DER.1 Detektion von sicherheitsrelevanten Ereignissen: Unterschied zwischen den Versionen

Aus Foxwiki
Die Seite wurde neu angelegt: „'''DER.1 Detektion von sicherheitsrelevanten Ereignissen''' = Beschreibung = == Einleitung == Um IT-Systeme schützen zu können, müssen sicherheitsrelevante Ereignisse rechtzeitig erkannt und behandelt werden. * Dazu ist es notwendig, dass Institutionen im Vorfeld geeignete organisatorische, personelle und technische Maßnahmen planen, implementieren und regelmäßig üben. * Denn wenn auf ein vorgegebenes und erprobtes Verfahren aufgesetzt werden kan…“
 
 
(36 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''DER.1 Detektion von sicherheitsrelevanten Ereignissen'''
'''DER.1 - '''Detektion von sicherheitsrelevanten Ereignissen


= Beschreibung =
== Beschreibung ==
=== Einleitung ===
; IT-Systeme schützen
Sicherheitsrelevante Ereignisse
* rechtzeitig erkennen
* zeitnah behandeln


== Einleitung ==
=== Maßnahmen ===
Um IT-Systeme schützen zu können, müssen sicherheitsrelevante Ereignisse rechtzeitig erkannt und behandelt werden.
Im Vorfeld
* Dazu ist es notwendig, dass Institutionen im Vorfeld geeignete organisatorische, personelle und technische Maßnahmen planen, implementieren und regelmäßig üben.
* planen
* Denn wenn auf ein vorgegebenes und erprobtes Verfahren aufgesetzt werden kann, lassen sich Reaktionszeiten verkürzen und vorhandene Prozesse optimieren.
* implementieren
* regelmäßig üben


Als sicherheitsrelevantes Ereignis wird ein Ereignis bezeichnet, das sich auf die Informationssicherheit auswirkt und die Vertraulichkeit, Integrität oder Verfügbarkeit beeinträchtigen kann.
Geeignete Maßnahmen
* Typische Folgen solcher Ereignisse sind ausgespähte, manipulierte oder zerstörte Informationen.
* organisatorisch
* Die Ursachen dafür sind dabei vielfältig.
* personell
* So spielen unter anderem Malware, veraltete IT-Systeminfrastrukturen oder Innentäter und Innentäterinnen eine Rolle.
* technisch
* Angreifende nutzen aber auch oft Zero-Day-Exploits aus, also Sicherheitslücken in Programmen, bevor es für diese einen Patch gibt.
* Eine weitere ernstzunehmende Gefährdung sind sogenannte Advanced Persistent Threats (APTs).
* Dabei handelt es sich um zielgerichtete Cyber-Angriffe auf ausgewählte Institutionen und Einrichtungen, bei denen sich Angreifende dauerhaften Zugriff zu einem Netz verschaffen und diesen Zugriff in der Folge auf weitere IT-Systeme ausweiten.
* Die Angriffe zeichnen sich durch einen sehr hohen Ressourceneinsatz und erhebliche technische Fähigkeiten auf Seiten der Angreifenden aus und sind oft schwer zu detektieren.


== Zielsetzung ==
==== Organisatorisch ====
Dieser Baustein zeigt einen systematischen Weg auf, wie Informationen gesammelt, korreliert und ausgewertet werden können, um sicherheitsrelevante Ereignisse möglichst vollständig und zeitnah zu detektieren.
Personelle und technische Maßnahmen
* Die aus der Detektion gewonnenen Erkenntnisse sollen die Fähigkeit von Institutionen verbessern, sicherheitsrelevante Ereignisse zu erkennen und angemessen darauf zu reagieren.


== Abgrenzung und Modellierung ==
; Reaktionszeiten
Der Baustein DER.1 ''Detektion von sicherheitsrelevanten Ereignissen ''ist auf den Informationsverbund einmal anzuwenden.
Vorgegebene und erprobte Verfahren verkürzt die Reaktionszeiten erheblich
* Prozesse optimieren!


Der Baustein enthält grundsätzliche Anforderungen, die zu beachten und zu erfüllen sind, wenn sicherheitsrelevante Ereignisse detektiert werden sollen.
==== Sicherheitsrelevante Ereignisse ====
* Voraussetzung hierfür ist jedoch, dass umfassend protokolliert wird.
Als sicherheitsrelevantes Ereignis wird ein Ereignis bezeichnet, das sich auf die Informationssicherheit auswirkt und die Vertraulichkeit, Integrität oder Verfügbarkeit beeinträchtigen kann
* Die dafür notwendigen Anforderungen werden nicht im vorliegenden Baustein beschrieben, sondern sind im Baustein OPS.1.1.5 ''Protokollierung'' enthalten.
* Typische Folgen solcher Ereignisse sind ausgespähte, manipulierte oder zerstörte Informationen


Im Vorfeld der Detektion von sicherheitsrelevanten Ereignissen ist es wichtig, dass Zuständigkeiten und Kompetenzen klar definiert und zugewiesen werden.
; Vielfältige Ursachen
* Es sollte insbesondere auf den Grundsatz der Funktionstrennung geachtet werden.
* Malware
* Dieses Thema ist nicht Bestandteil dieses Bausteins, sondern wird im Baustein ORP.1 ''Organisation ''behandelt.
* Veraltete IT-Systeminfrastrukturen
* Innentäter
* Zero-Day-Exploits
* Advanced Persistent Threats (APTs)
** Dabei handelt es sich um zielgerichtete Cyber-Angriffe auf ausgewählte Institutionen und Einrichtungen, bei denen sich Angreifende dauerhaften Zugriff zu einem Netz verschaffen und diesen Zugriff in der Folge auf weitere IT-Systeme ausweiten
** Die Angriffe zeichnen sich durch einen sehr hohen Ressourceneinsatz und erhebliche technische Fähigkeiten auf Seiten der Angreifenden aus und sind oft schwer zu detektieren


Außerdem beschreibt der Baustein nicht, wie mit sicherheitsrelevanten Ereignissen umzugehen ist, nachdem sie detektiert worden sind.
=== Zielsetzung ===
* Anforderungen dazu werden in den Bausteinen DER.2.1 ''Behandlung von Sicherheitsvorfällen'' und DER.2.2 ''Vorsorge für die IT-Forensik'' aufgeführt.
; Ziel dieses Bausteins
* Ebenso wird nicht auf das Thema Datenschutz eingegangen, dieses wird im Baustein CON.2 ''Datenschutz'' behandelt.
Sicherheitsrelevante Ereignisse möglichst vollständig und zeitnah detektieren


Um sicherheitsrelevante Ereignisse zu erkennen, sind oft zusätzliche Programme erforderlich, z.
Systematischen Weg, um Informationen zu
* B.
* sammeln
* Antivirenprogramme, Firewalls oder Intrusion Detection /Intrusion Prevention Systeme (IDS/IPS).
* korrelieren
* Sicherheitsaspekte dieser Systeme sind ebenfalls nicht Gegenstand des vorliegenden Bausteins.
* auswerten
* Sie werden z.
* B.
* in den Bausteinen OPS.1.1.4 ''Schutz vor Schadprogrammen ''bzw.
* NET.3.2 ''Firewall'' thematisiert.


= Gefährdungslage =
Die gewonnenen Erkenntnisse sollen die Fähigkeit von Institutionen verbessern, sicherheitsrelevante Ereignisse zu erkennen und angemessen darauf zu reagieren
Da IT-Grundschutz-Bausteine nicht auf individuelle Informationsverbünde eingehen können, werden zur Darstellung der Gefährdungslage typische Szenarien zugrunde gelegt.
* Die folgenden spezifischen Bedrohungen und Schwachstellen sind für den Baustein DER.1 ''Detektion von sicherheitsrelevanten Ereignissen ''von besonderer Bedeutung.


== Missachtung von gesetzlichen Vorschriften und betrieblichen Mitbestimmungsrechten ==
=== Abgrenzung und Modellierung ===
Programme, die sicherheitsrelevante Ereignisse detektieren und Protokolldaten auswerten, sammeln oft viele Informationen über die Netzstruktur und die internen Abläufe einer Institution.
; Anwendung
* Darin können schützenswerte Informationen wie personenbezogene Daten, vertrauliche Daten oder Arbeitsabläufe von Mitarbeitenden enthalten sein.
''DER.1'' ist auf jeden Informationsverbund einmal anzuwenden
* Dadurch, dass solche Daten gespeichert werden, können jedoch Persönlichkeitsrechte bzw.
* Mitbestimmungsrechte verletzt werden.
* Auch verstößt die Institution unter bestimmten Voraussetzungen eventuell gegen die jeweiligen Datenschutzgesetze.


== Unzureichende Qualifikation der Mitarbeitenden ==
; Grundsätzliche Anforderungen
Im täglichen IT-Betrieb einer Institution können viele Störungen und Fehler auftreten, z.
''DER.1'' enthält grundsätzliche Anforderungen
* B.
* Sicherheitsrelevante Ereignisse detektieren
* könnten ankommende Protokolldaten plötzlich stark zunehmen.
* zu beachten und zu erfüllen
* Sind die Zuständigen nicht ausreichend sensibilisiert und geschult, kann es passieren, dass sie sicherheitsrelevante Ereignisse nicht als solche identifizieren und so Angriffe unerkannt bleiben.
* Und auch wenn die Zuständigen ausreichend für die Belange der Informationssicherheit sensibilisiert und geschult sind, kann trotzdem nicht ausgeschlossen werden, dass sie Sicherheitsvorfälle nicht erkennen.
* Beispiele dafür sind:* Eine Person, die seit längerer Zeit nicht im lokalen Netz ihrer Institution angemeldet war, stuft es als normal ein, dass ihr Notebook seit einer Woche während des Internetzugangs deutlich langsamer ist.
* Sie bemerkt nicht, dass ein Schadprogramm im Hintergrund aktiv ist.
* Sie wurde nicht oder nur unzureichend geschult, bei verdächtigen Auffälligkeiten das Incident Management zu informieren.
* Eine Produktionsleitung bemerkt nicht, dass die Daten in den Produktionssystemen und auch die Steuerungsanzeigesysteme heimlich verändert wurden.
* Sie schöpft keinen Verdacht, als die SCADA-Steuerung der Produktionsanlage seltsame Werte anzeigt, da dies nur kurzzeitig erfolgte.
* Der Vorfall wird nicht gemeldet, da alle Werte wieder den erwarteten Anzeigewerten entsprechen.
* Dass eine Schadsoftware die Anzeigewerte manipuliert hat, fällt somit niemandem auf.


== Fehlerhafte Administration der eingesetzten Detektionssysteme ==
; Voraussetzung
Fehlerhafte Konfigurationen können dazu führen, dass eingesetzte Detektionssysteme nicht ordnungsgemäß funktionieren.
Umfassende Protokollierung
* Ist beispielsweise die Alarmierung falsch eingestellt, können vermehrt Fehlalarme auftreten.
* siehe [[OPS.1.1.5 Protokollierung]]
* Die Zuständigen können dann eventuell nicht mehr zwischen einem Fehlalarm und einem sicherheitsrelevanten Ereignis unterscheiden.
* Auch nehmen sie die Meldungen möglicherweise nicht schnell genug wahr, da zu viele Alarme generiert werden.
* Dadurch bleiben möglicherweise Angriffe unerkannt.
* Ebenso steigt der Aufwand stark an, um die Menge der Meldungen auszuwerten.


== Fehlende Informationen über den zu schützenden Informationsverbund ==
; Vorfeld
Sind keine oder nur ungenügende Informationen über den zu schützenden Informationsverbund vorhanden, kann es passieren, dass wesentliche Bereiche des Informationsverbunds nicht ausreichend durch Detektionssysteme abgesichert werden.
Im Vorfeld der Detektion von sicherheitsrelevanten Ereignissen ist es wichtig, dass Zuständigkeiten und Kompetenzen klar definiert und zugewiesen werden
* Dadurch können Angreifende leicht in das Netz der Institution eindringen und z.
* Es sollte insbesondere auf den Grundsatz der Funktionstrennung geachtet werden
* B.
* Dieses Thema ist nicht Bestandteil dieses Bausteins, sondern wird im Baustein ORP.1 ''Organisation ''behandelt
* schützenswerte Informationen abgreifen.
* Auch ist es ihnen so möglich, lange unbemerkt im System zu bleiben und dauerhaft auf das Netz zuzugreifen.


== Unzureichende Nutzung von Detektionssystemen ==
; Abgrenzung
Wenn keine Detektionssysteme eingesetzt werden und auch die in IT-Systemen und Anwendungen vorhandenen Funktionen zur Detektion von sicherheitsrelevanten Ereignissen nicht benutzt werden, können Angreifende leichter unbemerkt in das Netz der Institution eindringen.
Außerdem beschreibt der Baustein nicht, wie mit sicherheitsrelevanten Ereignissen umzugehen ist, nachdem sie detektiert worden sind
* Dort könnten sie unbefugt auf sensible Informationen zugreifen.
* Anforderungen dazu werden in den Bausteinen DER.2.1 ''Behandlung von Sicherheitsvorfällen'' und DER.2.2 ''Vorsorge für die IT-Forensik'' aufgeführt
* Besonders kritisch ist es, wenn die Übergänge zwischen Netzgrenzen nur unzureichend überwacht werden.
* Ebenso wird nicht auf das Thema Datenschutz eingegangen, dieses wird im Baustein CON.2 ''Datenschutz'' behandelt


== Unzureichende personelle Ressourcen ==
; Zusätzliche Programme
Ist nicht genügend Personal vorhanden, um Protokolldaten auszuwerten, können sicherheitsrelevante Ereignisse nicht vollständig detektiert werden.
Um sicherheitsrelevante Ereignisse zu erkennen, sind oft zusätzliche Programme erforderlich, z. B. Antivirenprogramme, Firewalls oder Intrusion Detection /Intrusion Prevention Systeme (IDS/IPS)
* So bleiben Angriffe eventuell lange verborgen oder werden erst entdeckt, nachdem z.
* Sicherheitsaspekte dieser Systeme sind ebenfalls nicht Gegenstand des vorliegenden Bausteins
* B.
* Sie werden z. B. in den Bausteinen OPS.1.1.4 ''Schutz vor Schadprogrammen'' bzw.  NET.3.2 ''Firewall'' thematisiert
* schon sehr viele schützenswerte Informationen abgeflossen sind.
* Auch wenn durch zu wenig Personal keine externen Informationsquellen ausgewertet werden, bleiben Sicherheitslücken eventuell zu lange offen.
* Dann können sie ausgenutzt werden, um unerlaubt in die IT-Systeme der Institution einzudringen.


= Anforderungen =
== Gefährdungslage ==
Im Folgenden sind die spezifischen Anforderungen des Bausteins'' ''DER.1 ''Detektion von sicherheitsrelevanten Ereignissen ''aufgeführt.
Da IT-Grundschutz-Bausteine nicht auf individuelle Informationsverbünde eingehen können, werden zur Darstellung der Gefährdungslage typische Szenarien zugrunde gelegt
* Der oder die Informationssicherheitsbeauftragte (ISB) ist dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden.
* Die folgenden spezifischen Bedrohungen und Schwachstellen sind für den Baustein DER.1 ''Detektion von sicherheitsrelevanten Ereignissen'' von besonderer Bedeutung
* Bei strategischen Entscheidungen ist der oder die ISB stets einzubeziehen.


Im IT-Grundschutz-Kompendium sind darüber hinaus weitere Rollen definiert.
; Typische Szenarien
* Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist.
{| class="wikitable big options"
|-
! Gefährdung !! Beschreibung
|-
| [[#Missachtung von gesetzlichen Vorschriften und betrieblichen Mitbestimmungsrechten|Missachtung von gesetzlichen Vorschriften und betrieblichen Mitbestimmungsrechten]] ||
|-
| [[#Unzureichende Qualifikation der Mitarbeitenden|Unzureichende Qualifikation der Mitarbeitenden]] ||
|-
| [[#Fehlerhafte Administration der eingesetzten Detektionssysteme|Fehlerhafte Administration der eingesetzten Detektionssysteme]] ||
|-
| [[#Fehlende Informationen über den zu schützenden Informationsverbund|Fehlende Informationen über den zu schützenden Informationsverbund]] ||
|-
| [[#Unzureichende Nutzung von Detektionssystemen|Unzureichende Nutzung von Detektionssystemen]] ||
|-
| [[#Unzureichende personelle Ressourcen|Unzureichende personelle Ressourcen]] ||
|}
 
=== Missachtung von gesetzlichen Vorschriften und betrieblichen Mitbestimmungsrechten ===
Programme, die sicherheitsrelevante Ereignisse detektieren und Protokolldaten auswerten, sammeln oft viele Informationen über die Netzstruktur und die internen Abläufe einer Institution
* Darin können schützenswerte Informationen wie personenbezogene Daten, vertrauliche Daten oder Arbeitsabläufe von Mitarbeitenden enthalten sein
* Dadurch, dass solche Daten gespeichert werden, können jedoch Persönlichkeitsrechte bzw. Mitbestimmungsrechte verletzt werden
* Auch verstößt die Institution unter bestimmten Voraussetzungen eventuell gegen die jeweiligen Datenschutzgesetze
 
=== Unzureichende Qualifikation der Mitarbeitenden ===
Im täglichen IT-Betrieb einer Institution können viele Störungen und Fehler auftreten, z. B. könnten ankommende Protokolldaten plötzlich stark zunehmen
* Sind die Zuständigen nicht ausreichend sensibilisiert und geschult, kann es passieren, dass sie sicherheitsrelevante Ereignisse nicht als solche identifizieren und so Angriffe unerkannt bleiben
* Und auch wenn die Zuständigen ausreichend für die Belange der Informationssicherheit sensibilisiert und geschult sind, kann trotzdem nicht ausgeschlossen werden, dass sie Sicherheitsvorfälle nicht erkennen
 
; Beispiele
* Eine Person, die seit längerer Zeit nicht im lokalen Netz ihrer Institution angemeldet war, stuft es als normal ein, dass ihr Notebook seit einer Woche während des Internetzugangs deutlich langsamer ist
* Sie bemerkt nicht, dass ein Schadprogramm im Hintergrund aktiv ist
* Sie wurde nicht oder nur unzureichend geschult, bei verdächtigen Auffälligkeiten das Incident Management zu informieren
* Eine Produktionsleitung bemerkt nicht, dass die Daten in den Produktionssystemen und auch die Steuerungsanzeigesysteme heimlich verändert wurden
* Sie schöpft keinen Verdacht, als die SCADA-Steuerung der Produktionsanlage seltsame Werte anzeigt, da dies nur kurzzeitig erfolgte
* Der Vorfall wird nicht gemeldet, da alle Werte wieder den erwarteten Anzeigewerten entsprechen
* Dass eine Schadsoftware die Anzeigewerte manipuliert hat, fällt somit niemandem auf
 
=== Fehlerhafte Administration der eingesetzten Detektionssysteme ===
Fehlerhafte Konfigurationen können dazu führen, dass eingesetzte Detektionssysteme nicht ordnungsgemäß funktionieren
* Ist beispielsweise die Alarmierung falsch eingestellt, können vermehrt Fehlalarme auftreten
* Die Zuständigen können dann eventuell nicht mehr zwischen einem Fehlalarm und einem sicherheitsrelevanten Ereignis unterscheiden
* Auch nehmen sie die Meldungen möglicherweise nicht schnell genug wahr, da zu viele Alarme generiert werden
* Dadurch bleiben möglicherweise Angriffe unerkannt
* Ebenso steigt der Aufwand stark an, um die Menge der Meldungen auszuwerten
 
=== Fehlende Informationen über den zu schützenden Informationsverbund ===
Sind keine oder nur ungenügende Informationen über den zu schützenden Informationsverbund vorhanden, kann es passieren, dass wesentliche Bereiche des Informationsverbunds nicht ausreichend durch Detektionssysteme abgesichert werden
* Dadurch können Angreifende leicht in das Netz der Institution eindringen und z. B. schützenswerte Informationen abgreifen
* Auch ist es ihnen so möglich, lange unbemerkt im System zu bleiben und dauerhaft auf das Netz zuzugreifen
 
=== Unzureichende Nutzung von Detektionssystemen ===
Wenn keine Detektionssysteme eingesetzt werden und auch die in IT-Systemen und Anwendungen vorhandenen Funktionen zur Detektion von sicherheitsrelevanten Ereignissen nicht benutzt werden, können Angreifende leichter unbemerkt in das Netz der Institution eindringen
* Dort könnten sie unbefugt auf sensible Informationen zugreifen
* Besonders kritisch ist es, wenn die Übergänge zwischen Netzgrenzen nur unzureichend überwacht werden
 
=== Unzureichende personelle Ressourcen ===
Ist nicht genügend Personal vorhanden, um Protokolldaten auszuwerten, können sicherheitsrelevante Ereignisse nicht vollständig detektiert werden
* So bleiben Angriffe eventuell lange verborgen oder werden erst entdeckt, nachdem z. B. schon sehr viele schützenswerte Informationen abgeflossen sind
* Auch wenn durch zu wenig Personal keine externen Informationsquellen ausgewertet werden, bleiben Sicherheitslücken eventuell zu lange offen
* Dann können sie ausgenutzt werden, um unerlaubt in die IT-Systeme der Institution einzudringen
 
== Anforderungen ==
Im Folgenden sind die spezifischen Anforderungen des Bausteins'' ''DER.1 ''Detektion von sicherheitsrelevanten Ereignissen ''aufgeführt
* Der oder die Informationssicherheitsbeauftragte (ISB) ist dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden
* Bei strategischen Entscheidungen ist der oder die ISB stets einzubeziehen
 
Im IT-Grundschutz-Kompendium sind darüber hinaus weitere Rollen definiert
* Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist
 
{| class="wikitable options"
|-
! Zuständigkeiten !! Rollen
|-
| Grundsätzlich zuständig || IT-Betrieb
|-
| Weitere Zuständigkeiten || Mitarbeitende, Fachverantwortliche, Benutzende, Vorgesetzte
|}
 
Genau eine Rolle sollte ''Grundsätzlich zuständig ''sein
* Darüber hinaus kann es noch ''Weitere Zuständigkeiten'' geben
* Falls eine dieser weiteren Rollen für die Erfüllung einer Anforderung vorrangig zuständig ist, dann wird diese Rolle hinter der Überschrift der Anforderung in eckigen Klammern aufgeführt
* Die Verwendung des Singulars oder Plurals sagt nichts darüber aus, wie viele Personen diese Rollen ausfüllen sollen


=== Basis ===
Die folgenden Anforderungen MÜSSEN für diesen Baustein vorrangig erfüllt werden


{|
{| class="wikitable big options"
|-
! Anforderung !! Beschreibung !! Zuständig
|-
| [[#DER.1.A1|DER.1.A1]] || Erstellung einer Sicherheitsrichtlinie für die Detektion von sicherheitsrelevanten Ereignissen ||
|-
|-
!| Zuständigkeiten
| [[#DER.1.A2|DER.1.A2]] || Einhaltung rechtlicher Bedingungen bei der Auswertung von Protokollierungsdaten ||
!| Rollen
|-
|-
| | Grundsätzlich zuständig
| [[#DER.1.A3|DER.1.A3]] || Festlegung von Meldewegen für sicherheitsrelevante Ereignisse ||
| | IT-Betrieb
|-
|-
| | Weitere Zuständigkeiten
| [[#DER.1.A4|DER.1.A4]] || Sensibilisierung der Mitarbeitenden || [[Vorgesetzte]], [[Benutzende]], [[Mitarbeitende]]
| | Mitarbeitende, Fachverantwortliche, Benutzende, Vorgesetzte
|-
|-
| [[#DER.1.A5|DER.1.A5]] || Einsatz von mitgelieferten Systemfunktionen zur Detektion  || [[Fachverantwortliche]]
|}
|}


Genau eine Rolle sollte ''Grundsätzlich zuständig ''sein.
==== DER.1.A1 ====
* Darüber hinaus kann es noch ''Weitere Zuständigkeiten'' geben.
; Erstellung einer Sicherheitsrichtlinie für die Detektion von sicherheitsrelevanten Ereignissen
* Falls eine dieser weiteren Rollen für die Erfüllung einer Anforderung vorrangig zuständig ist, dann wird diese Rolle hinter der Überschrift der Anforderung in eckigen Klammern aufgeführt.
Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution MUSS eine spezifische Sicherheitsrichtlinie für die Detektion von sicherheitsrelevanten Ereignissen erstellt werden
* Die Verwendung des Singulars oder Plurals sagt nichts darüber aus, wie viele Personen diese Rollen ausfüllen sollen.
* In der spezifischen Sicherheitsrichtlinie MÜSSEN nachvollziehbar Anforderungen und Vorgaben beschrieben werden, wie die Detektion von sicherheitsrelevanten Ereignissen geplant, aufgebaut und sicher betrieben werden kann
* Die spezifische Sicherheitsrichtlinie MUSS allen im Bereich Detektion zuständigen Mitarbeitenden bekannt und grundlegend für ihre Arbeit sein
* Falls die spezifische Sicherheitsrichtlinie verändert wird oder von den Anforderungen abgewichen wird, dann MUSS dies mit dem oder der verantwortlichen ISB abgestimmt und dokumentiert werden
* Es MUSS regelmäßig überprüft werden, ob die spezifische Sicherheitsrichtlinie noch korrekt umgesetzt ist
* Die Ergebnisse der Überprüfung MÜSSEN sinnvoll dokumentiert werden
 
==== DER.1.A2 ====
; Einhaltung rechtlicher Bedingungen bei der Auswertung von Protokollierungsdaten
Wenn Protokollierungsdaten ausgewertet werden, dann MÜSSEN dabei die Bestimmungen aus den aktuellen Gesetzen zum Bundes- und Landesdatenschutz eingehalten werden
* Wenn Detektionssysteme eingesetzt werden, dann MÜSSEN die Persönlichkeitsrechte bzw
* Mitbestimmungsrechte der Mitarbeitendenvertretungen gewahrt werden
* Ebenso MUSS sichergestellt sein, dass alle weiteren relevanten gesetzlichen Bestimmungen beachtet werden, z. B. das Telemediengesetz (TMG), das Betriebsverfassungsgesetz und das Telekommunikationsgesetz


== Basis-Anforderungen ==
==== DER.1.A3 ====
Die folgenden Anforderungen MÜSSEN für diesen Baustein vorrangig erfüllt werden.
; Festlegung von Meldewegen für sicherheitsrelevante Ereignisse
Für sicherheitsrelevante Ereignisse MÜSSEN geeignete Melde- und Alarmierungswege festgelegt und dokumentiert werden
* Es MUSS bestimmt werden, welche Stellen wann zu informieren sind
* Es MUSS aufgeführt sein, wie die jeweiligen Personen erreicht werden können
* Je nach Dringlichkeit MUSS ein sicherheitsrelevantes Ereignis über verschiedene Kommunikationswege gemeldet werden


=== DER.1.A1 Erstellung einer Sicherheitsrichtlinie für die Detektion von sicherheitsrelevanten Ereignissen (B) ===
Alle Personen, die für die Meldung bzw.&nbspAlarmierung relevant sind, MÜSSEN über ihre Aufgaben informiert sein
Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution MUSS eine spezifische Sicherheitsrichtlinie für die Detektion von sicherheitsrelevanten Ereignissen erstellt werden.
* Alle Schritte des Melde- und Alarmierungsprozesses MÜSSEN ausführlich beschrieben sein
* In der spezifischen Sicherheitsrichtlinie MÜSSEN nachvollziehbar Anforderungen und Vorgaben beschrieben werden, wie die Detektion von sicherheitsrelevanten Ereignissen geplant, aufgebaut und sicher betrieben werden kann.
* Die eingerichteten Melde- und Alarmierungswege SOLLTEN regelmäßig geprüft, erprobt und aktualisiert werden, falls erforderlich
* Die spezifische Sicherheitsrichtlinie MUSS allen im Bereich Detektion zuständigen Mitarbeitenden bekannt und grundlegend für ihre Arbeit sein.
* Falls die spezifische Sicherheitsrichtlinie verändert wird oder von den Anforderungen abgewichen wird, dann MUSS dies mit dem oder der verantwortlichen ISB abgestimmt und dokumentiert werden.
* Es MUSS regelmäßig überprüft werden, ob die spezifische Sicherheitsrichtlinie noch korrekt umgesetzt ist.
* Die Ergebnisse der Überprüfung MÜSSEN sinnvoll dokumentiert werden.


=== DER.1.A2 Einhaltung rechtlicher Bedingungen bei der Auswertung von Protokollierungsdaten (B) ===
==== DER.1.A4 ====
Wenn Protokollierungsdaten ausgewertet werden, dann MÜSSEN dabei die Bestimmungen aus den aktuellen Gesetzen zum Bundes- und Landesdatenschutz eingehalten werden.
; Sensibilisierung der Mitarbeitenden
* Wenn Detektionssysteme eingesetzt werden, dann MÜSSEN die Persönlichkeitsrechte bzw.
Alle Benutzenden MÜSSEN dahingehend sensibilisiert werden, dass sie Ereignismeldungen ihrer Clients nicht einfach ignorieren oder schließen
* Mitbestimmungsrechte der Mitarbeitendenvertretungen gewahrt werden.
* Sie MÜSSEN die Meldungen entsprechend der Alarmierungswege an das verantwortliche Incident Management weitergeben (siehe DER.2.1 ''Behandlung von Sicherheitsvorfällen'')
* Ebenso MUSS sichergestellt sein, dass alle weiteren relevanten gesetzlichen Bestimmungen beachtet werden, z.
* B.
* das Telemediengesetz (TMG), das Betriebsverfassungsgesetz und das Telekommunikationsgesetz.


=== DER.1.A3 Festlegung von Meldewegen für sicherheitsrelevante Ereignisse (B) ===
Alle Mitarbeitenden MÜSSEN einen von ihnen erkannten Sicherheitsvorfall unverzüglich dem Incident Management melden
Für sicherheitsrelevante Ereignisse MÜSSEN geeignete Melde- und Alarmierungswege festgelegt und dokumentiert werden.
* Es MUSS bestimmt werden, welche Stellen wann zu informieren sind.
* Es MUSS aufgeführt sein, wie die jeweiligen Personen erreicht werden können.
* Je nach Dringlichkeit MUSS ein sicherheitsrelevantes Ereignis über verschiedene Kommunikationswege gemeldet werden.


Alle Personen, die für die Meldung bzw.
==== DER.1.A5 ====
* Alarmierung relevant sind, MÜSSEN über ihre Aufgaben informiert sein.
; Einsatz von mitgelieferten Systemfunktionen zur Detektion
* Alle Schritte des Melde- und Alarmierungsprozesses MÜSSEN ausführlich beschrieben sein.
Falls eingesetzte IT-Systeme oder Anwendungen über Funktionen verfügen, mit denen sich sicherheitsrelevante Ereignisse detektieren lassen, dann MÜSSEN diese aktiviert und benutzt werden
* Die eingerichteten Melde- und Alarmierungswege SOLLTEN regelmäßig geprüft, erprobt und aktualisiert werden, falls erforderlich.
* Falls ein sicherheitsrelevanter Vorfall vorliegt, dann MÜSSEN die Meldungen der betroffenen IT-Systeme ausgewertet werden
* Zusätzlich MÜSSEN die protokollierten Ereignisse anderer IT-Systeme überprüft werden
* Auch SOLLTEN die gesammelten Meldungen in verbindlich festgelegten Zeiträumen stichpunktartig kontrolliert werden


=== DER.1.A4 Sensibilisierung der Mitarbeitenden (B) [Vorgesetzte, Benutzende, Mitarbeitende] ===
Es MUSS geprüft werden, ob zusätzliche Schadcodescanner auf zentralen IT-Systemen installiert werden sollen
Alle Benutzenden MÜSSEN dahingehend sensibilisiert werden, dass sie Ereignismeldungen ihrer Clients nicht einfach ignorieren oder schließen.
* Falls zusätzliche Schadcodescanner eingesetzt werden, dann MÜSSEN diese es über einen zentralen Zugriff ermöglichen, ihre Meldungen und Protokolle auszuwerten
* Sie MÜSSEN die Meldungen entsprechend der Alarmierungswege an das verantwortliche Incident Management weitergeben (siehe DER.2.1 ''Behandlung von Sicherheitsvorfällen'').
* Es MUSS sichergestellt sein, dass die Schadcodescanner sicherheitsrelevante Ereignisse automatisch an die Zuständigen melden
* Die Zuständigen MÜSSEN die Meldungen auswerten und untersuchen


Alle Mitarbeitenden MÜSSEN einen von ihnen erkannten Sicherheitsvorfall unverzüglich dem Incident Management melden.
=== Standard ===
Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für diesen Baustein
* Sie SOLLTEN grundsätzlich erfüllt werden
 
{| class="wikitable options big"
|-
! Anforderung !! Beschreibung !! Zuständig
|-
| [[#DER.1.A6|DER.1.A6]] || Kontinuierliche Überwachung und Auswertung von Protokollierungsdaten
|-
| [[#DER.1.A7|DER.1.A7]] || Schulung von Zuständigen  || [[Vorgesetzte]]
|-
| [[#DER.1.A8|DER.1.A8]] || ENTFALLEN ||
|-
| [[#DER.1.A9|DER.1.A9]] || Einsatz zusätzlicher Detektionssysteme || [[Fachverantwortliche]]
|-
| [[#DER.1.A10|DER.1.A10]] || Einsatz von TLS-/SSL-Proxies || [[Fachverantwortliche]]
|-
| [[#DER.1.A11|DER.1.A11]] || Nutzung einer zentralen Protokollierungsinfrastruktur für die Auswertung sicherheitsrelevanter Ereignisse || [[Fachverantwortliche]]
|-
| [[#DER.1.A12|DER.1.A12]] || Auswertung von Informationen aus externen Quellen || [[Fachverantwortliche]]
|-
| [[#DER.1.A13|DER.1.A13]] || Regelmäßige Audits der Detektionssysteme ||
|}


=== DER.1.A5 Einsatz von mitgelieferten Systemfunktionen zur Detektion (B) [Fachverantwortliche] ===
==== DER.1.A6 ====
Falls eingesetzte IT-Systeme oder Anwendungen über Funktionen verfügen, mit denen sich sicherheitsrelevante Ereignisse detektieren lassen, dann MÜSSEN diese aktiviert und benutzt werden.
; Kontinuierliche Überwachung und Auswertung von Protokollierungsdaten
* Falls ein sicherheitsrelevanter Vorfall vorliegt, dann MÜSSEN die Meldungen der betroffenen IT-Systeme ausgewertet werden.
Alle Protokollierungsdaten SOLLTEN möglichst permanent aktiv überwacht und ausgewertet werden
* Zusätzlich MÜSSEN die protokollierten Ereignisse anderer IT-Systeme überprüft werden.
* Es SOLLTEN Mitarbeitende benannt werden, die dafür zuständig sind
* Auch SOLLTEN die gesammelten Meldungen in verbindlich festgelegten Zeiträumen stichpunktartig kontrolliert werden.


Es MUSS geprüft werden, ob zusätzliche Schadcodescanner auf zentralen IT-Systemen installiert werden sollen.
Falls die zuständigen Mitarbeitenden aktiv nach sicherheitsrelevanten Ereignissen suchen müssen, z. B. wenn sie IT-Systeme kontrollieren oder testen, dann SOLLTEN solche Aufgaben in entsprechenden Verfahrensanleitungen dokumentiert sein
* Falls zusätzliche Schadcodescanner eingesetzt werden, dann MÜSSEN diese es über einen zentralen Zugriff ermöglichen, ihre Meldungen und Protokolle auszuwerten.
* Es MUSS sichergestellt sein, dass die Schadcodescanner sicherheitsrelevante Ereignisse automatisch an die Zuständigen melden.
* Die Zuständigen MÜSSEN die Meldungen auswerten und untersuchen.


== Standard-Anforderungen ==
Für die Detektion von sicherheitsrelevanten Ereignissen SOLLTEN genügend personelle Ressourcen bereitgestellt werden
Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für diesen Baustein.
* Sie SOLLTEN grundsätzlich erfüllt werden.


=== DER.1.A6 Kontinuierliche Überwachung und Auswertung von Protokollierungsdaten (S) ===
==== DER.1.A7 ====
Alle Protokollierungsdaten SOLLTEN möglichst permanent aktiv überwacht und ausgewertet werden.
; Schulung von Zuständigen
* Es SOLLTEN Mitarbeitende benannt werden, die dafür zuständig sind.
Alle Zuständigen, die Ereignismeldungen kontrollieren, SOLLTEN weiterführende Schulungen und Qualifikationen erhalten
* Wenn neue IT-Komponenten beschafft werden, SOLLTE ein Budget für Schulungen eingeplant werden
* Bevor die Zuständigen Schulungen für neue IT-Komponenten bekommen, SOLLTE ein Schulungskonzept erstellt werden


Falls die zuständigen Mitarbeitenden aktiv nach sicherheitsrelevanten Ereignissen suchen müssen, z.
==== DER.1.A8 ====
* B.
; Entfallen
* wenn sie IT-Systeme kontrollieren oder testen, dann SOLLTEN solche Aufgaben in entsprechenden Verfahrensanleitungen dokumentiert sein.
Diese Anforderung ist entfallen


Für die Detektion von sicherheitsrelevanten Ereignissen SOLLTEN genügend personelle Ressourcen bereitgestellt werden.
==== DER.1.A9 ====
; Einsatz zusätzlicher Detektionssysteme
Anhand des Netzplans SOLLTE festgelegt werden, welche Netzsegmente durch zusätzliche Detektionssysteme geschützt werden müssen
* Der Informationsverbund SOLLTE um zusätzliche Detektionssysteme und Sensoren ergänzt werden
* Schadcodedetektionssysteme SOLLTEN eingesetzt und zentral verwaltet werden
* Auch die im Netzplan definierten Übergange zwischen internen und externen Netzen SOLLTEN um netzbasierte Intrusion Detection Systeme (NIDS) ergänzt werden


=== DER.1.A7 Schulung von Zuständigen (S) [Vorgesetzte] ===
==== DER.1.A10 ====
Alle Zuständigen, die Ereignismeldungen kontrollieren, SOLLTEN weiterführende Schulungen und Qualifikationen erhalten.
; Einsatz von TLS-/SSL-Proxies
* Wenn neue IT-Komponenten beschafft werden, SOLLTE ein Budget für Schulungen eingeplant werden.
An den Übergängen zu externen Netzen SOLLTEN TLS-/SSL-Proxies eingesetzt werden, welche die verschlüsselte Verbindung unterbrechen und es so ermöglichen, die übertragenen Daten auf Malware zu prüfen
* Bevor die Zuständigen Schulungen für neue IT-Komponenten bekommen, SOLLTE ein Schulungskonzept erstellt werden.
* Alle TLS-/SSL-Proxies SOLLTEN vor unbefugten Zugriffen geschützt werden
* Auf den TLS-/SSL-Proxies SOLLTEN sicherheitsrelevante Ereignisse automatisch detektiert werden
* Es SOLLTE eine organisatorische Regelung erstellt werden, unter welchen datenschutzrechtlichen Voraussetzungen die Logdaten manuell ausgewertet werden dürfen


=== DER.1.A8 ENTFALLEN (S) ===
==== DER.1.A11 ====
Diese Anforderung ist entfallen.
; Nutzung einer zentralen Protokollierungsinfrastruktur für die Auswertung sicherheitsrelevanter Ereignisse
Die auf einer zentralen Protokollinfrastruktur gespeicherten Ereignismeldungen der IT-Systeme und Anwendungen (siehe OPS.1.1.5 ''Protokollierung'') SOLLTEN mithilfe eines Tools abgerufen werden können
* Mit dem auswählten Tool SOLLTEN die Meldungen ausgewertet werden können
* Die gesammelten Ereignismeldungen SOLLTEN regelmäßig auf Auffälligkeiten kontrolliert werden
* Die Signaturen der Detektionssysteme SOLLTEN immer aktuell und auf dem gleichen Stand sein, damit sicherheitsrelevante Ereignisse auch nachträglich erkannt werden können


=== DER.1.A9 Einsatz zusätzlicher Detektionssysteme (S) [Fachverantwortliche] ===
==== DER.1.A12 ====
Anhand des Netzplans SOLLTE festgelegt werden, welche Netzsegmente durch zusätzliche Detektionssysteme geschützt werden müssen.
; Auswertung von Informationen aus externen Quellen
* Der Informationsverbund SOLLTE um zusätzliche Detektionssysteme und Sensoren ergänzt werden.
Um neue Erkenntnisse über sicherheitsrelevante Ereignisse für den eigenen Informationsverbund zu gewinnen, SOLLTEN externe Quellen herangezogen werden
* Schadcodedetektionssysteme SOLLTEN eingesetzt und zentral verwaltet werden.
* Meldungen über unterschiedliche Kanäle SOLLTEN von den Mitarbeitenden auch als relevant erkannt und an die richtige Stelle weitergeleitet werden
* Auch die im Netzplan definierten Übergange zwischen internen und externen Netzen SOLLTEN um netzbasierte Intrusion Detection Systeme (NIDS) ergänzt werden.
* Informationen aus zuverlässigen Quellen SOLLTEN grundsätzlich ausgewertet werden
* Alle gelieferten Informationen SOLLTEN danach bewertet werden, ob sie relevant für den eigenen Informationsverbund sind
* Ist dies der Fall, SOLLTEN die Informationen entsprechend der Sicherheitsvorfallbehandlung eskaliert werden


=== DER.1.A10 Einsatz von TLS-/SSL-Proxies (S) [Fachverantwortliche] ===
==== DER.1.A13 ====
An den Übergängen zu externen Netzen SOLLTEN TLS-/SSL-Proxies eingesetzt werden, welche die verschlüsselte Verbindung unterbrechen und es so ermöglichen, die übertragenen Daten auf Malware zu prüfen.
; Regelmäßige Audits der Detektionssysteme
* Alle TLS-/SSL-Proxies SOLLTEN vor unbefugten Zugriffen geschützt werden.
Die vorhandenen Detektionssysteme und getroffenen Maßnahmen SOLLTEN in regelmäßigen Audits daraufhin überprüft werden, ob sie noch aktuell und wirksam sind
* Auf den TLS-/SSL-Proxies SOLLTEN sicherheitsrelevante Ereignisse automatisch detektiert werden.
* Es SOLLTEN die Messgrößen ausgewertet werden, die beispielsweise anfallen, wenn sicherheitsrelevante Ereignisse aufgenommen, gemeldet und eskaliert werden
* Es SOLLTE eine organisatorische Regelung erstellt werden, unter welchen datenschutzrechtlichen Voraussetzungen die Logdaten manuell ausgewertet werden dürfen.
* Die Ergebnisse der Audits SOLLTEN nachvollziehbar dokumentiert und mit dem Soll-Zustand abgeglichen werden
* Abweichungen SOLLTE nachgegangen werden


=== DER.1.A11 Nutzung einer zentralen Protokollierungsinfrastruktur für die Auswertung sicherheitsrelevanter Ereignisse (S) [Fachverantwortliche] ===
=== Erhöht ===
Die auf einer zentralen Protokollinfrastruktur gespeicherten Ereignismeldungen der IT-Systeme und Anwendungen (siehe OPS.1.1.5 ''Protokollierung'') SOLLTEN mithilfe eines Tools abgerufen werden können.
Im Folgenden sind für diesen Baustein exemplarische Vorschläge für Anforderungen aufgeführt, die über dasjenige Schutzniveau hinausgehen, das dem Stand der Technik entspricht
* Mit dem auswählten Tool SOLLTEN die Meldungen ausgewertet werden können.
* Die Vorschläge SOLLTEN bei erhöhtem Schutzbedarf in Betracht gezogen werden
* Die gesammelten Ereignismeldungen SOLLTEN regelmäßig auf Auffälligkeiten kontrolliert werden.
* Die konkrete Festlegung erfolgt im Rahmen einer individuellen Risikoanalyse
* Die Signaturen der Detektionssysteme SOLLTEN immer aktuell und auf dem gleichen Stand sein, damit sicherheitsrelevante Ereignisse auch nachträglich erkannt werden können.


=== DER.1.A12 Auswertung von Informationen aus externen Quellen (S) [Fachverantwortliche] ===
{| class="wikitable options big"
Um neue Erkenntnisse über sicherheitsrelevante Ereignisse für den eigenen Informationsverbund zu gewinnen, SOLLTEN externe Quellen herangezogen werden.
|-
* Meldungen über unterschiedliche Kanäle SOLLTEN von den Mitarbeitenden auch als relevant erkannt und an die richtige Stelle weitergeleitet werden.
! Anforderung !! Beschreibung !! Zuständig
* Informationen aus zuverlässigen Quellen SOLLTEN grundsätzlich ausgewertet werden.
|-
* Alle gelieferten Informationen SOLLTEN danach bewertet werden, ob sie relevant für den eigenen Informationsverbund sind.
| [[#DER.1.A14|DER.1.A14]] || Auswertung der Protokollierungsdaten durch spezialisiertes Personal ||
* Ist dies der Fall, SOLLTEN die Informationen entsprechend der Sicherheitsvorfallbehandlung eskaliert werden.
|-
| [[#DER.1.A15|DER.1.A15]] || Zentrale Detektion und Echtzeitüberprüfung von Ereignismeldungen ||
|-
| [[#DER.1.A16|DER.1.A16]] || Einsatz von Detektionssystemen nach Schutzbedarfsanforderungen ||
|-
| [[#DER.1.A17|DER.1.A17]] || Automatische Reaktion auf sicherheitsrelevante Ereignisse ||
|-
| [[#DER.1.A18|DER.1.A18]] || Durchführung regelmäßiger Integritätskontrollen ||
|}


=== DER.1.A13 Regelmäßige Audits der Detektionssysteme (S) ===
==== DER.1.A14 ====
Die vorhandenen Detektionssysteme und getroffenen Maßnahmen SOLLTEN in regelmäßigen Audits daraufhin überprüft werden, ob sie noch aktuell und wirksam sind.
; Auswertung der Protokollierungsdaten durch spezialisiertes Personal
* Es SOLLTEN die Messgrößen ausgewertet werden, die beispielsweise anfallen, wenn sicherheitsrelevante Ereignisse aufgenommen, gemeldet und eskaliert werden.
Es SOLLTEN Mitarbeitende speziell damit beauftragt werden, alle Protokollierungsdaten zu überwachen
* Die Ergebnisse der Audits SOLLTEN nachvollziehbar dokumentiert und mit dem Soll-Zustand abgeglichen werden.
* Die Überwachung der Protokollierungsdaten SOLLTE die überwiegende Aufgabe der beauftragten Mitarbeitenden sein
* Abweichungen SOLLTE nachgegangen werden.
* Die beauftragten Mitarbeitenden SOLLTEN spezialisierte weiterführende Schulungen und Qualifikationen erhalten
* Ein Personenkreis SOLLTE benannt werden, der ausschließlich für das Thema Auswertung von Protokollierungsdaten verantwortlich ist


== Anforderungen bei erhöhtem Schutzbedarf ==
==== DER.1.A15  ====
Im Folgenden sind für diesen Baustein exemplarische Vorschläge für Anforderungen aufgeführt, die über dasjenige Schutzniveau hinausgehen, das dem Stand der Technik entspricht.
; Zentrale Detektion und Echtzeitüberprüfung von Ereignismeldungen
* Die Vorschläge SOLLTEN bei erhöhtem Schutzbedarf in Betracht gezogen werden.
Zentrale Komponenten SOLLTEN eingesetzt werden, um sicherheitsrelevante Ereignisse zu erkennen und auszuwerten
* Die konkrete Festlegung erfolgt im Rahmen einer individuellen Risikoanalyse.
* Zentrale, automatisierte Analysen mit Softwaremitteln SOLLTEN eingesetzt werden
* Mit diesen zentralen, automatisierten Analysen mit Softwaremitteln SOLLTEN alle in der Systemumgebung anfallenden Ereignisse aufgezeichnet und in Bezug zueinander gesetzt werden
* Die sicherheitsrelevanten Vorgänge SOLLTEN sichtbar gemacht werden
* Alle eingelieferten Daten SOLLTEN lückenlos in der Protokollverwaltung einsehbar und auswertbar sein
* Die Daten SOLLTEN möglichst permanent ausgewertet werden
* Werden definierte Schwellwerte überschritten, SOLLTE automatisch alarmiert werden
* Das Personal SOLLTE sicherstellen, dass bei einem Alarm unverzüglich eine qualifizierte und dem Bedarf entsprechende Reaktion eingeleitet wird
* In diesem Zusammenhang SOLLTEN auch die betroffenen Mitarbeitenden sofort informiert werden


=== DER.1.A14 Auswertung der Protokollierungsdaten durch spezialisiertes Personal (H) ===
Die Systemverantwortlichen SOLLTEN regelmäßig die Analyseparameter auditieren und anpassen, falls dies erforderlich ist
Es SOLLTEN Mitarbeitende speziell damit beauftragt werden, alle Protokollierungsdaten zu überwachen.
* Zusätzlich SOLLTEN bereits überprüfte Daten regelmäßig hinsichtlich sicherheitsrelevanter Ereignisse automatisch untersucht werden
* Die Überwachung der Protokollierungsdaten SOLLTE die überwiegende Aufgabe der beauftragten Mitarbeitenden sein.
* Die beauftragten Mitarbeitenden SOLLTEN spezialisierte weiterführende Schulungen und Qualifikationen erhalten.
* Ein Personenkreis SOLLTE benannt werden, der ausschließlich für das Thema Auswertung von Protokollierungsdaten verantwortlich ist.


=== DER.1.A15 Zentrale Detektion und Echtzeitüberprüfung von Ereignismeldungen (H) ===
==== DER.1.A16 ====
Zentrale Komponenten SOLLTEN eingesetzt werden, um sicherheitsrelevante Ereignisse zu erkennen und auszuwerten.
; Einsatz von Detektionssystemen nach Schutzbedarfsanforderungen
* Zentrale, automatisierte Analysen mit Softwaremitteln SOLLTEN eingesetzt werden.
Anwendungen mit erhöhtem Schutzbedarf SOLLTEN durch zusätzliche Detektionsmaßnahmen geschützt werden
* Mit diesen zentralen, automatisierten Analysen mit Softwaremitteln SOLLTEN alle in der Systemumgebung anfallenden Ereignisse aufgezeichnet und in Bezug zueinander gesetzt werden.
* Dafür SOLLTEN z. B. solche Detektionssysteme eingesetzt werden, mit denen sich der erhöhte Schutzbedarf technisch auch sicherstellen lässt
* Die sicherheitsrelevanten Vorgänge SOLLTEN sichtbar gemacht werden.
* Alle eingelieferten Daten SOLLTEN lückenlos in der Protokollverwaltung einsehbar und auswertbar sein.
* Die Daten SOLLTEN möglichst permanent ausgewertet werden.
* Werden definierte Schwellwerte überschritten, SOLLTE automatisch alarmiert werden.
* Das Personal SOLLTE sicherstellen, dass bei einem Alarm unverzüglich eine qualifizierte und dem Bedarf entsprechende Reaktion eingeleitet wird.
* In diesem Zusammenhang SOLLTEN auch die betroffenen Mitarbeitenden sofort informiert werden.


Die Systemverantwortlichen SOLLTEN regelmäßig die Analyseparameter auditieren und anpassen, falls dies erforderlich ist.
==== DER.1.A17 ====
* Zusätzlich SOLLTEN bereits überprüfte Daten regelmäßig hinsichtlich sicherheitsrelevanter Ereignisse automatisch untersucht werden.
; Automatische Reaktion auf sicherheitsrelevante Ereignisse
Bei einem sicherheitsrelevanten Ereignis SOLLTEN die eingesetzten Detektionssysteme das Ereignis automatisch melden und mit geeigneten Schutzmaßnahmen reagieren
* Hierbei SOLLTEN Verfahren eingesetzt werden, die automatisch mögliche Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen erkennen
* Es SOLLTE möglich sein, automatisch in den Datenstrom einzugreifen, um einen möglichen Sicherheitsvorfall zu unterbinden


=== DER.1.A16 Einsatz von Detektionssystemen nach Schutzbedarfsanforderungen (H) ===
==== DER.1.A18 ====
Anwendungen mit erhöhtem Schutzbedarf SOLLTEN durch zusätzliche Detektionsmaßnahmen geschützt werden.
; Durchführung regelmäßiger Integritätskontrollen
* Dafür SOLLTEN z.
Alle Detektionssysteme SOLLTEN regelmäßig daraufhin überprüft werden, ob sie noch integer sind
* B.
* Auch SOLLTEN die Berechtigungen der Benutzenden kontrolliert werden
* solche Detektionssysteme eingesetzt werden, mit denen sich der erhöhte Schutzbedarf technisch auch sicherstellen lässt.
* Zusätzlich SOLLTEN die Sensoren eine Integritätskontrolle von Dateien durchführen
* Bei sich ändernden Werten SOLLTE eine automatische Alarmierung ausgelöst werden


=== DER.1.A17 Automatische Reaktion auf sicherheitsrelevante Ereignisse (H) ===
<noinclude>
Bei einem sicherheitsrelevanten Ereignis SOLLTEN die eingesetzten Detektionssysteme das Ereignis automatisch melden und mit geeigneten Schutzmaßnahmen reagieren.
* Hierbei SOLLTEN Verfahren eingesetzt werden, die automatisch mögliche Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen erkennen.
* Es SOLLTE möglich sein, automatisch in den Datenstrom einzugreifen, um einen möglichen Sicherheitsvorfall zu unterbinden.


=== DER.1.A18 Durchführung regelmäßiger Integritätskontrollen (H) ===
== Anhang ==
Alle Detektionssysteme SOLLTEN regelmäßig daraufhin überprüft werden, ob sie noch integer sind.
=== Siehe auch ===
* Auch SOLLTEN die Berechtigungen der Benutzenden kontrolliert werden.
{{Special:PrefixIndex/.DER}}
* Zusätzlich SOLLTEN die Sensoren eine Integritätskontrolle von Dateien durchführen.
* Bei sich ändernden Werten SOLLTE eine automatische Alarmierung ausgelöst werden.


= Weiterführende Informationen =
==== Links ====
== Wissenswertes ==
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelt in seinem Mindeststandard „Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen“ die Protokollierung und Detektion von sicherheitsrelevanten Ereignissen (SRE).
* Die Mindeststandards sind von den in § 8 Abs. 1 Satz 1 BSIG genannten Stellen der Bundesverwaltung umzusetzen.


Das BSI hat das weiterführende Dokument „BSI-Leitfaden zur Einführung von Intrusion-Detection-Systemen, Version 1.0“ zum Themenfeld Intrusion Detection veröffentlicht.
===== Weblinks =====
# Leitfaden zur Einführung von Intrusion-Detection-Systemen
# Das Information Security Forum (ISF) macht in seinem Standard „The Standard of Good Practice for Information Security“ im Kapitel TS1.5 Intrusion Detection Vorgaben für den Einsatz von Intrusion Detection Systemen


Das Information Security Forum (ISF) macht in seinem Standard „The Standard of Good Practice for Information Security“ im Kapitel TS1.5 Intrusion Detection Vorgaben für den Einsatz von Intrusion Detection Systemen.
=== Weiterführende Informationen ===
; Mindeststandards
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelt in seinem Mindeststandard „Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen“ die Protokollierung und Detektion von sicherheitsrelevanten Ereignissen (SRE)
* Die Mindeststandards sind von den in § 8 Abs. 1 Satz 1 BSIG genannten Stellen der Bundesverwaltung umzusetzen


[[Kategorie:DER]]
[[Kategorie:DER]]
</noinclude>

Aktuelle Version vom 7. Oktober 2024, 15:38 Uhr

DER.1 - Detektion von sicherheitsrelevanten Ereignissen

Beschreibung

Einleitung

IT-Systeme schützen

Sicherheitsrelevante Ereignisse

  • rechtzeitig erkennen
  • zeitnah behandeln

Maßnahmen

Im Vorfeld

  • planen
  • implementieren
  • regelmäßig üben

Geeignete Maßnahmen

  • organisatorisch
  • personell
  • technisch

Organisatorisch

Personelle und technische Maßnahmen

Reaktionszeiten

Vorgegebene und erprobte Verfahren verkürzt die Reaktionszeiten erheblich

  • Prozesse optimieren!

Sicherheitsrelevante Ereignisse

Als sicherheitsrelevantes Ereignis wird ein Ereignis bezeichnet, das sich auf die Informationssicherheit auswirkt und die Vertraulichkeit, Integrität oder Verfügbarkeit beeinträchtigen kann

  • Typische Folgen solcher Ereignisse sind ausgespähte, manipulierte oder zerstörte Informationen
Vielfältige Ursachen
  • Malware
  • Veraltete IT-Systeminfrastrukturen
  • Innentäter
  • Zero-Day-Exploits
  • Advanced Persistent Threats (APTs)
    • Dabei handelt es sich um zielgerichtete Cyber-Angriffe auf ausgewählte Institutionen und Einrichtungen, bei denen sich Angreifende dauerhaften Zugriff zu einem Netz verschaffen und diesen Zugriff in der Folge auf weitere IT-Systeme ausweiten
    • Die Angriffe zeichnen sich durch einen sehr hohen Ressourceneinsatz und erhebliche technische Fähigkeiten auf Seiten der Angreifenden aus und sind oft schwer zu detektieren

Zielsetzung

Ziel dieses Bausteins

Sicherheitsrelevante Ereignisse möglichst vollständig und zeitnah detektieren

Systematischen Weg, um Informationen zu

  • sammeln
  • korrelieren
  • auswerten

Die gewonnenen Erkenntnisse sollen die Fähigkeit von Institutionen verbessern, sicherheitsrelevante Ereignisse zu erkennen und angemessen darauf zu reagieren

Abgrenzung und Modellierung

Anwendung

DER.1 ist auf jeden Informationsverbund einmal anzuwenden

Grundsätzliche Anforderungen

DER.1 enthält grundsätzliche Anforderungen

  • Sicherheitsrelevante Ereignisse detektieren
  • zu beachten und zu erfüllen
Voraussetzung

Umfassende Protokollierung

Vorfeld

Im Vorfeld der Detektion von sicherheitsrelevanten Ereignissen ist es wichtig, dass Zuständigkeiten und Kompetenzen klar definiert und zugewiesen werden

  • Es sollte insbesondere auf den Grundsatz der Funktionstrennung geachtet werden
  • Dieses Thema ist nicht Bestandteil dieses Bausteins, sondern wird im Baustein ORP.1 Organisation behandelt
Abgrenzung

Außerdem beschreibt der Baustein nicht, wie mit sicherheitsrelevanten Ereignissen umzugehen ist, nachdem sie detektiert worden sind

  • Anforderungen dazu werden in den Bausteinen DER.2.1 Behandlung von Sicherheitsvorfällen und DER.2.2 Vorsorge für die IT-Forensik aufgeführt
  • Ebenso wird nicht auf das Thema Datenschutz eingegangen, dieses wird im Baustein CON.2 Datenschutz behandelt
Zusätzliche Programme

Um sicherheitsrelevante Ereignisse zu erkennen, sind oft zusätzliche Programme erforderlich, z. B. Antivirenprogramme, Firewalls oder Intrusion Detection /Intrusion Prevention Systeme (IDS/IPS)

  • Sicherheitsaspekte dieser Systeme sind ebenfalls nicht Gegenstand des vorliegenden Bausteins
  • Sie werden z. B. in den Bausteinen OPS.1.1.4 Schutz vor Schadprogrammen bzw.  NET.3.2 Firewall thematisiert

Gefährdungslage

Da IT-Grundschutz-Bausteine nicht auf individuelle Informationsverbünde eingehen können, werden zur Darstellung der Gefährdungslage typische Szenarien zugrunde gelegt

  • Die folgenden spezifischen Bedrohungen und Schwachstellen sind für den Baustein DER.1 Detektion von sicherheitsrelevanten Ereignissen von besonderer Bedeutung
Typische Szenarien
Gefährdung Beschreibung
Missachtung von gesetzlichen Vorschriften und betrieblichen Mitbestimmungsrechten
Unzureichende Qualifikation der Mitarbeitenden
Fehlerhafte Administration der eingesetzten Detektionssysteme
Fehlende Informationen über den zu schützenden Informationsverbund
Unzureichende Nutzung von Detektionssystemen
Unzureichende personelle Ressourcen

Missachtung von gesetzlichen Vorschriften und betrieblichen Mitbestimmungsrechten

Programme, die sicherheitsrelevante Ereignisse detektieren und Protokolldaten auswerten, sammeln oft viele Informationen über die Netzstruktur und die internen Abläufe einer Institution

  • Darin können schützenswerte Informationen wie personenbezogene Daten, vertrauliche Daten oder Arbeitsabläufe von Mitarbeitenden enthalten sein
  • Dadurch, dass solche Daten gespeichert werden, können jedoch Persönlichkeitsrechte bzw. Mitbestimmungsrechte verletzt werden
  • Auch verstößt die Institution unter bestimmten Voraussetzungen eventuell gegen die jeweiligen Datenschutzgesetze

Unzureichende Qualifikation der Mitarbeitenden

Im täglichen IT-Betrieb einer Institution können viele Störungen und Fehler auftreten, z. B. könnten ankommende Protokolldaten plötzlich stark zunehmen

  • Sind die Zuständigen nicht ausreichend sensibilisiert und geschult, kann es passieren, dass sie sicherheitsrelevante Ereignisse nicht als solche identifizieren und so Angriffe unerkannt bleiben
  • Und auch wenn die Zuständigen ausreichend für die Belange der Informationssicherheit sensibilisiert und geschult sind, kann trotzdem nicht ausgeschlossen werden, dass sie Sicherheitsvorfälle nicht erkennen
Beispiele
  • Eine Person, die seit längerer Zeit nicht im lokalen Netz ihrer Institution angemeldet war, stuft es als normal ein, dass ihr Notebook seit einer Woche während des Internetzugangs deutlich langsamer ist
  • Sie bemerkt nicht, dass ein Schadprogramm im Hintergrund aktiv ist
  • Sie wurde nicht oder nur unzureichend geschult, bei verdächtigen Auffälligkeiten das Incident Management zu informieren
  • Eine Produktionsleitung bemerkt nicht, dass die Daten in den Produktionssystemen und auch die Steuerungsanzeigesysteme heimlich verändert wurden
  • Sie schöpft keinen Verdacht, als die SCADA-Steuerung der Produktionsanlage seltsame Werte anzeigt, da dies nur kurzzeitig erfolgte
  • Der Vorfall wird nicht gemeldet, da alle Werte wieder den erwarteten Anzeigewerten entsprechen
  • Dass eine Schadsoftware die Anzeigewerte manipuliert hat, fällt somit niemandem auf

Fehlerhafte Administration der eingesetzten Detektionssysteme

Fehlerhafte Konfigurationen können dazu führen, dass eingesetzte Detektionssysteme nicht ordnungsgemäß funktionieren

  • Ist beispielsweise die Alarmierung falsch eingestellt, können vermehrt Fehlalarme auftreten
  • Die Zuständigen können dann eventuell nicht mehr zwischen einem Fehlalarm und einem sicherheitsrelevanten Ereignis unterscheiden
  • Auch nehmen sie die Meldungen möglicherweise nicht schnell genug wahr, da zu viele Alarme generiert werden
  • Dadurch bleiben möglicherweise Angriffe unerkannt
  • Ebenso steigt der Aufwand stark an, um die Menge der Meldungen auszuwerten

Fehlende Informationen über den zu schützenden Informationsverbund

Sind keine oder nur ungenügende Informationen über den zu schützenden Informationsverbund vorhanden, kann es passieren, dass wesentliche Bereiche des Informationsverbunds nicht ausreichend durch Detektionssysteme abgesichert werden

  • Dadurch können Angreifende leicht in das Netz der Institution eindringen und z. B. schützenswerte Informationen abgreifen
  • Auch ist es ihnen so möglich, lange unbemerkt im System zu bleiben und dauerhaft auf das Netz zuzugreifen

Unzureichende Nutzung von Detektionssystemen

Wenn keine Detektionssysteme eingesetzt werden und auch die in IT-Systemen und Anwendungen vorhandenen Funktionen zur Detektion von sicherheitsrelevanten Ereignissen nicht benutzt werden, können Angreifende leichter unbemerkt in das Netz der Institution eindringen

  • Dort könnten sie unbefugt auf sensible Informationen zugreifen
  • Besonders kritisch ist es, wenn die Übergänge zwischen Netzgrenzen nur unzureichend überwacht werden

Unzureichende personelle Ressourcen

Ist nicht genügend Personal vorhanden, um Protokolldaten auszuwerten, können sicherheitsrelevante Ereignisse nicht vollständig detektiert werden

  • So bleiben Angriffe eventuell lange verborgen oder werden erst entdeckt, nachdem z. B. schon sehr viele schützenswerte Informationen abgeflossen sind
  • Auch wenn durch zu wenig Personal keine externen Informationsquellen ausgewertet werden, bleiben Sicherheitslücken eventuell zu lange offen
  • Dann können sie ausgenutzt werden, um unerlaubt in die IT-Systeme der Institution einzudringen

Anforderungen

Im Folgenden sind die spezifischen Anforderungen des Bausteins DER.1 Detektion von sicherheitsrelevanten Ereignissen aufgeführt

  • Der oder die Informationssicherheitsbeauftragte (ISB) ist dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden
  • Bei strategischen Entscheidungen ist der oder die ISB stets einzubeziehen

Im IT-Grundschutz-Kompendium sind darüber hinaus weitere Rollen definiert

  • Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist
Zuständigkeiten Rollen
Grundsätzlich zuständig IT-Betrieb
Weitere Zuständigkeiten Mitarbeitende, Fachverantwortliche, Benutzende, Vorgesetzte

Genau eine Rolle sollte Grundsätzlich zuständig sein

  • Darüber hinaus kann es noch Weitere Zuständigkeiten geben
  • Falls eine dieser weiteren Rollen für die Erfüllung einer Anforderung vorrangig zuständig ist, dann wird diese Rolle hinter der Überschrift der Anforderung in eckigen Klammern aufgeführt
  • Die Verwendung des Singulars oder Plurals sagt nichts darüber aus, wie viele Personen diese Rollen ausfüllen sollen

Basis

Die folgenden Anforderungen MÜSSEN für diesen Baustein vorrangig erfüllt werden

Anforderung Beschreibung Zuständig
DER.1.A1 Erstellung einer Sicherheitsrichtlinie für die Detektion von sicherheitsrelevanten Ereignissen
DER.1.A2 Einhaltung rechtlicher Bedingungen bei der Auswertung von Protokollierungsdaten
DER.1.A3 Festlegung von Meldewegen für sicherheitsrelevante Ereignisse
DER.1.A4 Sensibilisierung der Mitarbeitenden Vorgesetzte, Benutzende, Mitarbeitende
DER.1.A5 Einsatz von mitgelieferten Systemfunktionen zur Detektion Fachverantwortliche

DER.1.A1

Erstellung einer Sicherheitsrichtlinie für die Detektion von sicherheitsrelevanten Ereignissen

Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution MUSS eine spezifische Sicherheitsrichtlinie für die Detektion von sicherheitsrelevanten Ereignissen erstellt werden

  • In der spezifischen Sicherheitsrichtlinie MÜSSEN nachvollziehbar Anforderungen und Vorgaben beschrieben werden, wie die Detektion von sicherheitsrelevanten Ereignissen geplant, aufgebaut und sicher betrieben werden kann
  • Die spezifische Sicherheitsrichtlinie MUSS allen im Bereich Detektion zuständigen Mitarbeitenden bekannt und grundlegend für ihre Arbeit sein
  • Falls die spezifische Sicherheitsrichtlinie verändert wird oder von den Anforderungen abgewichen wird, dann MUSS dies mit dem oder der verantwortlichen ISB abgestimmt und dokumentiert werden
  • Es MUSS regelmäßig überprüft werden, ob die spezifische Sicherheitsrichtlinie noch korrekt umgesetzt ist
  • Die Ergebnisse der Überprüfung MÜSSEN sinnvoll dokumentiert werden

DER.1.A2

Einhaltung rechtlicher Bedingungen bei der Auswertung von Protokollierungsdaten

Wenn Protokollierungsdaten ausgewertet werden, dann MÜSSEN dabei die Bestimmungen aus den aktuellen Gesetzen zum Bundes- und Landesdatenschutz eingehalten werden

  • Wenn Detektionssysteme eingesetzt werden, dann MÜSSEN die Persönlichkeitsrechte bzw
  • Mitbestimmungsrechte der Mitarbeitendenvertretungen gewahrt werden
  • Ebenso MUSS sichergestellt sein, dass alle weiteren relevanten gesetzlichen Bestimmungen beachtet werden, z. B. das Telemediengesetz (TMG), das Betriebsverfassungsgesetz und das Telekommunikationsgesetz

DER.1.A3

Festlegung von Meldewegen für sicherheitsrelevante Ereignisse

Für sicherheitsrelevante Ereignisse MÜSSEN geeignete Melde- und Alarmierungswege festgelegt und dokumentiert werden

  • Es MUSS bestimmt werden, welche Stellen wann zu informieren sind
  • Es MUSS aufgeführt sein, wie die jeweiligen Personen erreicht werden können
  • Je nach Dringlichkeit MUSS ein sicherheitsrelevantes Ereignis über verschiedene Kommunikationswege gemeldet werden

Alle Personen, die für die Meldung bzw.&nbspAlarmierung relevant sind, MÜSSEN über ihre Aufgaben informiert sein

  • Alle Schritte des Melde- und Alarmierungsprozesses MÜSSEN ausführlich beschrieben sein
  • Die eingerichteten Melde- und Alarmierungswege SOLLTEN regelmäßig geprüft, erprobt und aktualisiert werden, falls erforderlich

DER.1.A4

Sensibilisierung der Mitarbeitenden

Alle Benutzenden MÜSSEN dahingehend sensibilisiert werden, dass sie Ereignismeldungen ihrer Clients nicht einfach ignorieren oder schließen

  • Sie MÜSSEN die Meldungen entsprechend der Alarmierungswege an das verantwortliche Incident Management weitergeben (siehe DER.2.1 Behandlung von Sicherheitsvorfällen)

Alle Mitarbeitenden MÜSSEN einen von ihnen erkannten Sicherheitsvorfall unverzüglich dem Incident Management melden

DER.1.A5

Einsatz von mitgelieferten Systemfunktionen zur Detektion

Falls eingesetzte IT-Systeme oder Anwendungen über Funktionen verfügen, mit denen sich sicherheitsrelevante Ereignisse detektieren lassen, dann MÜSSEN diese aktiviert und benutzt werden

  • Falls ein sicherheitsrelevanter Vorfall vorliegt, dann MÜSSEN die Meldungen der betroffenen IT-Systeme ausgewertet werden
  • Zusätzlich MÜSSEN die protokollierten Ereignisse anderer IT-Systeme überprüft werden
  • Auch SOLLTEN die gesammelten Meldungen in verbindlich festgelegten Zeiträumen stichpunktartig kontrolliert werden

Es MUSS geprüft werden, ob zusätzliche Schadcodescanner auf zentralen IT-Systemen installiert werden sollen

  • Falls zusätzliche Schadcodescanner eingesetzt werden, dann MÜSSEN diese es über einen zentralen Zugriff ermöglichen, ihre Meldungen und Protokolle auszuwerten
  • Es MUSS sichergestellt sein, dass die Schadcodescanner sicherheitsrelevante Ereignisse automatisch an die Zuständigen melden
  • Die Zuständigen MÜSSEN die Meldungen auswerten und untersuchen

Standard

Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für diesen Baustein

  • Sie SOLLTEN grundsätzlich erfüllt werden
Anforderung Beschreibung Zuständig
DER.1.A6 Kontinuierliche Überwachung und Auswertung von Protokollierungsdaten
DER.1.A7 Schulung von Zuständigen Vorgesetzte
DER.1.A8 ENTFALLEN
DER.1.A9 Einsatz zusätzlicher Detektionssysteme Fachverantwortliche
DER.1.A10 Einsatz von TLS-/SSL-Proxies Fachverantwortliche
DER.1.A11 Nutzung einer zentralen Protokollierungsinfrastruktur für die Auswertung sicherheitsrelevanter Ereignisse Fachverantwortliche
DER.1.A12 Auswertung von Informationen aus externen Quellen Fachverantwortliche
DER.1.A13 Regelmäßige Audits der Detektionssysteme

DER.1.A6

Kontinuierliche Überwachung und Auswertung von Protokollierungsdaten

Alle Protokollierungsdaten SOLLTEN möglichst permanent aktiv überwacht und ausgewertet werden

  • Es SOLLTEN Mitarbeitende benannt werden, die dafür zuständig sind

Falls die zuständigen Mitarbeitenden aktiv nach sicherheitsrelevanten Ereignissen suchen müssen, z. B. wenn sie IT-Systeme kontrollieren oder testen, dann SOLLTEN solche Aufgaben in entsprechenden Verfahrensanleitungen dokumentiert sein

Für die Detektion von sicherheitsrelevanten Ereignissen SOLLTEN genügend personelle Ressourcen bereitgestellt werden

DER.1.A7

Schulung von Zuständigen

Alle Zuständigen, die Ereignismeldungen kontrollieren, SOLLTEN weiterführende Schulungen und Qualifikationen erhalten

  • Wenn neue IT-Komponenten beschafft werden, SOLLTE ein Budget für Schulungen eingeplant werden
  • Bevor die Zuständigen Schulungen für neue IT-Komponenten bekommen, SOLLTE ein Schulungskonzept erstellt werden

DER.1.A8

Entfallen

Diese Anforderung ist entfallen

DER.1.A9

Einsatz zusätzlicher Detektionssysteme

Anhand des Netzplans SOLLTE festgelegt werden, welche Netzsegmente durch zusätzliche Detektionssysteme geschützt werden müssen

  • Der Informationsverbund SOLLTE um zusätzliche Detektionssysteme und Sensoren ergänzt werden
  • Schadcodedetektionssysteme SOLLTEN eingesetzt und zentral verwaltet werden
  • Auch die im Netzplan definierten Übergange zwischen internen und externen Netzen SOLLTEN um netzbasierte Intrusion Detection Systeme (NIDS) ergänzt werden

DER.1.A10

Einsatz von TLS-/SSL-Proxies

An den Übergängen zu externen Netzen SOLLTEN TLS-/SSL-Proxies eingesetzt werden, welche die verschlüsselte Verbindung unterbrechen und es so ermöglichen, die übertragenen Daten auf Malware zu prüfen

  • Alle TLS-/SSL-Proxies SOLLTEN vor unbefugten Zugriffen geschützt werden
  • Auf den TLS-/SSL-Proxies SOLLTEN sicherheitsrelevante Ereignisse automatisch detektiert werden
  • Es SOLLTE eine organisatorische Regelung erstellt werden, unter welchen datenschutzrechtlichen Voraussetzungen die Logdaten manuell ausgewertet werden dürfen

DER.1.A11

Nutzung einer zentralen Protokollierungsinfrastruktur für die Auswertung sicherheitsrelevanter Ereignisse

Die auf einer zentralen Protokollinfrastruktur gespeicherten Ereignismeldungen der IT-Systeme und Anwendungen (siehe OPS.1.1.5 Protokollierung) SOLLTEN mithilfe eines Tools abgerufen werden können

  • Mit dem auswählten Tool SOLLTEN die Meldungen ausgewertet werden können
  • Die gesammelten Ereignismeldungen SOLLTEN regelmäßig auf Auffälligkeiten kontrolliert werden
  • Die Signaturen der Detektionssysteme SOLLTEN immer aktuell und auf dem gleichen Stand sein, damit sicherheitsrelevante Ereignisse auch nachträglich erkannt werden können

DER.1.A12

Auswertung von Informationen aus externen Quellen

Um neue Erkenntnisse über sicherheitsrelevante Ereignisse für den eigenen Informationsverbund zu gewinnen, SOLLTEN externe Quellen herangezogen werden

  • Meldungen über unterschiedliche Kanäle SOLLTEN von den Mitarbeitenden auch als relevant erkannt und an die richtige Stelle weitergeleitet werden
  • Informationen aus zuverlässigen Quellen SOLLTEN grundsätzlich ausgewertet werden
  • Alle gelieferten Informationen SOLLTEN danach bewertet werden, ob sie relevant für den eigenen Informationsverbund sind
  • Ist dies der Fall, SOLLTEN die Informationen entsprechend der Sicherheitsvorfallbehandlung eskaliert werden

DER.1.A13

Regelmäßige Audits der Detektionssysteme

Die vorhandenen Detektionssysteme und getroffenen Maßnahmen SOLLTEN in regelmäßigen Audits daraufhin überprüft werden, ob sie noch aktuell und wirksam sind

  • Es SOLLTEN die Messgrößen ausgewertet werden, die beispielsweise anfallen, wenn sicherheitsrelevante Ereignisse aufgenommen, gemeldet und eskaliert werden
  • Die Ergebnisse der Audits SOLLTEN nachvollziehbar dokumentiert und mit dem Soll-Zustand abgeglichen werden
  • Abweichungen SOLLTE nachgegangen werden

Erhöht

Im Folgenden sind für diesen Baustein exemplarische Vorschläge für Anforderungen aufgeführt, die über dasjenige Schutzniveau hinausgehen, das dem Stand der Technik entspricht

  • Die Vorschläge SOLLTEN bei erhöhtem Schutzbedarf in Betracht gezogen werden
  • Die konkrete Festlegung erfolgt im Rahmen einer individuellen Risikoanalyse
Anforderung Beschreibung Zuständig
DER.1.A14 Auswertung der Protokollierungsdaten durch spezialisiertes Personal
DER.1.A15 Zentrale Detektion und Echtzeitüberprüfung von Ereignismeldungen
DER.1.A16 Einsatz von Detektionssystemen nach Schutzbedarfsanforderungen
DER.1.A17 Automatische Reaktion auf sicherheitsrelevante Ereignisse
DER.1.A18 Durchführung regelmäßiger Integritätskontrollen

DER.1.A14

Auswertung der Protokollierungsdaten durch spezialisiertes Personal

Es SOLLTEN Mitarbeitende speziell damit beauftragt werden, alle Protokollierungsdaten zu überwachen

  • Die Überwachung der Protokollierungsdaten SOLLTE die überwiegende Aufgabe der beauftragten Mitarbeitenden sein
  • Die beauftragten Mitarbeitenden SOLLTEN spezialisierte weiterführende Schulungen und Qualifikationen erhalten
  • Ein Personenkreis SOLLTE benannt werden, der ausschließlich für das Thema Auswertung von Protokollierungsdaten verantwortlich ist

DER.1.A15

Zentrale Detektion und Echtzeitüberprüfung von Ereignismeldungen

Zentrale Komponenten SOLLTEN eingesetzt werden, um sicherheitsrelevante Ereignisse zu erkennen und auszuwerten

  • Zentrale, automatisierte Analysen mit Softwaremitteln SOLLTEN eingesetzt werden
  • Mit diesen zentralen, automatisierten Analysen mit Softwaremitteln SOLLTEN alle in der Systemumgebung anfallenden Ereignisse aufgezeichnet und in Bezug zueinander gesetzt werden
  • Die sicherheitsrelevanten Vorgänge SOLLTEN sichtbar gemacht werden
  • Alle eingelieferten Daten SOLLTEN lückenlos in der Protokollverwaltung einsehbar und auswertbar sein
  • Die Daten SOLLTEN möglichst permanent ausgewertet werden
  • Werden definierte Schwellwerte überschritten, SOLLTE automatisch alarmiert werden
  • Das Personal SOLLTE sicherstellen, dass bei einem Alarm unverzüglich eine qualifizierte und dem Bedarf entsprechende Reaktion eingeleitet wird
  • In diesem Zusammenhang SOLLTEN auch die betroffenen Mitarbeitenden sofort informiert werden

Die Systemverantwortlichen SOLLTEN regelmäßig die Analyseparameter auditieren und anpassen, falls dies erforderlich ist

  • Zusätzlich SOLLTEN bereits überprüfte Daten regelmäßig hinsichtlich sicherheitsrelevanter Ereignisse automatisch untersucht werden

DER.1.A16

Einsatz von Detektionssystemen nach Schutzbedarfsanforderungen

Anwendungen mit erhöhtem Schutzbedarf SOLLTEN durch zusätzliche Detektionsmaßnahmen geschützt werden

  • Dafür SOLLTEN z. B. solche Detektionssysteme eingesetzt werden, mit denen sich der erhöhte Schutzbedarf technisch auch sicherstellen lässt

DER.1.A17

Automatische Reaktion auf sicherheitsrelevante Ereignisse

Bei einem sicherheitsrelevanten Ereignis SOLLTEN die eingesetzten Detektionssysteme das Ereignis automatisch melden und mit geeigneten Schutzmaßnahmen reagieren

  • Hierbei SOLLTEN Verfahren eingesetzt werden, die automatisch mögliche Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen erkennen
  • Es SOLLTE möglich sein, automatisch in den Datenstrom einzugreifen, um einen möglichen Sicherheitsvorfall zu unterbinden

DER.1.A18

Durchführung regelmäßiger Integritätskontrollen

Alle Detektionssysteme SOLLTEN regelmäßig daraufhin überprüft werden, ob sie noch integer sind

  • Auch SOLLTEN die Berechtigungen der Benutzenden kontrolliert werden
  • Zusätzlich SOLLTEN die Sensoren eine Integritätskontrolle von Dateien durchführen
  • Bei sich ändernden Werten SOLLTE eine automatische Alarmierung ausgelöst werden


Anhang

Siehe auch


Links

Weblinks
  1. Leitfaden zur Einführung von Intrusion-Detection-Systemen
  2. Das Information Security Forum (ISF) macht in seinem Standard „The Standard of Good Practice for Information Security“ im Kapitel TS1.5 Intrusion Detection Vorgaben für den Einsatz von Intrusion Detection Systemen

Weiterführende Informationen

Mindeststandards

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelt in seinem Mindeststandard „Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen“ die Protokollierung und Detektion von sicherheitsrelevanten Ereignissen (SRE)

  • Die Mindeststandards sind von den in § 8 Abs. 1 Satz 1 BSIG genannten Stellen der Bundesverwaltung umzusetzen