Home » Fachbeiträge » KRITIS » Angriffserkennung – Selber machen oder kaufen?

Angriffserkennung – Selber machen oder kaufen?

Aufgrund der zunehmenden Cyberangriffe verlangt der Gesetzgeber von Unternehmen, die Teil der kritischen Infrastruktur sind, bis Anfang Mai die Einführung von Systemen zur Erkennung und Abwehr von Angriffen. Aber wie lässt sich das in der Praxis möglichst schnell umsetzen? Unser Autor erklärt, was Angriffserkennung bedeutet, wer vom IT-Sicherheitsgesetz 2.0 betroffen ist und warum Unternehmen eher einen Managed-XDR-Service für die Umsetzung nutzen sollten.

4 Min. Lesezeit
©AdobeStock/Skórzewiak

Vom IT-Sicherheitsgesetz 2.0 sind alle Unternehmen und Organisationen betroffen, die kritische Infrastrukturen betreiben. Dazu gehören die Branchen Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung. Ergänzt werden sie durch die KRITIS-Verordnung um die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr.

Hiervon betroffen sind seitdem auch Apotheken mit einem Absatz von 4,65 Millionen Arzneimittelpackungen im Jahr, Krankenhäuser mit über 30 000 stationären Fällen und Flughäfen mit mehr als 20 Millionen Passagieren jährlich. Als zusätzlicher Sektor wurden im aktualisierten IT-Sicherheitsgesetz (IT-SiG) die Siedlungsabfallentsorgung und als zusätzliche Klassifikation „Unternehmen im besonderen öffentlichen Interesse“ aufgenommen.

Aber es geht noch weiter: Von der NIS-2-Richtlinie der EU sind ab 1. Oktober 2024 wesentlich mehr Firmen betroffen. Es gilt also nicht nur aufgrund der Deadline am 1. Mai 2023 für Unternehmen aktiv zu werden und Systeme zur Angriffserkennung und -abwehr zu implementieren.

Sollten KRITIS-Betreiber aus den genannten Sektoren nicht die Anforderungen des IT-SiG 2.0 erfüllen, so werden je nach Tatbestand Bußgelder zwischen 100 000 Euro und 20 Millionen Euro bei Verfahren gegen juristische Personen fällig.

Was ist eine Angriffserkennung?

Die Angriffserkennung bezieht sich auf die Überwachung von Netzwerken, Systemen und  Anwendungen, um – wie der Name schon sagt – potenzielle Angriffe zu erkennen, bevor sie Schaden anrichten können. Durch die Verwendung von verschiedenen Techniken, wie beispielsweise Intrusion-Detection-Systems (IDS), Intrusion-Prevention-Systems (IPS) und Security-Information-and-Event-Management (SIEM), können Bedrohungen entdeckt werden.

Eine Angriffserkennung ist ein wichtiger Bestandteil einer umfassenden IT-Sicherheitsstrategie. Sie kann dazu beitragen, die Auswirkungen von Sicherheitsverletzungen zu minimieren und die Betriebskontinuität aufrechtzuerhalten. Dabei werden nur 20 Prozent der Angriffe durch die oben genannten technischen Maßnahmen detektiert, den Rest müssen IT-Security-Spezialisten finden und abwehren. Genau hierbei können Managed-XDR- und Incident-Response-Services helfen. (Siehe auch Grundlagenartikel: XDR – Die nächste Generation der Cybersicherheit)

Herausforderungen bei der Implementierung

Auf die Frage, ob es besser ist, ein internes IT-Sicherheitsteam aufzubauen oder einen Managed-XDR-Dienstleister zu engagieren, gibt es keine eindeutige Antwort. Jeder Ansatz hat
sowohl Vor- als auch Nachteile. Jedoch sprechen Herausforderungen wie der Fachkräftemangel im Bereich IT-Sicherheit und die Kosten für den Aufbau einer IT-Security-Abteilung eher dafür, sich für einen externen Dienstleister zu entscheiden. Folgende Gründe können hier ausschlaggebend sein:

Ressourcen und Kosten

Ein internes IT-Security-Team erfordert hohe Investitionen. Das Unternehmen muss in die Einstellung und Schulung von Fachleuten, den Kauf von Technik und Tools sowie die Einrichtung einer Infrastruktur zur Unterstützung des Teams investieren. Hier fallen schnell Kosten im sechsstelligen Bereich pro Monat an. Weiterhin müssen die entsprechenden Fachleute erst einmal gefunden werden, was sich im aktuellen Arbeitnehmermarkt eher schwer bewerkstelligen lässt und in ländlichen Gegenden nahezu unmöglich ist.

Ein Managed-XDR-Dienstleister kann hier ein günstiger Ausweg sein, da Unternehmen nur für die Dienstleistungen zahlen, die sie benötigen und nicht für den Aufbau einer internen Infrastruktur oder den Kauf von Produkten. Darüber hinaus verfügen Managed-XDR-Dienstleister aufgrund ihrer Größe und Erfahrung oft über bessere Technologie und Tools als Unternehmen, die versuchen, ein internes IT-Security-Team aufzubauen.

Erfahrung und Expertise

Ein erfahrener Managed-XDR-Anbieter verfügt über das Fachwissen und die Erfahrung, um Unternehmung bei der Überwachung ihrer IT-Infrastruktur und Angriffserkennung zu
unterstützen. Wohingegen ein internes IT-Sicherheitsteam möglicherweise viel Zeit und Ressourcen investieren muss, um das gleiche Niveau aufzubauen. Auch ist es für viele Unternehmen wenig sinnvoll und schlichtweg zu teuer, ein IT-Sicherheitsteam 24 Stunden an 365 Tagen vorzuhalten.

Davon abgesehen, dass sich die Mitarbeiter sehr schnell langweilen würden und andauernd für neue Entwicklungen im Bereich Cybercrime geschult werden müssten. Managed-XDR-Dienstleister können sich aufgrund ihrer Erfahrung in der Regel schnell auf die sich ständig weiterentwickelnde Bedrohungslandschaft einstellen und sind besser in der Lage, Unternehmen vor Cyberangriffen zu schützen.

Flexibilität

Ein Managed-XDR-Dienstleister bietet eine höhere Flexibilität, da er seine Dienstleistungen an die spezifischen Anforderungen und Bedürfnisse eines Unternehmens anpassen kann. Ein internes IT-Sicherheitsteam kann hier möglicherweise nicht mithalten, besonders wenn es um die Integration neuer Technologie oder die Reaktion auf sich schnell entwickelnde Bedrohungen geht. Gerade für kleine Unternehmen ist es aber wichtig, eine Lösung zu verwenden, die rund um die Uhr im Einsatz ist, Angriffe erkennt und auch abwehrt.

Es ist daher zu empfehlen, auf einen Managed-XDR-Anbieter zu setzen, der auf Angriffe reagieren und diese neutralisieren kann, also auch einen Incidence-Response-Service gleich mit anbietet.

Fazit

Das IT-Sicherheitsgesetz 2.0 fordert Unternehmen auf, bestimmte Sicherheitsmaßnahmen zu  implementieren, um ihre IT-Infrastruktur und damit auch ihre Daten zu schützen. Eine umfassende Lösung zur Angriffserkennung ist hierbei ein wichtiger Bestandteil. Wie beschrieben, müssen Unternehmen, die unter das IT-SiG 2.0 fallen, bis zum 1. Mai 2023 technische Maßnahmen zur Angriffserkennung implementiert haben. Diese Deadline ist für viele aufgrund des herrschenden Fachkräftemangels im Bereich IT-Sicherheit und der anfallenden Kosten kaum zu bewältigen. Eine Lösung bieten hier Managed-XDR-Services.

Insgesamt sind aufgrund der Anforderungen des IT-SiG 2.0 und der NIS-2-Richtlinie zukünftig Systeme wichtig, die skalierbar, einfach zu installieren und leicht zu warten sind. Die Lösung muss immer an die Bedürfnisse des Unternehmens angepasst sein.

Marcel van Asperdt
Marcel van Asperdt

Marcel van Asperdt ist Direktor Operation Deutschland bei Eye Security. Er verfügt über mehr als 30 Jahre an Erfahrung als Cyber-Security-Spezialist, die er in
mehreren Rollen, unter anderem als Cyber Operationsleiter, beim niederländischen
Geheimdienst gesammelt hat.

Andere interessante Fachbeiträge

Symbol der E-Mail-Verschlüsselung

Effiziente E-Mail-Verschlüsselung weiterentwickelt mit GINA V2

Mit GINA V2 steht eine innovative Lösung für die sichere Spontanverschlüsselung bei der E-Mail-Kommunikation bereit, diese Verschlüsselungsform bietet höchsten Datenschutz und ermö...

Digitale Daten vor Strommasten

Zugriff verweigert

Kritische Infrastrukturen (KRITIS) sind nicht zuletzt aufgrund ihrer hohen gesellschaftlichen und politisch-strategischen Relevanz ein beliebtes Ziel für Cyberangriffe. Die zunehme...

Datenschutz-Symbol vor Industrieanlage

So schützt das KRITIS-Dachgesetz kritische Infrastrukturen

Am 6. November 2024 hat das Bundeskabinett das neue KRITIS-Dachgesetz beschlossen: ein zentrales Gesetz, das den Schutz kritischer Infrastrukturen (KRITIS) stärkt. Mit dieser Regel...