Regulierung: IT-Sicherheit unter Zeitdruck
Zwischen Theorie und Praxis liegen oft Welten. Die Regulierung der IT-Security verlangt jedoch, dass sie eine Einheit ergeben. Das ist weit weniger kompliziert als angenommen, denn viele Gesetze, zum Beispiel das BSI-Gesetz 2.0, umfassen Themen und Anforderungen, die technisch bereits gelöst sind.
Das Problem ist also nicht die Lösung selbst, sondern der zeitliche Druck durch gesetzliche Fristen, das unübersichtliche Angebot am Markt und die Frage, welche Lösungsansätze welche Herausforderungen beheben. Ist man im Kontext des BSIG/EnWG tätig, gilt es außerdem, einige Erfolgsfaktoren und Marktgegebenheiten zu berücksichtigen.
Ob das mittlerweile sehr konkrete BSI-Gesetz 2.0, das Energiewirtschaftsgesetz (EnWG), neue KRITIS-Verordnungen oder weitere erwartete EU-Regulierungen wie das EU-Cybersolidaritätsgesetz beziehungsweise der Cyber Resilience Act: Sie alle lassen keine Zweifel mehr aufkommen, dass Europa sicherer und resilienter werden muss und will. Opportunistisches Verhalten, der Ruf nach dem Staat und Kostensparprogramme in der IT-Sicherheit werden zwangsläufig abgestraft, ob als Strafzahlung oder als erpresserisches Schutzgeld. Die Security auf ausschließlich organisatorischer Basis hat also ausgedient.
Es sind Tools gefordert: Der betroffene und ständig erweiterte Adressatenkreis der kritischen Infrastruktur (KRITIS) muss unter anderem nachweisen, dass Systeme zur Angriffserkennung (SzA) eingesetzt werden. Was für internationale Unternehmen bereits Usus ist, ist für Kommunalbetriebe und Behörden hierzulande eine nahezu unlösbare Aufgabe. Die gute Nachricht ist: Ob man die NIS-2-Richtlinie oder die steigenden Anforderungen der Cyberversicherungsanbieter erfüllen muss, sämtliche Prüfszenarien und Nachweise fußen auf Lösungen und Services, die heute längst Stand der Technik sind. Ein Beispiel: die Protokollierung.
Die Zeit drängt: Status Quo und nächstes Level
Wer darüber hinaus bereits routinemäßige Penetrationstests vorweisen kann, ist klar im Vorteil und hat schon viele Schwachstellen bereinigt. Werden diese nicht nur regelmäßig gefunden, sondern auch zeitnah gepatcht, ist zudem das segmentierte Netzwerk auf dem aktuellen Stand (MUSS-Kriterien). Die Mehr-Faktor-Authentifizierung und Mailverschlüsselung sind sicher längst umgesetzt, das Passwortmanagement ist schon aufgrund der ISO-27001-Zertifizierung eingeführt.
Doch die Regularien im Hochsicherheitsbereich gehen viel weiter. Relativ einfach und schnell lassen sich altbekannte Themen wie die IT-Alarmierung aus Monitoringsystemen umsetzen. Steckt das eine oder andere Basis-Security-Projekt allerdings noch in der Warteschleife oder ist eventuell noch gar nicht budgetiert, muss jetzt gehandelt werden.
Systeme zur Angriffserkennung sind ein Muss
Die letzten Zweifel, ob ein Logmanagement einzuführen ist, sind beseitigt, denn die Protokollierung der relevanten Logs ist zum einen Voraussetzung für eine forensische Untersuchung nach einem Incident. Zum anderen ist sie nun auch zwingend vorgeschrieben. Das macht in vielerlei Hinsicht Sinn, zum Beispiel da externe Prüfungen ohne eine Konsolidierung der Daten schlicht nicht möglich sind.
Während die Detection-Systeme in vielen Fällen dank moderner Next-Generation-Firewalls (NGF) bereits vorhanden sind, sieht man die aufbauenden Response-Systeme vorwiegend im Betrieb eines Security-Operation-Centers (SOC). Da Security-Orchestration sowie Automation- und Response-Lösungen (SOAR) sehr aufwendig zu betreiben sind, ist es oft nicht zielführend, dies als Eigenbetrieb zu bewerkstelligen. Ausnahmen bilden globale Konzerne und Tochterfirmen, die IT-Dienstleistungen für das eigene Haus erbringen können.
Die Entscheidung für ein SOC ist sicher leicht gefällt – und bei Betrachtung der Kosten auch die Frage geklärt, ob man es selbst macht oder an einen IT-Dienstleister vergibt: Die erste Million Euro wird für den Aufbau, die zweite für das notwendige Personal und den 24x7x365-Betrieb benötigt. Erst dann beginnt die Reise zu einem automatisierten SOC, wenn nämlich Schnittstellen und Integrationen zwischen verschiedenen Softwarelösungen erstellt werden müssen und die tägliche Arbeit manuelle Eingriffe erfordert.
Eine SOAR-Lösung und das Logmanagement müssen gemeinsam funktionieren; auch die überall präsenten Microsoft-Defender-Funktionen wollen genutzt und integriert werden. Es sind also sehr viele Voraussetzungen zum erfolgreichen Betrieb zu schaffen, bevor der SOC-Schutzschirm für den Kunden aufgebaut werden kann. Spätestens wenn die vor- und nachgelagerten Aktivitäten betrachtet werden, wird vielen mittelständischen Unternehmen klar, dass ein vertrauenswürdiger Managed-Security-Service-Provider (MSSP) diese Arbeiten übernehmen sollte.
Wie sieht ein konformes „SOC-Ökosystem“ aus?
Der Schutz beginnt mit der Prävention der Gefahren. Es ist also sinnvoll, das Thema SOC rückwärts zu denken. Die Awareness der Mitarbeiter zu schulen, ist zwar eine organisatorische Maßnahme, sie sollte dennoch eher auf einer technischen Schulungsplattform laufen: Moderne Videos und Tests erleichtern die Teilnahme und das Verständnis enorm. Ein weiterer möglicher Schritt ist das Durchforsten des Darknets: Sind Domain-Anmeldungen mit ähnlichen Namen, Kreditkartennummern oder gar Schwarzmarktpreise für eigene Daten im Umlauf?
Eine Reifegradanalyse zum Start, eine Vereinbarung für einen Incident-Response-Koordinator und vieles mehr sollte geklärt sein, bevor man überlegt, wie man im Fall einer wirklichen Krise agiert. Sie muss bei guter Vorbereitung und Maßnahmen zum Business-Continuity-Management selbst nach einem Angriff nicht eintreten: IT-Alarmierung und der IT-Shutdown beziehungsweise ein Wiederanlauf sollten simuliert und automatisiert werden. Und nicht nur der CISO verlangt Prozesse, die die Compliance-Anforderungen abbilden.
Der erfolgreiche SOC-Betrieb zeigt seine Stärke erst dann, wenn Automatisierung täglich gelebt wird, wenn Skaleneffekte greifen und Prozesse ständig verbessert werden. Nebenbei zählt auch die wirtschaftliche Effizienz: Software wird täglich teurer, Fachpersonal ist immer schwieriger zu bekommen und somit auch die Bereitschaftsdienste immer schwerer zu besetzen. Das SOC eines MSSP schafft Abhilfe.
Zeitfaktor und andere Vorteile eines MSSP
MSSP bringen zudem umfassende Marktkenntnis mit. Das bedeutet nicht nur, dass Partnerschaften mit bewährten Softwareanbietern bestehen; sie wissen aus Erfahrung, wie die Kundenbedürfnisse aussehen. Diese Professionalität erleichtert den schnellen Einstieg in das Thema und ermöglicht die zügige Umsetzung des geforderten Schutzes. Wichtig ist also vor allem die Wahl des passenden Partners: Soll es ein Softwarehersteller mit eventuell zu starkem Eigeninteresse sein oder ein mittelständisches IT-Unternehmen, das sein Portfolio über die Jahre aufgebaut hat und sich auf die Services konzentriert?
Abzuraten ist von Anbietern, die keine Lösungen im Einsatz haben und auf reine Manpower setzen. Ohne Automatismen, Einsatz von künstlicher Intelligenz und ohne Regeln wartet man zu lange auf Reports oder andere forensische Informationen, um wirklich einen hohen Schutz sicherstellen zu können.
Es wird Zeit
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für die Aufsicht über die IT-Sicherheit rund 800 neue Dienststellen budgetiert – die Kontrollen werden also zukünftig wesentlich strenger. Wie aber löst man den besagten Zeitdruck, der durch die verschiedenen Regularien aufkommt? Nur durch Handeln!
Den Start machen eine Reifegradanalyse des Unternehmens und die Standortbestimmung von MUSS-, SOLL- und KANN-Kriterien. Zudem bedarf es einem klar zugeteilten IT-Personal, das über die notwendigen Kenntnisse verfügt. Zu diesem Wissen kommt dann Technik hinzu: Anerkannte Methoden wie Logmanagement oder Schwachstellenanalyse sind ab sofort „part of the game“.
Automatisierung im SOC: Screenshot des selbst entwickelten Vulnerability-Lifecycle-Managements, das auf marktführende Lösungen aufbaut. (Quelle: Antares-NetlogiX)
Jürgen Kolb ist Managing Director bei der Antares-NetlogiX Netzwerkberatung GmbH.