Security Information and Event Management (SIEM)

Whitepaper
Security Information and Event Management (SIEM)
und Meldewesen
Systemgestütze Umsetzung der IT-Compliance-Anforderungen
für die Versorgungswirtschaft
04/2016 V.2.3
Der im August 2015 von der Bundesnetzagentur (BNetzA) veröffentlichte IT-Sicherheitskatalog für Verteilnetzbetreiber Strom/Gas
schreibt Energiedienstleistern vor, IT-Sicherheitsvorfälle an die BNetzA zu melden. Bis zum 30.11.2015 musste eine
Kontaktperson (i.d.R. der Informationssicherheitsbeauftragte) an die BNetzA gemeldet werden. Doch wie erfolgt die Erkennung
und Beurteilung von Sicherheitsvorfällen und welche Möglichkeiten der Dokumentation und
Maßnahmenverfolgung gibt es?
Die certigo GmbH und die doIT solutions GmbH, einer der führenden Dienstleister im Bereich Security Intelligence, haben ein
umfassendes Lösungskonzept entwickelt, welches die Auswertung von Logging-Daten mittels eines SIEM-Systems sowie deren
Weiterverarbeitung in einem GRC-Tool mit dem Ziel der Dokumentation und Maßnahmenverfolgung ermöglicht. Außerdem
enthalten sind optionale technische Module für einen sicheren und verfügbaren IT-Betrieb.
IT-Sicherheitskatalog (BNetzA)
Mit dem im August 2015 seitens der BNetzA veröffentlichten
IT-Sicherheitskatalog für Verteilnetzbetreiber Strom/Gas sind
Energieversorger verpflichtet, bis zum 31.01.2018 ein
Informationssicherheitsmanagementsystem (ISMS)
einzuführen und dieses zertifizieren zu lassen. Ferner werden
im IT-Sicherheitskatalog auch Vorgaben zum Meldewesen
gemacht.
Security-Monitoring & Protokollierung
Die Branchenverbände Bitkom und VkU haben im September
2015 einen Praxisleitfaden zum IT-Sicherheitskatalog
herausgegeben. Dort werden ab Seite 82 auch technische
Sicherheitslösungen angesprochen. Unter dem Punkt
„Security-Monitoring & Protokollierung“ heißt es:
„Um mit geeigneten Maßnahmen, Sicherheitsvorfällen
entgegenwirken oder aber diese überhaupt zeitnah erkennen
zu können, sind geeignete Security Monitoring und
Protokollierungslösungen zu etablieren. Praxiserprobt sind
dabei Lösungen, die vollständig an die Anforderungen und
Bedürfnisse der Betreiber von Energieversorgungsnetzen
angepasst werden können.“
Neben organisatorischen Sicherheitsaspekten
(Implementierung eines Informationssicherheitsmanagements
auf der Basis von ISO/IEC 27001) muss die
Energieversorgung i.d.R. auch bei den technischen
Sicherheitssystemen auf- beziehungsweise nachrüsten.
Grund hierfür ist, das viele Unternehmen nicht nur Probleme
damit haben die zunehmend raffinierten Attacken
abzuwehren, sie entdecken die erfolgreichen Angriffe oftmals
sehr spät oder gar nicht. 24 Prozent der befragten
Unternehmen zeigten sich in einer Studie zuversichtlich einen
Angriff innerhalb von Minuten zu entdecken, fast die Hälfte
braucht dazu Tage, Wochen oder sogar Monate.
Es steht außer Zweifel, dass die Aufdeckung und Bewertung
von Attacken so schnell wie möglich von statten gehen muss,
wenn die eigentlichen Abwehrmaßnahmen, wie Firewall und
Virenschutz keinen Erfolg hatten. Gegebenenfalls müssen
Sofortmaßnahmen ergriffen werden, um das
Schadensausmaß zu begrenzen.
Hierfür müssen Auffälligkeiten in Echtzeit festgestellt und
bewertet werden. Dazu zeichnet beispielsweise ein Security
Information and Event Management System (SIEM) auffällige
Aktivitäten im Netzwerk auf, eine Rückverfolgung
verdächtiger Aktivitäten wird zeitnah möglich. Warnhinweise
bei wachsenden Verdachtsmomenten und forensische
Suchfunktionen runden die Security Intelligence in der ITForensik ab.
Security Intelligence kann die digitale Spurensuche, die ITForensik, unterstützen und beschleunigen. Im Rahmen der
Sammlung und Bewertung von Logging-Daten aus diversen
Datenquellen des Energieversorgers wie z.B. der Netzleit- und
Netzführungssysteme, Übertragungs- und Fernwirktechnik.
Sicherheitsvorfälle lassen sich somit schneller untersuchen
und die möglichen Auswirkungen verdächtiger Aktivitäten
besser abschätzen.
certigo und doIT solutions entwickeln eine integrierte Lösung
Die Security-Spezialisten der doIT solutions GmbH und der certigo GmbH haben zusammen ein Lösungsportfolio für die
Anforderungen der Energiewirtschaft konzipiert.
Die doIT solutions GmbH bringt als eines der führenden Systemhäuser für IT-Infrastructure und IT-Security ihre TechnologieExpertise im Security-Umfeld ein. Zu den Kernkompetenzen zählen dabei die Konzeption und Implementierung von SecurityIntelligence-Systemen, von Vulnerabilty-Management-Systemen über Intrusion-Detection-Systemen bis hin zu Security
Information and Event Management.
Die certigo GmbH unterstützt ihre Kunden bei der konsequenten Umsetzung ihrer IT-Security- und Compliance-Strategien durch
eine prozessorientierte Vorgehensweise. Die strategischen Maßnahmen orientieren sich dabei an den internationalen Standards
der ISO/IEC 27000er Normenreihe. Spezialisierte Projekt- und Expertenteams unterstützen Kunden aus Industrie, Handel,
Energie- und Wasserwirtschaft sowie öffentliche Organisationen. Eine der Stärken der certigo ist die Kombination aus fundiertem
technischem und organisatorischem IT-Know-How sowie hochqualifizierten, praxiserfahrenen Beratern.
Das Leistungsportfolio
Kern des gemeinsamen Leistungsportfolios ist die Kombination eines auf Energieversorger und die Umsetzung der Meldepflicht
optimierten ISMS, mit einem ebenso optimierten zentralen SIEM-System als technische Basis. Die Experten der certigo und doIT
solutions haben ein System von technischen und organisatorischen Maßnahmen entwickelt, welche optimal aufeinander
abgestimmt sind und eine schnelle und kosteneffiziente Einführung ermöglichen.
Enorm wichtig ist dabei die Verfügbarkeit und Anbindung der IT- und Produktionsinfrastruktur. Das verwendete SIEM-System ist
insbesondere ausgewählt worden, da es in der Lage ist, neben klassischen IT-Security-Logdaten auch beliebige Steuerungs-,
Produktions- und Infrastrukturdaten zu verarbeiten und bei der Sicherheitsanalyse zu verwenden. Diese beiden Module können
praktisch in jeder existierenden Infrastruktur integriert werden und sie skalieren von mittelständischen Unternehmen bis hin zu
Großunternehmen mit einer sechsstelligen Anzahl an Endgeräten.
Um alle Anforderungen, die sich aus der Umsetzung des IT Sicherheitsgesetztes ergeben, vollumfänglich umsetzen zu können,
bietet das Portfolio des Weiteren noch technische Module, um die vorhandene IT-Sicherheit zu erweitern oder zu ergänzen. Der
Fokus liegt hierbei darauf, wichtige Informationslieferanten für den sicheren IT-Betrieb qualitativ hochwertig zu integrieren und
das bei einem besonderen Fokus auf geringe administrative Aufwände.
Konkret beinhalten diese Module Lösungen für ein übergreifendes Schwachstellenmanagement, sicheren und hochverfügbaren
Serverbetrieb, Verschlüsselungs- und Netzwerkkontrollsysteme und für mobile Endgeräte.
Alle genannten Module zeichnen sich durch ihr hohes Maß an schlüsselfertiger Integration aus. Jedes Modul ist aber ebenso
sinnvoll einzeln implementierbar. Dies erlaubt es, die konkrete Umsetzung in verschiedenen aufeinanderfolgenden Teilschritten
durchzuführen oder bereits existierende Lösungen in ein Gesamtbild zu integrieren.
Kern-Module:
Informationssicherheitsmanagementsystem (ISMS) & Meldewesen
Wenn das SIEM-System Ihnen Auswertungen
liefert bzw. Sie alarmiert und Sie zu dem Schluss
kommen, dass ein Sicherheitsvorfall vorliegt, wie
geht es dann weiter?
Im Kontext systemgestützten
Informationssicherheitsmanagements arbeitet die
certigo GmbH mit der GRC-Suite Iris der ibiSystems GmbH. M it dieser ist es unter
anderem möglich Security Incidents zu erfassen
und zu managen. Mittels einer Schnittstelle
können die Meldungen, die im SIEM entstanden
sind, weiterverarbeitet werden. Sicherheitsvorfälle
werden als „Schadensfall“ erfasst und
kategorisiert.
Im Einzelnen können folgende Informationen
erfasst bzw. bearbeitet werden:
▪
▪
▪
▪
▪
Definition des Schadens
Beschreibung der Schadensauswirkung
Zuordnung einer Schwachstelle
Erläuterung der Schadensursache
Einschätzung der monetären Schadenshöhe.
Es können dann die betroffenen Assets, Prozesse oder Organisationseinheiten verknüpft und Maßnahmen hinzugefügt werden.
Die Maßnahmen können einer oder mehreren Personen im ISM-Team zugeordnet und deren Abarbeitung nachverfolgt werden.
Mittels eines standardisierten Reports können die notwendigen Informationen automatisiert aufbereitet werden. Per Fax oder EMail kann dann eine Meldung an die Bundesnetzagentur
(oder je nach Kategorisierung auch an das BSI) erfolgen.
Security Information & Event Management (SIEM)
Ein SIEM-System dient als Schnittstelle zwischen
Infrastruktur und ISMS, d.h. führt die Daten der IT- und
Produktionsinfrastruktur mit den Regeln und
Vorgehensweisen des Sicherheitsmanagements
zusammen.
Unsere Solution basiert auf der Big Data Technologie von
Splunk, die von Gartner m ehrfach als führend
eingestuft wurde. Splunk zeichnet sich u.a. durch einen
sich schnell einstellenden Return-On-Investment aus,
sowie die Einsatzbarkeit für weitere Anwendungsfälle,
unter anderem IT-Operations und Application Delivery.
Splunk ermöglicht die Anbindung von Datenquellen aller sicherheitsrelevanten Systeme sowie die Sammlung von Maschinendaten
beliebiger Formate, sowohl im Hinblick auf historische Daten als auch auf Echtzeitdaten.
Strukturiert und aufbereitet können diese Daten über Dashboards visualisiert und so für die IT-Sicherheit und das Management
effektiv nutzbar gemacht werden. Das integrierte Reporting über erfasste und bewertete Sicherheitsvorfälle erlaubt eine schnelle
und effiziente Meldung an die Aufsichtsbehörde.
Zusatz-Module:
Um ein modernes ISMS sowie SIEM auf Next Generation IT-Basis zu betreiben und mit den für die IT-Sicherheit notwendigen
Informationen zu versorgen, bietet Ihnen die doIT solutions GmbH unter anderem die folgenden technischen Module:
Virtual Server Infrastructure
Hochverfügbarkeit, hervorragende Skalierbarkeit („Web Scale“) und drastische
Komplexitätsreduktion durch den Einsatz der Hyperconverged Infrastructure (HCI)
von nutanix.
Diese High-End-Technologie vereint Computing, Storage und Virtualisierung. Sie
vereinfacht die Administration und Entwicklung der Systemlandschaft und reduziert
die IT-Betriebskosten spürbar. Durch ihr modulares Konzept ermöglicht diese Lösung
eine IT-Infrastruktur, die schrittweise und sehr flexible mit den geschäftlichen
Anforderungen wachsen kann. Ob Compute oder Storage, Kapazitäten können bei
linear ansteigender Leistung Zug um Zug erweitert werden.
Das heißt kaufmännisch sind Investitionen jeweils nur in dem Umfang erforderlich, in
dem sie technisch wirklich benötigt werden, sodass ein kosteneffizienter
Ressourceneinsatz realisiert werden kann.
Firewall, VPN & Intrusion Prevention
Stateful Inspection, netzwerkbasierte Antivirus- und Intrusion-Preventionen-Funktionen in einer Single Pass Engine durch die Next
Generation Firewall des deutschen Herstellers gateprotect.
Neben Kosteneffizenz und ihrer einfachen Bedienung zeichnen sich die Geräte durch die Unterstützung von üblicherweise in
Produktionsnetzen verwendeten IP-Protokollen aus.
Die Single Pass Engine bietet einen modernen Unterbau zu Kontrolle von Netzwerkverkehr und den Schutz vor Malware und
bekannter Angriffsmethoden.
Vulnerability Management
Erkennung und Vermeidung von Infrastruktur-Verwundbarkeiten und
Konfigurationsfehlern sowie Überwachung von Compliance-Regeln
durch die Scanning Solution des Technologieführers Tenable Network
Security.
Nessus Professional bzw. das Security Center von Tenable identifizieren
durch aktive und passive Scans Software-Schwachstellen, überprüfen
deren Verwundbarkeit und warnen entsprechend. Ergänzend tragen
diese Produkte zur Schließung von nutzerbedingten Sicherheitslücken
bei, indem sie z.B. auf nicht geänderte Standardpasswörter hinweisen.
Der passive Scanner eignet sich besonders für kritische Umgebungen in
denen aktive Scans nicht erlaubt sind.
Fazit
Neben oder Umsetzung organisatorischer Sicherheitsaspekte (wie die Anforderungen der ISO/IEC 27001) muss die
Energieversorgung i.d.R. auch bei den technischen Sicherheitssystemen auf- beziehungsweise nachrüsten, um den aktuellen
regulatorischen Anforderungen gerecht zu werden.
Bei der Umsetzung empfiehlt sich ein ganzheitlicher Ansatz, welcher technische und organisatorische Maßnahmen sinnvoll
miteinander verknüpft. Wiederholte oder in mehreren Systemen notwendige Datenerfassungen sollten weitestgehend vermieden
werden. Systemseitig muss eine Prozessunterstützung und -automatisierung gegeben sein.
Aufgrund der engen zeitlichen Umsetzungsfristen empfehlen wir bereits jetzt, sich eingehend mit den gesetzlichen Anforderungen
und den möglichen Projektaufwänden auseinanderzusetzten.
Bei der Projektplanung sollten die Rahmenparameter der Anreizregulierung beachtet werden: 2016 stellt ein Fotojahr für die
Sparte Strom dar, wodurch die Aufwände direkt in der kommenden Regulierungsperiode geltend gemacht werden.
Bei Fragen stehen die unsere Experten gerne und jederzeit zur Verfügung.
certigo GmbH
Jan Arfwedson
Seestraße 11
63571 Gelnhausen
Tel.: +49 6051 916 752 900
Email: [email protected]
www.certigo.de
doIT solutions GmbH
Dominik Oestreicher
Zum Wartturm 5
63571 Gelnhausen
Tel.: +49 6051 47 47 20
Email: [email protected]
www.doit-solutions.de

Download Report