Benötigt es wirklich Helden, um Kritische Infrastrukturen abzusichern?
Ein perfekt vorbereiteter Hackerangriff auf die smarten Stromzähler und die Steuerungssoftware der Kraftwerke. Blackout. Stromausfall quer über Europa. Tagelang. Wochenlang. Auffahrunfälle durch plötzlich ausfallende Ampeln und Verkehrsleittechnik. Krankenwagen, die Probleme haben durch das Geschehen und die plötzlich tiefschwarze Nacht zu kommen. Krankenhäuser, die zunächst überlastet sind und denen kurze Zeit später der Diesel für das Notstromaggregat ausgeht. So fängt die fiktive Storyline in Marc Elsbergs Thriller „Blackout – Morgen ist es zu spät“ an.
Die Story von Marc Elsbergs Thriller "Blackout" steigert sich über Schlangen vor nicht funktionierenden Tankstellen und Geldautomaten, über Plünderungen von Supermärkten, frierenden Menschen in ihren Häusern und Wohnungen, weil Öl- und Gasheizungen auch Strom zum Funktionieren benötigen. Dramatische hygienische Zustände, da auch die Pumpen der Wasserversorgung Strom benötigen. Nahrungsmittelknappheit, weil Transportwege zusammengebrochen sind, bis hin zum totalen Zusammenbruch des öffentlichen Lebens über Wochen und einem Zwischenfall in einem Atomkraftwerk durch die nicht funktionierende Notkühlung. In der Fiktion benötigt es den Charakter des italienischen Informatikers Piero Manzano, der es nach mehreren Anläufen schafft, die Behörden zu überzeugen, dass es sich um einen Cyber-Angriff handelt und gegen den vorgegangen werden muss.
Wie kann man sich in der Realität gegen einen Angriff wappnen - und das ohne einen stillen und einsamen Helden wie Manzano?
Damit hat sich auch der Gesetzgeber in Deutschland beschäftigt und bei der Revision des IT-Sicherheitsgesetzes 2.0 und der KRITIS-Verordnung den Betrieb von Systemen zur Angriffserkennung ab dem ab 1. Mai 2023 für alle Betreiber von Kritischen Infrastrukturen verpflichtend gemacht. Dabei gilt als Betreiber einer Kritischen Infrastruktur, wer grob über 500.000 Menschen in einem der „kritischen“ Sektoren versorgt [Staat und Verwaltung, Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Medien und Kultur, Wasser, Ernährung, Finanz- und Versicherungswesen, Abfallentsorgung]. Die genauen Schwellenwerte, ab wann man der Regulierung unterliegt, regelt die KRITIS-Verordnung.
Wie kann nun ein Unternehmen ohne einen heldenhaften Mitarbeitenden diese Anforderungen erfüllen? Die Anforderung aus dem IT-Sicherheitsgesetz 2.0 bedeutet effektiv, dass es eines Security-Operation-Centers (im Folgenden auch SOC) bei jedem Betreiber von Kritischen Infrastrukturen bedarf, welches als eigenständige Organisation 24 Stunden, 7 Tage die Woche alle Informationssicherheitsvorfälle erkennt und Gegenmaßnahmen einleitet.
Security-Operation-Center
Konkrete Tätigkeiten eines SOC umfassen unter anderem die Entwicklung und Pflege von internen Sicherheitsstandards und Spezifikationen, den Betrieb von unterstützenden Tools, die Durchführung von präventiven Maßnahmen, das Monitoring sowie die Analyse, die Klassifizierung, das Management von Security-Incidents und die Einleitung von mitigierenden Maßnahmen. Häufig werden Teile dieser Aufgaben bereits dezentral durchgeführt, ein Überblick und übergreifende Reaktionsfähigkeit des Unternehmens kann so aber nicht sichergestellt werden.
Um ein effizientes und funktionales SOC zu betreiben, braucht es einen konsistenten Sockel an personellen und technischen Ressourcen. Daneben steigern spezifisches Erfahrungswissen und Prozess-Know-how die Effizienz des SOCs. Dies ist in der Realität schwer im Eigenbetrieb zu realisieren. Unterstützende Tools können beschafft werden. Der Betrieb insbesondere durch die hohe Abhängigkeit von Schnittstellen ist jedoch oft nur mit fachlicher Expertise durchzuführen. Erfahrungen mit Prozessen können zudem in der Regel nur langsam aufgebaut werden. Ein Betrieb 24 Stunden an 7 Tagen in der Woche benötigt, unter Berücksichtigung von Urlaub, Krankheit und Schichtbetrieb, mindestens 6 IT-Security-Spezialisten. Diese Spezialisten sind am Markt nur sehr schwer zu bekommen, kosten sehr viel Geld und sind erfahrungsgemäß bei einem dedizierten SOC eines einzelnen Unternehmens recht schnell unterfordert und damit demotiviert.
Vor diesen Herausforderungen stehen nahezu alle Unternehmen, die durch das IT-Sicherheitsgesetz 2.0 gezwungen sind, ein SOC zu betreiben oder dies aus anderen Gründen tun möchten. Um die Anforderungen dennoch bedienen zu können, hat sich in den letzten Jahren ein neues Feld für IT-Dienstleister und IT-Sicherheits-Spezialisten aufgetan. Aus unterschiedlichen Perspektiven kommend, kristallisiert sich ein immer konkreteres Angebot für ein „Managed-SOC“ heraus, also ein SOC welches durch einen externen Dienstleister betrieben wird. Die Vorteile liegen auf der Hand: Erfahrungen werden gebündelt, Skalierungseffekte bezüglich Tools und Automatisierung genutzt und vor allem ein deutlich effizienterer Einsatz der knappen Personalressourcen durch Pooling ermöglicht.
Wie finden Sie also den passenden Dienstleister für ihr Managed-SOC?
Sinnvoll ist die Auswahl eines Dienstleisters, der auf Ihre Unternehmensgröße passt: Als etabliertes KMU wird ein US-amerikanischer Branchenriese weniger auf Ihre individuellen Anforderungen eingehen können als ein Unternehmen auf „Augenhöhe“, also ein Unternehmen, welches zu ihrer Unternehmensgröße und -sprache passt. Cassini hilft Ihnen bei diesem „SOC-Sourcing“ den richtigen Anbieter zu finden, der ihre individuellen Anforderungen erfüllen kann. Weiter berücksichtigen wir die im IT-Sourcing typischen Aspekte und Methoden wie z. B. Definition passender Exit-Klauseln und marktüblicher Rahmenvertragsinhalte. Daneben sollten aber auch spezifische Themen wie z. B. Leistungsinhalte oder auch Erfahrung zu der Fähigkeit der SOC-Dienstleister mit einbezogen werden.
Es benötigt eben doch keinen einzelnen Helden für die Absicherung Kritischer Infrastrukturen, sondern ein funktionierendes Security-Operation-Center. Sollten Sie die Einführung eines SOC prüfen wollen oder Unterstützung im Rahmen eines SOC-Sourcing benötigen, steht Cassini Ihnen mit Rat und Tat und einem etablierten Vorgehensmodell und langjähriger IT-Sourcing-Erfahrung zur Seite.