{"id":35470,"date":"2022-12-14T09:57:24","date_gmt":"2022-12-14T08:57:24","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=35470"},"modified":"2022-12-14T10:01:17","modified_gmt":"2022-12-14T09:01:17","slug":"kritis-anforderungen-erfuellen-mit-einer-state-of-the-art-siem-loesung","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/kritis-anforderungen-erfuellen-mit-einer-state-of-the-art-siem-loesung\/","title":{"rendered":"KRITIS Anforderungen erf\u00fcllen mit einer State-of-the-art SIEM L\u00f6sung"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/kritis-anforderungen-erfuellen-mit-einer-state-of-the-art-siem-loesung\/#Was_aendert_sich_fuer_KRITIS-Unternehmen_durch_das_IT-Sicherheitsgesetz_20\" >Was \u00e4ndert sich f\u00fcr KRITIS-Unternehmen durch das IT-Sicherheitsgesetz 2.0?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/kritis-anforderungen-erfuellen-mit-einer-state-of-the-art-siem-loesung\/#Wie_stelle_ich_die_zentrale_Angriffserkennung_in_meiner_Infrastruktur_sicher\" >Wie stelle ich die zentrale Angriffserkennung in meiner Infrastruktur sicher?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/kritis-anforderungen-erfuellen-mit-einer-state-of-the-art-siem-loesung\/#Umsetzungsmoeglichkeiten_und_Betriebsmodelle\" >Umsetzungsm\u00f6glichkeiten und Betriebsmodelle<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/kritis-anforderungen-erfuellen-mit-einer-state-of-the-art-siem-loesung\/#Fazit\" >Fazit<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Was_aendert_sich_fuer_KRITIS-Unternehmen_durch_das_IT-Sicherheitsgesetz_20\"><\/span>Was \u00e4ndert sich f\u00fcr KRITIS-Unternehmen durch das IT-Sicherheitsgesetz 2.0?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Das IT-Sicherheitsgesetz 2.0 (IT-Sig 2.0) ist in der Europ\u00e4ischen Union beispielhaft und dient als Grundlage f\u00fcr den Digital Operational Resilience Act (\u201eDORA\u201c) der EU; dar\u00fcber hinaus \u00fcbernehmen Zertifizierungsorganisationen Anforderungen des IT-Sig 2.0 in ihren Pr\u00fcfkatalog (z.B. ISO 27001\/2).<\/p>\n<p>Heute stehen viele KRITIS-relevante Unternehmen vor der Herausforderung, diese Anforderungen zu erf\u00fcllen. Es geht nicht nur darum, das Risiko von teilweise erheblichen Strafzahlungen zu vermeiden, sondern auch darum, das Unternehmen effektiv gegen Cyberangriffe zu sch\u00fctzen. Fachkr\u00e4ftemangel sowie technologische Ver\u00e4nderung f\u00fchren dazu, da\u00df das Problem eher noch komplexer wird.<\/p>\n<figure id=\"attachment_35468\" aria-describedby=\"caption-attachment-35468\" style=\"width: 462px\" class=\"wp-caption alignnone\"><img fetchpriority=\"high\" decoding=\"async\" class=\"wp-image-35468 size-full\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/KRITIS-Sektoren.png\" alt=\"\" width=\"462\" height=\"447\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/KRITIS-Sektoren.png 462w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/KRITIS-Sektoren-300x290.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/KRITIS-Sektoren-24x24.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/KRITIS-Sektoren-36x36.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/KRITIS-Sektoren-48x46.png 48w\" sizes=\"(max-width: 462px) 100vw, 462px\" \/><figcaption id=\"caption-attachment-35468\" class=\"wp-caption-text\">Abb.: KRITIS Sektoren (Quelle: BSI)<\/figcaption><\/figure>\n<p><strong>Eine der gr\u00f6\u00dften \u00c4nderungen f\u00fcr KRITIS relevante Unternehmen im IT-Sig 2.0 ist die explizite Forderung eines zentralen Systems zur Angriffserkennung.<\/strong><\/p>\n<div class=\"fazit\"><\/p>\n<p><strong>Dieses muss folgende Anforderungen erf\u00fcllen (\u00a78 (1a) BSIG-E, \u00a72 (9b) BSIG-E):<\/strong><\/p>\n<ul>\n<li>Durch automatisierte, kontinuierliche \u00dcberwachung von geeigneten Parametern Bedrohungen zu identifizieren sowie<\/li>\n<li>bei der Beseitigung der identifizierten Risiken zu unterst\u00fctzen.<\/li>\n<\/ul>\n<p><\/div>\n<p>Nur wenige SIEM-Systeme am Markt decken die Anforderungen des BSI im Hinblick auf die zentrale Angriffserkennung ab und sch\u00fctzen Kunden vollumf\u00e4nglich.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Wie_stelle_ich_die_zentrale_Angriffserkennung_in_meiner_Infrastruktur_sicher\"><\/span><strong>Wie stelle ich die zentrale Angriffserkennung in meiner Infrastruktur sicher?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>F\u00fcr die zentrale Angriffserkennung nach Stand der Technik ist es notwendig, Anomalien in der Unternehmensinfrastruktur zu identifizieren.<\/strong><\/p>\n<p>Der Einsatz eines SIEM erm\u00f6glicht dem Unternehmen einen ganzheitlichen Blick auf die sicherheitsrelevanten Events der IT-Infrastruktur in Echtzeit sowie die (idealerweise) automatisierte Durchf\u00fchrung von Gegenma\u00dfnahmen. Ein SIEM ersetzt hier nicht die bereits im Unternehmen etablierten IT-Sicherheitsma\u00dfnahmen, sondern erg\u00e4nzt diese durch einen zentralen \u00dcberblick \u00fcber alle Einzelsysteme und die F\u00e4higkeit, diese Daten zu verbinden und anzureichern.<\/p>\n<p><strong>M\u00f6gliche Quellen f\u00fcr dieses System sind:<\/strong><\/p>\n<ul>\n<li>Logfiles aus Betriebssystemen und Applikationen<\/li>\n<li>Firewall-Events von Netzwerkfirewalls<\/li>\n<li>Alarme von Intrusion Detection &amp; Prevention Systemen (IDS\/IPS)<\/li>\n<li>Intelligente Netzwerksensoren \/ Netzwerkmonitorsysteme mit Informationen \u00fcber gefundene Assets\/Ger\u00e4te, Schwachstellen, Compliance-Verst\u00f6\u00dfen oder anomalem Netzwerkverhalten<\/li>\n<li>Verzeichnisdienste &amp; Authentication-Services (wie Active Directory, IDM-Systeme, Single Sign on)<\/li>\n<li>Endpoint Detection &amp; Response Systeme (EDR\/XDR)<\/li>\n<li>Indikatoren zur Identifikation von Angreifern und Angriffen wie IP-Adressen, Hashes, Hostnamen etc. (Threat Intelligence Feeds) sowie z.B. Kontext-Informationen zu Angreifern zur Anreicherung<\/li>\n<\/ul>\n<p>Das IT-Sicherheitsteam hat durch das SIEM die M\u00f6glichkeit, durch gezielte Aggregation und Korrelation die Qualit\u00e4t der durch die Einzelsysteme gewonnenen Daten zu verbessern, um so zu aussagekr\u00e4ftigeren Erkenntnissen \u00fcber sicherheitsrelevante Events zu gelangen.<\/p>\n<p>Moderne SIEM-Systeme verf\u00fcgen \u00fcber ihre Kernfunktionalit\u00e4t hinaus auch \u00fcber M\u00f6glichkeiten der Automatisierung des Arbeitsablaufs f\u00fcr Gegenma\u00dfnahmen (\u201e<a href=\"https:\/\/testing.secuinfra.com\/techtalk\/wie-soar-die-effizienz-und-effektivitaet-der-analyse-und-incident-response-prozesse-steigert\/\"><strong>SOAR\u201c: Security Orchestration, Automation and Response<\/strong><\/a>).<\/p>\n<p>Eine weitere sinnvolle Erg\u00e4nzung k\u00f6nnen Systeme sein, welche durch maschinelles Lernen systematisch Baselines \u00fcber die Identit\u00e4ten und Systeme eines Unternehmens anfertigen und diese automatisiert auf Abweichungen pr\u00fcfen (<strong>User and Entity Behaviour Analytics (UEBA<\/strong>). Die zentralisierte Bereitstellung aller gewonnen Daten in einem SIEM-System bietet dem Analysten ein ganzheitliches Bild \u00fcber die Sicherheitssituation des Unternehmens in Echtzeit.<\/p>\n<p><strong>Der Betrieb eines SIEM-Systems stellt viele Unternehmen vor Herausforderungen<\/strong><strong>, denn <\/strong><strong>die notwendigen <\/strong><strong>System-, Netzwerk und personellen Ressourcen zum Betrieb eines SIEMs sind nicht unerheblich.<\/strong> Oftmals werden mehrere Hundertmillionen Events pro Tag erzeugt. Die Verarbeitung dieser Daten in Echtzeit erfordert hinreichend Rechenleistung und Netzwerkbandbreite.<\/p>\n<p>Dar\u00fcber hinaus erfordert der Betrieb eines SIEM ein Team von Cyber Defense Experten, um einen Mehrwert f\u00fcr das Unternehmen zu erzielen. Zwar bringen moderne SIEM-Systeme ein sehr gutes Set an Standardregeln mit, doch die Anpassung des Systems an die spezifischen Gegebenheiten des Unternehmens sowie die Analyse der resultierenden Alarme sind mit signifikantem Aufwand verbunden, den Inhouse IT-Sicherheitsteams h\u00e4ufig selbst nicht leisten k\u00f6nnen.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Umsetzungsmoeglichkeiten_und_Betriebsmodelle\"><\/span>Umsetzungsm\u00f6glichkeiten und Betriebsmodelle<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Moderne SIEM-L\u00f6sungen, wie beispielsweise ArcSight, sind als \u201eSoftware as a Service\u201c(SaaS) L\u00f6sungen verf\u00fcgbar, welche den Betriebsaufwand f\u00fcr den Endkunden erheblich verringern.\u00a0 Auch eine Integration weiterer Komponenten wie ArcSight Intelligence (UEBA) oder Cyberres Galaxy (Threat Intelligence) bieten Kunden gro\u00dfen Mehrwert im Bereich IT Security. Kunden mit besonderen Schutzbed\u00fcrfnissen k\u00f6nnen eine SIEM-L\u00f6sung auch on premise installieren.<\/p>\n<p><strong>Insgesamt sind folgende verschiedene Betriebsmodelle m\u00f6glich:<\/strong><\/p>\n<ol>\n<li><strong>Inhouse SIEM<\/strong>: Der Kunde betreibt das System selbst, ggf. mit Unterst\u00fctzung eines IT Security Partners, der das fehlende Know-how mitbringt.<\/li>\n<li><strong>Managed SIEM<\/strong>: Der IT Security Dienstleister betreibt das System in seinem Rechenzentrum und verarbeitet dort die Daten des Kunden.<\/li>\n<li><strong><a href=\"https:\/\/testing.secuinfra.com\/services\/co-managed-siem\/\">Co-Managed SIEM<\/a><\/strong>: Der Partner betreibt das System oder auch nur Teile des Systems beim Kunden. Die Daten verbleiben zu jeder Zeit im Netz des Kunden.<\/li>\n<\/ol>\n<div class=\"fazit\"><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Fazit\"><\/span>Fazit<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Nur wenige Unternehmen k\u00f6nnen der Vielzahl den Anforderungen des IT SIG 2.0 gerecht werden. Nur wenige Produkte am Markt k\u00f6nnen die vielf\u00e4ltigen Anforderungen des Gesetzgebers an ein KRITIS-konformes SIEM erf\u00fcllen \u2013 dies gilt vor allem im Hinblick auf die revisionssichere Ablage und die Unver\u00e4nderlichkeit der Daten die Sicherstellung, die gesamte relevante Systemlandschaft zu betrachten.<\/p>\n<p><strong>Sie ben\u00f6tigen Unterst\u00fctzung bei der gesetzeskonformen Umsetzung der Anforderungen des IT-Sicherheitsgesetzes 2.0? Kontaktieren Sie uns \u2013 <a href=\"https:\/\/testing.secuinfra.com\/contact\/\">online<\/a> oder telefonisch unter +49 30 5557021 11.<\/strong><\/p>\n<p><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Viele KRITIS-Unternehmen stehen vor der Herausforderung, die Anforderungen des IT-Sicherheitsgesetzes 2.0 zu erf\u00fcllen.<\/p>\n","protected":false},"author":19,"featured_media":35471,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[67,66],"tags":[],"dpc_coauthors":[],"class_list":["post-35470","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-siem","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/35470","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=35470"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/35470\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/35471"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=35470"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=35470"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=35470"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=35470"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}