Home » Fachbeiträge » Security Management » Regulierung: IT-Sicherheit unter Zeitdruck

Regulierung: IT-Sicherheit unter Zeitdruck

Zwischen Theorie und Praxis liegen oft Welten. Die Regulierung der IT-Security verlangt jedoch, dass sie eine Einheit ergeben. Das ist weit weniger kompliziert als angenommen, denn viele Gesetze, zum Beispiel das BSI-Gesetz 2.0, umfassen Themen und Anforderungen, die technisch bereits gelöst sind.

5 Min. Lesezeit
Foto: ©AdobeStock/Sergey-Nivens

Das Problem ist also nicht die Lösung selbst, sondern der zeitliche Druck durch gesetzliche Fristen, das unübersichtliche Angebot am Markt und die Frage, welche Lösungsansätze welche Herausforderungen beheben. Ist man im Kontext des BSIG/EnWG tätig, gilt es außerdem, einige Erfolgsfaktoren und Marktgegebenheiten zu berücksichtigen.

Ob das mittlerweile sehr konkrete BSI-Gesetz 2.0, das Energiewirtschaftsgesetz (EnWG), neue KRITIS-Verordnungen oder weitere erwartete EU-Regulierungen wie das EU-Cybersolidaritätsgesetz beziehungsweise der Cyber Resilience Act: Sie alle lassen keine Zweifel mehr aufkommen, dass Europa sicherer und resilienter werden muss und will. Opportunistisches Verhalten, der Ruf nach dem Staat und Kostensparprogramme in der IT-Sicherheit werden zwangsläufig abgestraft, ob als Strafzahlung oder als erpresserisches Schutzgeld. Die Security auf ausschließlich organisatorischer Basis hat also ausgedient.

Es sind Tools gefordert: Der betroffene und ständig erweiterte Adressatenkreis der kritischen Infrastruktur (KRITIS) muss unter anderem nachweisen, dass Systeme zur Angriffserkennung (SzA) eingesetzt werden. Was für internationale Unternehmen bereits Usus ist, ist für Kommunalbetriebe und Behörden hierzulande eine nahezu unlösbare Aufgabe. Die gute Nachricht ist: Ob man die NIS-2-Richtlinie oder die steigenden Anforderungen der Cyberversicherungsanbieter erfüllen muss, sämtliche Prüfszenarien und Nachweise fußen auf Lösungen und Services, die heute längst Stand der Technik sind. Ein Beispiel: die Protokollierung.

Die Zeit drängt: Status Quo und nächstes Level

Wer darüber hinaus bereits routinemäßige Penetrationstests vorweisen kann, ist klar im Vorteil und hat schon viele Schwachstellen bereinigt. Werden diese nicht nur regelmäßig gefunden, sondern auch zeitnah gepatcht, ist zudem das segmentierte Netzwerk auf dem aktuellen Stand (MUSS-Kriterien). Die Mehr-Faktor-Authentifizierung und Mailverschlüsselung sind sicher längst umgesetzt, das Passwortmanagement ist schon aufgrund der ISO-27001-Zertifizierung eingeführt.

Doch die Regularien im Hochsicherheitsbereich gehen viel weiter. Relativ einfach und schnell lassen sich altbekannte Themen wie die IT-Alarmierung aus Monitoringsystemen umsetzen. Steckt das eine oder andere Basis-Security-Projekt allerdings noch in der Warteschleife oder ist eventuell noch gar nicht budgetiert, muss jetzt gehandelt werden.

Systeme zur Angriffserkennung sind ein Muss

Die letzten Zweifel, ob ein Logmanagement einzuführen ist, sind beseitigt, denn die Protokollierung der relevanten Logs ist zum einen Voraussetzung für eine forensische Untersuchung nach einem Incident. Zum anderen ist sie nun auch zwingend vorgeschrieben. Das macht in vielerlei Hinsicht Sinn, zum Beispiel da externe Prüfungen ohne eine Konsolidierung der Daten schlicht nicht möglich sind.

Während die Detection-Systeme in vielen Fällen dank moderner Next-Generation-Firewalls (NGF) bereits vorhanden sind, sieht man die aufbauenden Response-Systeme vorwiegend im Betrieb eines Security-Operation-Centers (SOC). Da Security-Orchestration sowie Automation- und Response-Lösungen (SOAR) sehr aufwendig zu betreiben sind, ist es oft nicht zielführend, dies als Eigenbetrieb zu bewerkstelligen. Ausnahmen bilden globale Konzerne und Tochterfirmen, die IT-Dienstleistungen für das eigene Haus erbringen können.

Die Entscheidung für ein SOC ist sicher leicht gefällt – und bei Betrachtung der Kosten auch die Frage geklärt, ob man es selbst macht oder an einen IT-Dienstleister vergibt: Die erste Million Euro wird für den Aufbau, die zweite für das notwendige Personal und den 24x7x365-Betrieb benötigt. Erst dann beginnt die Reise zu einem automatisierten SOC, wenn nämlich Schnittstellen und Integrationen zwischen verschiedenen Softwarelösungen erstellt werden müssen und die tägliche Arbeit manuelle Eingriffe erfordert.

Eine SOAR-Lösung und das Logmanagement müssen gemeinsam funktionieren; auch die überall präsenten Microsoft-Defender-Funktionen wollen genutzt und integriert werden. Es sind also sehr viele Voraussetzungen zum erfolgreichen Betrieb zu schaffen, bevor der SOC-Schutzschirm für den Kunden aufgebaut werden kann. Spätestens wenn die vor- und nachgelagerten Aktivitäten betrachtet werden, wird vielen mittelständischen Unternehmen klar, dass ein vertrauenswürdiger Managed-Security-Service-Provider (MSSP) diese Arbeiten übernehmen sollte.

Wie sieht ein konformes „SOC-Ökosystem“ aus?

Der Schutz beginnt mit der Prävention der Gefahren. Es ist also sinnvoll, das Thema SOC rückwärts zu denken. Die Awareness der Mitarbeiter zu schulen, ist zwar eine organisatorische Maßnahme, sie sollte dennoch eher auf einer technischen Schulungsplattform laufen: Moderne Videos und Tests erleichtern die Teilnahme und das Verständnis enorm. Ein weiterer möglicher Schritt ist das Durchforsten des Darknets: Sind Domain-Anmeldungen mit ähnlichen Namen, Kreditkartennummern oder gar Schwarzmarktpreise für eigene Daten im Umlauf?

Eine Reifegradanalyse zum Start, eine Vereinbarung für einen Incident-Response-Koordinator und vieles mehr sollte geklärt sein, bevor man überlegt, wie man im Fall einer wirklichen Krise agiert. Sie muss bei guter Vorbereitung und Maßnahmen zum Business-Continuity-Management selbst nach einem Angriff nicht eintreten: IT-Alarmierung und der IT-Shutdown beziehungsweise ein Wiederanlauf sollten simuliert und automatisiert werden. Und nicht nur der CISO verlangt Prozesse, die die Compliance-Anforderungen abbilden.

Der erfolgreiche SOC-Betrieb zeigt seine Stärke erst dann, wenn Automatisierung täglich gelebt wird, wenn Skaleneffekte greifen und Prozesse ständig verbessert werden. Nebenbei zählt auch die wirtschaftliche Effizienz: Software wird täglich teurer, Fachpersonal ist immer schwieriger zu bekommen und somit auch die Bereitschaftsdienste immer schwerer zu besetzen. Das SOC eines MSSP schafft Abhilfe.

Zeitfaktor und andere Vorteile eines MSSP

MSSP bringen zudem umfassende Marktkenntnis mit. Das bedeutet nicht nur, dass Partnerschaften mit bewährten Softwareanbietern bestehen; sie wissen aus Erfahrung, wie die Kundenbedürfnisse aussehen. Diese Professionalität erleichtert den schnellen Einstieg in das Thema und ermöglicht die zügige Umsetzung des geforderten Schutzes. Wichtig ist also vor allem die Wahl des passenden Partners: Soll es ein Softwarehersteller mit eventuell zu starkem Eigeninteresse sein oder ein mittelständisches IT-Unternehmen, das sein Portfolio über die Jahre aufgebaut hat und sich auf die Services konzentriert?

Abzuraten ist von Anbietern, die keine Lösungen im Einsatz haben und auf reine Manpower setzen. Ohne Automatismen, Einsatz von künstlicher Intelligenz und ohne Regeln wartet man zu lange auf Reports oder andere forensische Informationen, um wirklich einen hohen Schutz sicherstellen zu können.

Es wird Zeit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für die Aufsicht über die IT-Sicherheit rund 800 neue Dienststellen budgetiert – die Kontrollen werden also zukünftig wesentlich strenger. Wie aber löst man den besagten Zeitdruck, der durch die verschiedenen Regularien aufkommt? Nur durch Handeln!

Den Start machen eine Reifegradanalyse des Unternehmens und die Standortbestimmung von MUSS-, SOLL- und KANN-Kriterien. Zudem bedarf es einem klar zugeteilten IT-Personal, das über die notwendigen Kenntnisse verfügt. Zu diesem Wissen kommt dann Technik hinzu: Anerkannte Methoden wie Logmanagement oder Schwachstellenanalyse sind ab sofort „part of the game“.

Quelle: Antares-NetlogiX

Automatisierung im SOC: Screenshot des selbst entwickelten Vulnerability-Lifecycle-Managements, das auf marktführende Lösungen aufbaut. (Quelle: Antares-NetlogiX)

Jürgen Kolb ist Managing Director bei der Antares-NetlogiX Netzwerkberatung GmbH.

Andere interessante Fachbeiträge

Wie Datenräume helfen, neue Geschäftsmodelle zu entwickeln

In der heutigen Zeit werden sehr große Datenmengen generiert und verwaltet, dennoch wird der Wert der Daten in Deutschland und Europa nicht voll ausgeschöpft. Die gemeinsame Nutzung von Daten kann und soll datengetriebene Anwendungen noch weiter vorantreiben, bei der Erfüllung regulatorischer Anforderungen helfen sowie einen finanziellen Mehrwert für Firmen schaffen.

Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

NIS-2 ist alles andere als ein Papiertiger

Bis Oktober 2024 werden die EU-Mitgliedstaaten die neue NIS-2-Richtlinie (Network and Information Security Directive) in das jeweilige nationale Recht überführen – und dabei die Anforderungen und den Geltungsbereich der NIS-1 signifikant erweitern.