dark Web wie auch für die zentrale Überwachung von Public-Cloud- und Kubernetes- Infrastrukturen. Die Sicherheitslösungen er- füllen Vorgaben und Forderungen, wie sie in den Rechtsverordnungen BSIG, KRITISV 2016, IT-Sicherheits- gesetz 2.0 und KRITIS-Verordnung 2021 hinterlegt sind. Die Anwendungen können durch offene Schnittstellen und ein „Security Orchestration Automati- on and Responses“-(SOAR)-System perfekt in bestehende Strukturen eingebettet und zur Entlastung der oftmals knappen personellen Fach- ressourcen, auch durch anpassbare 24x7 Managed Services, automati- siert werden. Ausgewiesene Experten stehen den Unternehmen rund um die Uhr hilfreich zur Seite, von der Planung und Strategie bis hin zum Full-Service-Support. Die Lösungen sind einfach zu implementieren, verfügen über ein transparentes, zukunftssicheres Lizenzierungsmodell sowie über eine einheitliche Insight-Manage- ment-Oberﬂäche. Die Rapid7 Insight Plattform bietet umfassende Sicherheit: ––——— Kontrolle von eigenentwi- ckelten Web-Applikationen ––——— Automatisierung und Inte- gration in bestehende Umgebungen ––——— 24x7 Managed Vulnerabili- ty Management (MVM) ––——— 24x7 Managed Application Security (MAS) ––——— 24x7 Managed Detection and Response (MDR = SIEM + XDR) ––——— Asset- und Schwachstellen- management: OT-Schwachstellen Management und Angriffserken- nung mit integriertem Technologie- partner SCADAfence ––——— Kontrolle von Lieferanten, Dienstleistern und Dritten – Clear- Deep- und Dark-Webanalyse (Threat Intelligence) ––——— Vorfallerkennung und Bearbeitung (SIEM & IDR/XDR) – integrierte 13-monatige Speicherung von Log-Dateien ––——— Absicherung von Pub- lic-Cloud- und Kubernetes-Umge- bungen n Impressum Bankverbindung: UniCredit Bank AG, München, IBAN: DE34 7002 0270 0015 7644 54 Media-Daten: Unsere Media-Daten ﬁnden Sie online auf www.kes.info/media/. GmbH Augustinusstraße 11 A, 50226 Frechen (DE) Tel.: +49 2234 98949-30, Fax: +49 2234 98949-32 redaktion@datakontext.com, www.datakontext.com Geschäftsführer: Dr. Karl Ulrich Handelsregister: Amtsgericht Köln, HRB 82299 Alle Rechte vorbehalten, auch die des aus- zugsweisen Nachdrucks, der Reproduktion durch Fotokopie, Mikroﬁlm und andere Ver- fahren, der Speicherung und Auswertung für Datenbanken und ähnliche Einrichtungen. Zurzeit gültige Anzeigenpreisliste: Nr. 41 vom 01. Januar 2023 Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel.: +49 6728 289003, anzeigen@kes.de Herstellungsleitung und Vertrieb: Dieter Schulz, dieter.schulz@datakontext.com, Tel.: +49 2334 98949-99 Satz: BLACK ART Werbestudio Stromberger Straße 43a, 55413 Weiler Druck: QUBUS media GmbH, Beckstraße 10, 30457 Hannover Titelbild: NeoLeo - stock.adobe.com © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023 33

Secupedia – das Portal für Sicherheitsinformationen . m o c . e b o d a k c o t s - r o h t u a m o c : d l i B Wir bedanken uns bei unseren Sponsoren: 34 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Angriffserkennung und Reaktion, April 2023

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ ✓ Printausgabe liegt <kes> bei ✓ ✓ digitales eMagazine kostenfrei verfügbar ✓ weitere Specials hier kostenfrei downloaden: weitere Specials hier kostenfrei downloaden: kes.info/archiv/specials/ kes.info/archiv/specials/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ ✓ hohes technisches Niveau und redaktionell unabhängig ✓ ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? <kes> genauer kennenlernen? Einfach kostenfreies Probeheft anfordern unter: Einfach kostenfreies Probeheft anfordern unter: kes.info/service/probeheft/ kes.info/service/probeheft/ Leseproben <kes> unter: kes.info/archiv/leseproben/

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ Printausgabe liegt <kes> bei ✓ digitales eMagazine kostenfrei verfügbar weitere Specials hier kostenfrei downloaden: kes.info/archiv/specials/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ hohes technisches Niveau und redaktionell unabhängig ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? Einfach kostenfreies Probeheft anfordern unter: kes.info/service/probeheft/ LESEPROBE <kes> AUF DEN FOLGESEITEN weitere Leseproben unter: kes.info/archiv/leseproben/

Management und Wissen Cloud-Security Security-Chaos-Engineering Ansätze zur kontinuierlichen Überprüfung der Cloud- Sicherheitslage Will man effektiv gegen Cyberangriffe auf Cloud-native Infrastrukturen vorgehen, muss man deren Resilienz erhöhen und zugehörige Sicherheitskontrollen dynamisieren – stetig, kontinuierlich, ohne Pause, denn schließlich entwickeln auch Cyberkriminelle ihre Angriffs- vektoren beständig weiter. Das Security-Chaos-Engineering versucht, an dieser Stelle anzu- setzen und eine Sicherheitsbewertung quasi in Echtzeit zu verwirklichen. Von Kennedy Torkura, Berlin Cloud-native Infrastrukturen sind häuﬁg zwar von langer Hand geplant, erweisen sich in der Praxis aber meist als ziemlich unsicher. Zwar gibt es präventiv einsetzbare Lösungen, mit denen sich die Effektivität von Sicherheitskontrollen überprüfen lässt und mit denen man Schwachstellen in Cloud-nativen Infrastrukturen aufspüren kann, doch diese reichen nicht aus: Denn sie sind für statische On-Premises-, nicht jedoch für dyna- mische Cloud-Infrastrukturen konzipiert. Gerade diese Dynamik aber muss berücksichtigt werden! Denn wenn sich eine Cloud-native Infrastruktur nach einer Überprü- fung durch Sicherheitskontrollen weiterentwickelt, büßen die Ergebnisse dieser Prüfung an Wert ein oder verlieren ihn gleich ganz. Ein relativ neuer Ansatz verspricht hier Abhilfe: Security-Chaos-Engineering. Diese Methode ermöglicht eine objektive Bewertung der eigenen Sicher- heitskontrollen – quasi in Echtzeit. Dark Debt Als Haupteinfallstore gelten auch in Cloud-na- tiven Infrastrukturen Fehlkonﬁgurationen, Schwachstel- len und schwache Zugangskontrollmechanismen – sowie teilweise oder sogar gänzlich falsch aufgestellte und aus- gerichtete Sicherheitskontrollen. Cloud-native Infrastruk- turen sind in aller Regel überaus umfangreich, komplex und dynamisch – entsprechend schwierig gestalten sich die Konzeption, Implementierung und Nachjustierung ei- ner wirklich umfassenden Sicherheitsarchitektur. Voraus- schauende Planungen, klassische Simulationen und Tests helfen nur bedingt: Zu ﬂuide sind Cloud-Infrastrukturen, als dass derart statische Lösungen bei ihnen effektiv greifen könnten. Erschwerend kommt hinzu, dass Cloud-native Systeme – mit wachsendem Umfang und zunehmender Komplexität – dazu neigen, zu einem Schmelztiegel für sogenanntes Dark Debt zu werden. Bei Dark Debt handelt es sich um Schwachstel- len, die erst mit einer gewissen Komplexität, also nach Zunahme des Zusammenspiels verschiedener Hard-, Firm- und Software auftreten – vorrangig passiert das in Cloud-nativen Infrastrukturen. Da deren IT-Assets häuﬁg unterschiedlich alt sind, während ihrer Entwicklung also möglicherweise abweichende Vorgaben und Richtlinien galten, harmonieren diese längst nicht immer miteinan- der. So können bestimmte Interaktionen unvorherge- sehene Reaktionen – bis hin zu einem Totalausfall der gesamten Infrastruktur – nach sich ziehen. Sich hiergegen zu schützen und die Verfügbar- keit der Cloud-nativen Infrastruktur sicherzustellen, ist schwer: Denn bis zum Eintreten einer Reaktion bleibt Dark Debt unsichtbar. Es kann auf vier Ebenen auftreten: auf der Infrastruktur-, Plattform-, Anwendungs- sowie der Personen-, Praktiken- und Prozess-Ebene. Um die Verfüg- barkeit einer Infrastruktur effektiv sicherzustellen, sind deshalb alle vier Ebenen kontinuierlich und umfassend zu überwachen. Chaos-Engineering Chaos-Engineering hilft dabei, Dark Debt auf- zuspüren, bevor es sich zu einem kritischen Problem für Cloud-native Infrastrukturen auswächst. Anwender können mithilfe dieser Methode effektiv ermitteln, ob und wo in ihrer Infrastruktur, ihren Plattformen, ihren Anwendungen, bei Personen, Richtlinien und Praktiken etwaige Dark-Debt-Schwachstellen lauern – und diese beheben, bevor sie das Gesamtgefüge gefährden. Hierzu werden in einer Simulation der Infrastruktur zuvor deﬁ- nierte realistische Fehlerszenarien durchgespielt, um zu ermitteln, ob das System ihnen standhält. Traditionell erfolgt Chaos-Engineering manuell durch Teams, die 6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#2

griff, wie erhofft, abwehren können – oder eben nicht. Die Reaktion der Sicherheitskontrollen wird beobach- tet, analysiert und ausgewertet. Auf Basis dieser Auswertung lassen sich dann Empfehlungen aussprechen und Änderungen an den Einstel- lungen der Sicherheitskontrollen vornehmen. Das Besondere daran: Ein Angriff wird als Hypothese formu- liert. Deren Überprüfung erfolgt dann durch das Sammeln von Be- weisen – die Reaktion der Kontrollen. Anders als bei manchen anderen Analyse- oder Bewertungsmethoden handelt es sich deshalb hier um einen objektiven, faktenbasierten Analyse- prozess – und nicht um bloße Vermu- tungen und subjektive Annahmen. Mit SCE lassen sich Angriffs- typen und -szenarien, zum Beispiel ein Ransomware-, Unauthorized- Access-to-AWS-Lambda-Functions- oder Manipulation-of-AWS-Security- Groups-Angriffe, in einem Experi- ment, das der Infrastruktur in Echt- zeit nachempfunden ist, realistisch durchspielen. Auf diesem Wege kann man nicht nur effektiv und efﬁzient vermutete Lücken in den Sicherheits- kontrollen aufspüren, sondern auch solche, an die das IT-Sicherheitsteam vielleicht noch gar nicht gedacht hat. Von Sicherheitskontrollen über die Anomalie-Aufspürung, Vorfallsreak- tion und Systemwiederherstellung bis hin zur Einhaltung von Compli- ance-Vorgaben lassen sich dabei alle Sicherheitslösungen effektiv und effizient evaluieren, im Hinblick auf ihre Effektivität veriﬁzieren und dann – bei Bedarf – optimieren. Vorzüge von SCE Traditionell setzen Red, Blue und Purple Teams der IT-Sicherheit zum Aufspüren von Sicherheits- lücken und Schwachstellen auf Methoden wie Fuzzing und Pene- tration-Testing. Doch solche Me- thoden erfordern in der Umsetzung viel manuellen Arbeitsaufwand und Zeit, was eine umfassende Analyse der Sicherheitskontrollen erschwert, eine kontinuierliche Prüfung sogar praktisch unmöglich macht. Hinzu kommt: Fuzzing kann lediglich Anwendungen testen und dies auch nur in Entwicklungs-, nicht aber in Produktionsumgebungen. Mit Penetrationstests lässt sich zwar schon deutlich mehr erreichen, doch werden diese in aller Regel als Black- Box-Test durchgeführt: Die Angriffe erfolgen so, als ob die Angreifer nur sehr wenig oder gar nichts über die zu attackierende Infrastruktur und ihre Sicherheitskontrollen wüssten. Chaos-Engineering lässt sich hingegen in allen Umgebungen realisieren, muss nicht auf einzelne Anwendungen beschränkt bleiben y t i l i s e R : e l l e u Q Abbildung 1: Angriffspfade können in Cloud- nativer Infrastruk- tur über mehrere Abstraktionsschich- ten ablaufen, die alle geschützt werden müssen – diese Komplexität erschwert manuelle Prüfungen enorm. von einem Chaos-Engineer unter- stützt und angeleitet wurden. Eine manuelle Umsetzung ist jedoch mit erheblichem Arbeitsaufwand verbunden, was Frequenz, Art und Umfang der Verfügbarkeitstests stark einschränkt. Mittlerweile steht allerdings auch eine ganze Reihe moderner Chaos-Engineering-Lösungen als Software as a Service (SaaS) bereit, die es Anwendern ermöglicht, solche Ex- perimente automatisiert ablaufen zu lassen. Der große Vorteil: In puncto Komplexität und Umfang sind sie damit praktisch unbegrenzt skalier- bar. Sie lassen sich auf allen Ebenen der Infrastruktur (Anwendungen, Cloud-Umgebungen, Kubernetes- Clustern usw.) in Echtzeit umsetzen. Das ganze soziotechnologische Sys- tem kann so in den Blick genommen werden: Dark Debt lässt sich effektiv und efﬁzient reduzieren, Downtime minimieren und die Verfügbarkeit der gesamten Infrastruktur opti- mieren. Verfügbarkeits- und Leis- tungsprobleme – ob nun natürlich oder künstlich, zum Beispiel durch menschliches Fehlverhalten, herbei- geführt – können so in Quantität wie Qualität deutlich zurückgefahren werden. Security-Chaos-Engineering Um vollumfänglich für In- formationssicherheit in der Cloud zu sorgen, genügt es natürlich nicht, allein die Verfügbarkeit zu gewährleisten – auch Integrität und Vertraulichkeit sind sicherzustel- len. Und genau hier kommt nun Security-Chaos-Engineering (SCE) ins Spiel: eine Methode zur Analyse der Wirksamkeit bestehender Sicher- heitskontrollen, die auf dem Prinzip des Chaos-Engineering beruht. Durch proaktives Experi- mentieren mit geplanten, künstlich herbeigeführten Angriffen lässt sich mit SCE das reale Verhalten der Si- cherheitskontrollen objektiv dahin gehend bewerten, ob sie einen An- © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#2 7

Management und Wissen Cloud-Security und kann als White-Box-Test durch- geführt werden. Das Experiment verläuft also so, als ob beim Angreifer bereits ein tieferes Verständnis der Infrastruktur und Sicherheitskon- trollen des Opfers vorhanden wäre. Tabelle 1 führt weitere Vergleiche der verschiedenen Methoden auf. Von den Vorzügen des SCE können neben IT-Sicherheits-Teams auch IT-Sicherheits-Beauftragte pro- ﬁtieren – denn SCE senkt das Risiko erfolgreicher Cyberangriffe – Sicherheitslücken und Schwachstellen können recht- zeitig entdeckt und behoben werden stärkt das Vertrauen der IT-Sicherheitsteams in ihre Sicher- heitskontrollen – dank realer An- griffstypen und -szenarien auf die tatsächliche Infrastruktur können sie sich eine beweiskräftige Vorstel- lung von der Resilienz ihres Systems machen liefert IT-Sicherheitsbeauf- tragten beweiskräftige Aussagen zur Effektivität aller bereits implemen- tierten Sicherheitstools und hilft ihnen so dabei, deren „Return of Invest“ (ROI) nicht mehr subjektiv, sondern objektiv zu bewerten heitsübungen – zum Beispiel zur Optimierung der Reaktion einzelner Abteilungen oder auch der gesamten Belegschaft auf Cyberangriffe oder der Wiederherstellung der Infra- struktur hilft IT-Sicherheitsbeauf- tragten bei der Einordnung der Sicherheitskontrollen in ein Rei- fegradmodell, was eine objektivere, nachvollziehbarere Planung ihrer Optimierung ermöglicht unterstützt IT-Sicherheitsbe- auftragte bei der Implementierung und Umsetzung einer umfassenden Zero-Trust-Architecture (ZTA) – auch und gerade in der Cloud kann es bei deren Einrichtung leicht zu Fehl- konﬁgurationen mit gravierenden Folgen kommen: Die Efﬁzienz und den Sicherheits-ROI von ZTA-Imple- mentierungen zu prüfen, ist dem- entsprechend eine wichtige Aufgabe, die SCE bedeutend erleichtern kann. Realisierung von SCE Um SCE-Experimente effek- tiv durchzuführen, gibt es (wie so oft) zwei Möglichkeiten: Entweder baut man ein internes Expertenteam auf oder nimmt Dienste eines externen Plattform-Anbieters in Anspruch. erleichtert Security-Engi- neers die Durchführung von Sicher- Interne Umsetzung: Ent- scheidet man sich für Ersteres, muss man zunächst ein Team von Senior- Engineers zusammenstellen. Jedes Teammitglied sollte neben vier bis fünf Jahren Arbeitserfahrung zumin- dest über grundlegende Kenntnisse im Bereich des Security-Chaos-En- gineering verfügen. Solch ein Team kann in der Regel drei bis fünf einma- lige Angriffe pro Woche entwickeln und durchführen. Allerdings muss man einige Zeit einplanen, bis die Teammitglieder sich eingearbeitet und mit der Infrastruktur vertraut gemacht haben. SaaS-Plattform: Kosten und Arbeitsaufwand bei der Inanspruch- nahme einer SaaS-SCE-Plattform fal- len oft deutlich niedriger aus. Diese sollte sich bereits von einem Secu- rity-Engineer problemlos bedienen lassen. Nach der Einarbeitung dauert die Einrichtung eines Angriffstyps oder eines Angriffsszenarios oft nur noch wenige Minuten. Und Angriffe können dank tiefer Integration in die Cloud und entsprechender Automa- tisierung kontinuierlich ablaufen, sollten sich also – einmal eingerich- tet – automatisiert umsetzen lassen. SCE-Plattformen stellen Anwendern eine Vielzahl unterschiedlicher An- griffstypen zur Verfügung, die auch als Bausteine für die Konstruktion komplexer Angriffsszenarien nutz- bar sind. Der Pool entsprechender Angriffstypen und -szenarien sollte dazu vom Anbieter ständig erweitert Tabelle 1: Fuzzing, Penetra- tion-Testing und Security-Chaos- Engineering (SCE) im Vergleich Anwendbarkeit auf Abstraktionsebenen der vier „C“s: Code, Container, Cluster, Cloud Tiefe der Sicherheitstests Fuzzing Penetration-Testing Security-Chaos-Engineering (SCE) nur Code-Ebene alle Abstraktionsebenen alle Abstraktionsebenen beschränkt auf Code-Ebene in der Regel oberﬂächlich, kein interner Test sehr tiefgehende Sicherheitstests, die von typischen Angriffsvektoren ausgehen (z. B. APTs) Komplexität der Angriffe einfache Komplexität automatisierbar, aber meist manuell durchgeführt Product-Security, DevSecOps Automatisierungsgrad Eignung 8 einfache bis mittlere Komplexität bis zu hoher Komplexität (z. B. Ransomware) automatisierbar, aber meist manuell durchgeführt hochgradig automatisierbar, auf Self-Service ausgelegt Cloud-Security-Engineers, DevSecOps Cloud-Security-Engineers, Compliance, SOC-Teams, Detection-Engineers, Incident-Response-Teams, Product-Security, DevSecOps © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#2

y t i l i s e R : e l l e u Q werden, sodass sich der Anwender selbst nicht um Updates kümmern muss. Gute SaaS-Plattformen sollten zudem auf Grundlage des Risikopro- ﬁls einer Umgebung auch Empfeh- lungen für die Art der durchzufüh- renden „Angriffe“ abgeben können sowie Metriken zur Cyber-Resilienz bereitstellen, um die Entwicklung der Widerstandsfähigkeit einer Cloud-nativen Infrastruktur besser nachvollziehbar zu machen. Schritt für Schritt zur Anwendung von SCE Um mittels SCE effektiv und efﬁzient Schwachstellen und Sicherheitslücken aufzudecken und zu beheben, sollte eine Umsetzung stets in den folgenden vier Schritten erfolgen (vgl. Abb. 2): Planung: Planen Sie SCE-An- griffsexperimente auf der Grundlage Ihrer Probleme und Anwendungsfäl- le. Konstruieren Sie Ihre Hypothese entweder auf der Grundlage früherer Experimente oder neuer Erkennt- nisse und Gedanken. Ausführung: Führen Sie die Experimente regelmäßig nach einem klar festgelegten Zeitplan durch – zu- nächst in der Entwicklungs-, dann auch in der Produktionsumgebung. Monitoring: Beobachten Sie die Experimente, um aus dem Verhalten des getesteten Systems zu lernen – dokumentieren Sie das Verhalten des Systems und sammeln Sie Beweise. Analyse: Analysieren Sie das Systemverhalten und die Beweise ausführlich und lassen Sie die Ergeb- nisse in die nächsten Versuchsreihen einﬂießen. Des Weiteren sollte man bei der Umsetzung SCE-Experimente stets primär in einer Entwicklungs- umgebung ausführen und nur bei Bedarf, um noch aussagekräftigere Werte zu erzielen, in die Produk- tionsumgebung zu wechseln, um das Risiko etwaiger Ausfallzeiten zu minimieren. Außerdem sollten alle Beteiligten im Voraus über die Tests informiert werden, um böse Überraschungen zu vermeiden. Die Experimente sollten so häuﬁg wie möglich wiederholt werden, da jede Änderung in der Cloud die vorherige Sicherheitsanalyse potenziell un- gültig macht oder ihre Aussagekraft doch zumindest mindert. Natürlich sollten festgestellte Sicherheitspro- bleme auch nach jedem Versuch behoben werden. Fazit Eine umfassende Informa- tionssicherheit für Cloud-native Infrastrukturen, die sowohl Entwick- lungs- als auch Produktionsumge- bungen abdeckt, kann von der Se- curity-Chaos-Engineering-Methode erheblich proﬁtieren. Die Methode Abbildung 2: Typischer Arbeits- prozess zum Security- Chaos-Engineering erscheint teils sogar alternativlos, denn anders wird sich eine effektive Evaluierung der Sicherheitskontrol- len einer komplexen Cloud-nativen Infrastruktur kaum noch verwirk- lichen lassen – schon gar nicht in Echtzeit. Mittels Security-Chaos-En- gineering lässt sich objektiv prüfen, ob und wie wirksam bestehende Sicherheitstools Attacken gegen die Vertraulichkeit, Integrität und Verfügbarkeit einer Cloud-nativen Infrastruktur verhindern, aufdecken und beheben können. Ähnlich wie das Chaos-Engineering die Wider- standsfähigkeit eines Systems gegen Verfügbarkeitsverletzungen erhöht, optimiert Security-Chaos-Enginee- ring dessen Resilienz hinsichtlich Verletzungen der Integrität und Ver- traulichkeit (und damit auch der Ver- fügbarkeit). Die Analyseergebnisse liefern einen Pool aus objektivem Wissen über die realen Fähigkeiten der eigenen Sicherheitsarchitektur, der sich anschließend für eine proak- tive und iterative Sicherheitshärtung ■ nutzen lässt. Kennedy Torkura ist Co-Founder und CTO der Resility GmbH. © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#2 9