Systeme zur Angriffserkennung (SzA) existieren schon lange, aber kaum jemand kann mit der Bezeichnung etwas anfangen. Gemeint sind hier organisatorische und technologische Maßnahmen, um unerwünschtes Verhalten in Computernetzen aufzudecken, bspw. Ransomware oder Hacker-Angriffe.
Der Inhalt im Überblick
„Systeme“ – absichtlich generisch
Im Gegensatz zu SzA sind die Akronyme IDS und IPS wohl bekannter. Während man allerdings „System zur Angriffserkennung“ mit „Intrusion Detection System“ übersetzen kann, steht „Intrusion Prevention System“ dennoch nicht „ohne Zuordnung“ da. Der Gesetzgeber beschränkt sich mit der Bezeichnung „Systeme zur Angriffserkennung“ nämlich nicht auf die reine Detektion von Ereignissen, wie § 8a Abs. 1a S. 2 BSIG ausführt:
„Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“
Eine genauere Darlegung der Anforderungen zeigt die Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung vom BSI. Dort werden Anforderungen in KANN, SOLL und MUSS unterschieden. Dies erleichtert das Verständnis darüber, was das absolute Minimum ist, was ein SzA leisten können muss. Eine Anforderung daraus lautet wie folgt:
„Bei einem sicherheitsrelevanten Ereignis MÜSSEN die eingesetzten Detektionssysteme das Ereignis automatisch melden und in Netzen, wo durch die automatische Reaktion die kritische Dienstleistung nicht gefährdet wird, mit geeigneten Schutzmaßnahmen reagieren.“
Letztlich ist „Systeme zur Angriffserkennung“ also ein Sammelbegriff für alle Systeme, mit denen die Anforderungen des BSI getroffen werden können. Wichtig zu beachten ist, dass nicht nur technische Systeme gemeint sind, sondern auch organisatorische Verfahren. Dazu gehören beispielsweise Risiko und Incident Management.
Die technische Sicht – Nicht ganz so technisch
Vernetzte Geräte sind aus einem guten Grund „vernetzt“, nämlich damit zwischen den Geräten kommuniziert werden kann. Das geschieht deutlich umfangreicher als für normale Nutzer sichtbar, denn nicht nur die versendete E-Mail oder das Besuchen einer Website setzt eine aktive Verbindung zu anderen Netzwerkgeräten voraus.
Kommunikation zwischen den Geräten kann deutlich subtiler stattfinden. Beispielsweise bei der Anmeldung an einem Bürorechner, der von einer zentralen IT-Abteilung bereitgestellt wird, kommuniziert der Bürorechner häufig mit einer Steuereinheit, dem Active Directory, um den Benutzer anzumelden. Auch der Zugriff auf Ressourcen im Büronetzwerk erfordert viel Kommunikation zwischen den Geräten. Um zu sehen, welche Dateien verfügbar sind, muss erst eine Liste angefragt, dann abgerufen werden. Später werden Änderungen an den Dateien dann wieder über das Netzwerk zum zentralen Speicher übermittelt.
Jeder Teil der Kommunikation zwischen Netzwerkgeräten, kann von einem System zur Angriffserkennung analysiert werden. Dabei wird geprüft, ob es sich um eine reguläre Nutzung, oder um potenziell unerwünschtes Verhalten handelt.
Während der Zugriff auf 20 PDFs in kurzer Zeit eine reguläre Nutzung für die Buchhaltung darstellen kann, deutet eine Änderung aller Dateien auf dem Netzwerkspeicher innerhalb kurzer Zeit und möglicherweise außerhalb der Geschäftszeiten stark auf einen Ransomware Angriff hin. Ein gutes SzA kann dieses Verhalten unterscheiden und gegebenenfalls die weitere Verschlüsselung selbst unterbinden.
Reicht nicht auch eine Antivirensoftware?
Eine gute Antivirensoftware ist grundsätzlich zu empfehlen und in den meisten Fällen auf dienstlich genutzten Computern vorhanden. Eine Antivirensoftware hat aber ein limitiertes Einsatzgebiet und reicht für die Netzwerksicherheit nicht aus, da es nur lokal auf dem Gerät läuft. Dadurch kann eine Schadsoftware im schlimmsten Fall die Software einfach „abschalten“.
Rein im Netzwerk agierende SzA können wiederum nicht erkennen, was auf Geräten passiert, bevor sich etwas an der Netzwerkkommunikation ändert. Systeme zur Angriffserkennung können aber die Ergebnisse von Antivirensoftware und anderen Programmen in ihre eigenen Analysen integrieren. Dies kann die Erkennung einer Bedrohung ermöglichen, noch bevor sich diese durch unerwünschtes Verhalten im Netzwerk zeigt.
Warum hat nicht jeder so ein System?
Ein SzA ist weder trivial zu betreiben, noch in den meisten Fällen günstig in der Anschaffung. Um die gewünschten Ergebnisse zu erzielen, müssen Sensoren so im Netzwerk verteilt werden, dass der gesamte Netzwerkverkehr überwacht werden kann. Je nach Größe des Netzwerks kann dafür ein Sensor ausreichen, aber häufig genügt das nicht.
Zusätzlich zu der Einrichtung der Sensoren, muss die überwachte Netzwerkkommunikation analysiert werden. Um das „Gesamtbild zu sehen“, sollte dies an einer zentralen Stelle im Netzwerk geschehen, zu der alle Daten von allen Sensoren übermittelt werden. Dies erfordert jedoch weitere Kommunikation im Netzwerk oder ein separates Netzwerk nur für die Kommunikation der Sensoren.
Letztlich ist auch nicht zu vernachlässigen, welcher Art die überwachten Daten sind. Hier handelt es sich schließlich nicht nur um generische Informationen wie beispielsweise von einem externen Temperatursensor. Die überwachten Nachrichten können das Nutzerverhalten der Mitarbeiter im Unternehmensnetz aufzeigen und könnten sogar private Daten enthalten, falls die Unternehmens-IT auch für private Zwecke, beispielsweise in der Mittagspause, genutzt werden darf.
Die Auswertung dieser Daten erfolgt in einem SzA zur Wahrung des berechtigten Interesses des Unternehmens an einem sicheren IT-Betrieb. Hier also, um Angriffe frühzeitig zu erkennen und möglicherweise zu stoppen. Für Betreiber kritischer Infrastrukturen gilt, dass die Verarbeitung zwingend nötig ist, um rechtlichen Verpflichtungen nachzukommen, dazu aber später mehr. Vor der Implementierung eines SzA ist daher zwingend der Datenschutzbeauftragte einzubeziehen. Je nach Umfang der Verarbeitung kann auch eine Datenschutz-Folgenabschätzung erforderlich sein.
Welche Gründe sprechen noch für den Einsatz?
Gute Systeme zur Angriffserkennung hören nicht beim Analysieren des Netzwerkverkehrs auf. Ein substanzieller Bestandteil ist die automatische Benachrichtigung von Administratoren, die den Netzwerkverkehr selbst beurteilen können.
Wie die oben genannte Anforderung des BSI bereits impliziert, können SzA teilweise selbst korrigierend eingreifen. Beispielsweise könnte ein Computer, der mitten in der Nacht beginnt, Dateien auf allen Netzwerkspeichern zu ändern oder zu löschen automatisch vom Netzwerk isoliert werden, indem die Sensoren, die dessen Nachrichtenverkehr überwachen sollen, alle Nachrichten von diesem Computer blockieren.
Neben den gewählten Beispielen gibt es noch deutlich mehr Angriffsszenarien, die ein gutes System zur Angriffserkennung aufdecken und stoppen kann. Ein SzA liefert auch wertwolle Erkenntnisse für IT-Forensiker, falls es doch zu einem Vorfall kommen sollte.
Für Betreiber von kritischen Infrastrukturen (KRITIS-Unternehmen) stellt sich die Frage nicht mehr, ob ein SzA eingesetzt werden sollte. Bereits seit dem 1. Mai 2023 müssen Unternehmen, die der KRITIS-Verordnung unterliegen, diese Systeme in Betrieb haben und Nachweise über den Einsatz von Systemen zur Angriffserkennung erbringen.
Abzuwarten bleibt, welche Unternehmen künftig ebenfalls zu den kritischen Infrastrukturen gezählt werden. Die nationale Umsetzung der NIS-2-Richtlinie steht noch aus, der Gesetzgeber hat bis zum 17.10.2024 Zeit diese zu verabschieden. Die EU-Richtlinie zeigt aber deutlich, dass mehr Unternehmen gesetzlich dazu verpflichtet werden, ihre Bemühungen im Bereich der Informationssicherheit zu verstärken.