Die neue KRITIS-Verordnung 2.0 verschärft die Cyber-Security-Vorgaben für Betreiber kritischer Infrastrukturen und ihre Zulieferer. Künftig sind Systeme zur Angriffserkennung (IDS) Pflicht. Sind auch Sie betroffen? Wir zeigen Ihnen, was die neue Vorschrift bedeutet und wie Sie sie am besten umsetzen.

Zählt Ihr Unternehmen zu den kritischen Infrastrukturen? Diese Frage ist oft gar nicht so leicht zu beantworten. Denn mit KRITIS 2.0 sind die bisherigen Schwellenwerte heruntergesetzt worden und zwei neue Sektoren hinzugekommen: die Siedlungsabfallentsorgung sowie Unternehmen im besonderen öffentlichen Interesse (UBI/UNBÖFI). Dazu gehören die Bereiche Rüstung, Gefahrstoffe und Unternehmen mit erheblicher volkswirtschaftlicher Bedeutung. Darüber hinaus unterliegen auch die Zulieferer von KRITIS-Betreibern den verschärften Richtlinien zur Cyber Security. KRITIS 2.0 betrifft jetzt also zahlreiche Unternehmen, die vorher außen vor waren. Viele sind sich dessen noch gar nicht so richtig bewusst. Was ist zu tun? Nehmen Sie doch einmal Kontakt mit uns auf – wir von Axians in Deutschland beraten und unterstützen Sie gern!

Intrusion Detection Systeme (IDS) werden Pflicht

Eine der wichtigsten Neuerungen von KRITIS 2.0 ist: Systeme zur Angriffserkennung zählen jetzt explizit zu den geforderten technischen und organisatorischen Sicherheitsmaßnahmen. Noch bis Ende April 2023 haben KRITIS-Betreiber Zeit, IDS einzuführen. Spätestens ab dem 1. Mai 2023 muss der Einsatz dann bei einem Audit nachweisbar sein. Bei Verstößen gegen die gesetzliche Meldepflicht greifen schon ab 1. Januar 2022 strengere Sanktionen. Wird das BSI bei einem Cybervorfall nicht schnell genug informiert, drohen Geldstrafen von bis zu 20 Millionen Euro. Unternehmen müssen daher in der Lage sein, Bedrohungen zeitnah zu erkennen. Und: Sie müssen dem BSI auch Schnittstellen bereitstellen, um eine Cybervorfall genauer zu untersuchen. Höchste Zeit also, sich einmal mit dem Thema IDS auseinanderzusetzen.

Was ist IDS?

IDS steht kurz für Intrusion Detection System. Dabei handelt es sich um ein passives System, das die Logdaten der angeschlossenen Systeme analysiert, auf Angriffsmuster überprüft und bei Verdacht Alarm schlägt. Meist setzt man ein IDS ein, um den Netzwerkverkehr zu überwachen und das Kommunikationsverhalten von Geräten untereinander zu untersuchen. Man kann Systeme zur Angriffserkennung aber auch an anderen Stellen der Infrastruktur platzieren und zum Beispiel Server oder Clients damit absichern. Die Angriffsmuster werden entweder vom Hersteller im IDS hinterlegt oder können selbst hinzugefügt werden. Mit ihrer Hilfe erkennt das System zum Beispiel, wenn ein Gerät mit einem für Cyberangriffe bekannten Botnetz oder Command-and-Control-Server kommuniziert.

IDS im Team mit IPS und SIEM

Natürlich reicht es nicht aus, eine Bedrohung zu erkennen. Man muss sie auch schnell beseitigen. IDS wird daher in der Regel mit IPS (Intrusion Prevention System) und SIEM (Security Information and Event Management) kombiniert. Eine solche Security-Architektur ermöglicht es, automatisiert zu reagieren. So kann man zum Beispiel definieren, dass bei wiederkehrenden Angriffsmustern bestimmte Firewall-Regeln geändert werden sollen. Mit solchen automatisierten Maßnahmen lassen sich viele Standard-Angriffe effektiv abwehren. Sie ermöglichen es, die Gefahr schnell einzudämmen, und entlasten die Mitarbeiter:innen. Darüber hinaus gibt es aber viele Warnmeldungen, die man manuell untersuchen muss, um zu entscheiden, ob und welcher Handlungsbedarf besteht. Da das viel Zeit und Know-how erfordert, empfiehlt es sich, dieses Monitoring an Spezialist:innen auszulagern.

Schritt für Schritt zur passenden Lösung

Axians unterstützt Sie gerne bei der Planung, Implementierung und beim Betrieb einer passgenauen KRITIS-2.0-konformen Sicherheitsarchitektur.

IDS Kritis 2.0 Schritte

  1. Im ersten Schritt analysieren wir, welche Geräte Sie bisher in Betrieb haben und ob diese in der Lage sind, die erforderlichen Logdaten bereitzustellen. Denn nicht jedes IDS kann auch mit jedem Hersteller zusammenarbeiten.
  2. Anschließend ermitteln wir, an welchen Stellen der IT-Infrastruktur die Bedrohungserkennung am besten platziert werden sollte – zum Beispiel nah am Client oder auf den Routern bzw. Switches. Die richtige Wahl hängt immer von den individuellen Anforderungen ab und sollte auch im Hinblick auf das Kosten-Nutzen-Verhältnis überprüft werden.
  3. Zudem ist es wichtig, nachgelagerte Prozesse klar zu definieren, etwa für das Patchmanagement der Geräte oder die Pflege der Software Repositories. Nur so kann man Sicherheitslücken, die das IDS moniert, auch schnell schließen.
  4. Das IDS geht zunächst mit einer kleinen Gruppe an ausgewählten Geräten in den Testbetrieb. Wir prüfen, ob das System richtig eingestellt ist und welche Warnmeldungen es ausgibt. Das ist wichtig, um Mitarbeiter:innen nicht mit False Positives zu überlasten. Gegebenenfalls justieren wir noch einmal nach.
  5. Anschließend kann das IDS vollständig ausgerollt werden. Dabei ist es möglich, klein zu starten und nach und nach weitere Geräte hinzuzufügen.
  6. Cyberrisiken und IT-Infrastrukturen verändern sich schnell. Daher sollte das IDS regelmäßig auf seine Wirksamkeit überprüft und gegebenenfalls angepasst werden.

IDS/IPS bei einem Unternehmen der Verteidigungsindustrie

Unser Kunde suchte nach einem kombinierten Security-System aus IDS und IPS, um sowohl die Firmenzentrale als auch die verteilten Standorte besser abzusichern. Die Lösung sollte ein hohes Schutzpotenzial bieten und wenig Aufwand im täglichen Betrieb verursachen. Außerdem sollte sie ausbaufähig und zukunftssicher sein. Axians überzeugte mit einem Cisco Firepower-Konzept und setzte sich schnell als bester Anbieter durch. Das Sicherheitsmodell ist bedrohungszentriert und ermöglicht es, zu jeder Zeit während einer Attacke in allen Angriffsvektoren zu reagieren. Axians hat das neue Security-System in nur zwei Wochen implementiert, individuell optimiert und in Betrieb genommen. Die ganzheitliche Lösung überwacht jetzt Logdateien, korreliert Ereignisse aus verschiedenen Quellen und kann kompromittierte Hosts schnell identifizieren. Mit ihrem hohen Automatisierungsgrad reduziert sie den Betriebsaufwand auf ein Minimum, erhöht die Sicherheit und spart Kosten.

Möchten auch Sie sich einmal zum Thema IDS/IPS beraten lassen? Dann sprechen Sie uns an!

Möchten Sie mehr über KRITIS in der Entsorgungsbranche erfahren? Dann schauen Sie bei unserer Schwester Axians eWaste vorbei: Entsorgungswirtschaft als kritische Infrastruktur: Schutz vor Cyberangriffen (axians-ewaste.com)

CHRISTIAN SCHOLZ | SENIOR CONSULTANT NETWORK & SECURITY Christian Scholz ist seit 2011 in der ICT-Branche tätig und seit 2021 Senior Consultant bei der Axians Networks & Solutions. Zu seinem Aufgabenbereich zählen die Beratung, Konzeption und Implementierung von sicheren Infrastrukturen. Er verfügt dank zahlreicher Zertifizierungen über exzellente Kenntnisse in den Bereichen Security, Campus-Netzwerke, Datacenter und IoT. 2018 wurde er als erster deutscher in den Botschafterkreis von Juniper Networks aufgenommen und baut seine Expertise stetig weiter aus.