In Kapitel 5 Operative Sicherheit wird die aktuell gültige Fassung der BAIT (September 2018) um neue Anforderungen hinsichtlich „angemessener Überwachungs- und Steuerungsprozesse“ für IT-Risiken erweitert und fordert damit den Aufbau und die Etablierung von detektiven und reaktiven „Schutzmaßnahmen […] zur Risikobehandlung und -minderung“ (siehe Tz. 5.1.). Diese Anforderung wird in Tz. 5.2. für Institute nochmals deutlich präzisiert und womit mittelfristig eine Defense-In-Depth Strategie zwingend erforderlich wird, um die Vorgaben der konsultierten Fassung der BAIT (Oktober 2020) zu erfüllen und damit die Informationssicherheitsstrategie ganzheitlich auf die aktuelle Bedrohungslage auszurichten.
Explizit wird in den Anforderungen an die Operative Sicherheit in Tz. 5.3. gefordert, dass „Gefährdungen des Informationsverbundes […] möglichst frühzeitig zu identifizieren [sind]“ und damit Prozesse und technische Mechanismen zu definieren sind, um zeitnah etwaige Anomalien in den Systemen und Anwendungen zu detektieren und darauf entsprechend zielgerichtet reagieren zu können. Die Anforderungen verlangen den Instituten ein risikoorientiertes Schutzvorgehen für die Sicherheitsüberwachung und das proaktive Schwachstellenmanagement ab.
Das bedeutet für die betroffenen Institute, dass Richtlinien und Vorgaben eingeführt werden müssen, die festlegen, wie Systeme abhängig von ihrem individuellen Schutzbedarf in eine ganzheitliche Sicherheitsüberwachung integriert werden sollen. Weiterhin müssen Standards entwickelt werden, um die unterschiedlichen Sicherheitsszenarien zu etablieren. Diese Standards müssen entsprechend durch ein dafür zuständiges Team operationalisiert werden. Erfahrungen aus bisherigen Projekten haben eindeutig gezeigt, dass sich diese Anforderungen effektiv durch den „Einsatz automatisierter IT-Systeme“ zur Log- und Eventkorrelation (Security Information and Event Management, SIEM) umsetzen lassen.
Eine Kernforderung der Tz. 5.4. ist die Entwicklung eines „angemessenes Portfolio an Regeln zur Identifizierung sicherheitsrelevanter Ereignisse“ und damit eines Security–Szenario–Portfolios, das in einem automatisierten technischen Regelwerk abgebildet wird. Diese Anforderung beinhaltet auch die Entwicklung eines institutsweiten Loglevels, das es ermöglicht, diese Szenarien automatisiert zu erkennen und zielgerichtet anhand von vorab definierten Schritten darauf zu reagieren. Aus bisherigen Projekten ist die Verwendung eines Best–Practice–Framework wie ‘MITRE ATTACK‘ empfehlenswert, um sowohl wichtige Security–Szenarien zu berücksichtigen als auch eine einheitliche Basis für eine permanente Weiterentwicklung zu schaffen.
Die Anforderung „sicherheitsrelevante Ereignisse zeitnah zu analysieren, und auf daraus resultierende Informationssicherheitsvorfälle [zu reagieren], […] kann eine ständig besetzte zentrale Stelle, z. B. in Form eines Security Operation Centers (SOC)“ erforderlich machen (siehe Tz. 5.5.). Insbesondere auf kritische Sicherheitsvorfälle muss eine zeitnahe Reaktion erfolgen, um die Auswirkungen frühzeitig einzugrenzen. Erfahrungsgemäß ergibt sich daraus die Notwendigkeit, die Etablierung eines SIEM / SOC in einem 24/7-Modus sowie das Erstellen und Optimieren einer sogenannten Security–Use–Case–Bibliothek, inklusive Security–Incident–Playbooks. Für den Betrieb eines SOC gibt es unterschiedliche Möglichkeiten, bei denen sich meist für Institute aus Gründen der Kosteneffizienz ein hybrides ausgelagertes SOC anbietet. Dabei sind die Anforderungen aus Kapitel 9 Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen der konsultierten BAIT zu beachten.
Eine weitere Kernanforderung thematisiert in Tz. 5.6. die Notwendigkeit eines Schwachstellenmanagements, um „die Sicherheit der IT-Systeme regelmäßig, anlassbezogen und unter Vermeidung von Interessenskonflikten zu überprüfen“ und die dabei identifizierten „Risiken angemessen zu steuern“. Weiterhin wird direkt gefordert, dass Institute proaktiv mithilfe von Schwachstellenscanning-Tools und Security Reviews nach potenziellen Schwachstellen im Institutsnetzwerk suchen und diese in einem geordneten Prozess bewerten und entsprechend behandeln.
Außerdem wird verlangt, dass Sicherheitslücken durch Penetrationstests oder in Form von simulierten Angriffen (Red Teaming) regelmäßig und in einem geordneten Rahmen überprüft werden, um so aktiv die Funktionsfähigkeit der Schutzmechanismen sicherzustellen sowie etwaige Lücken zu erkennen und zu schließen. Durch das Schwachstellenmanagement entsteht eine Rückkopplung zu den Security-Szenarien und etwaige Sicherheitslücken und Risiken können adressiert werden, bevor diese Schäden verursachen.
Für Institute ergeben sich damit eine Vielzahl neuer Anforderungen. Um diese entsprechend zu adressieren, sollten unter anderem folgende Vorgaben im Institut existieren und geprüft werden:
- Ein Risiko-Register
- Eine Schutzbedarfsfeststellung für alle Systeme die insbesondere die Schutzziele (Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität) abgedeckt
- Richtlinien, die Vorgaben für
- das Sicherheitslogging,
- die Sicherheitsüberwachung,
das Schwachstellenmanagement setzen
Standards, Konzepte und Prozesse für- das Logging und die Loggingkonfiguration für Anwendungen, Datenbanken, Betriebssysteme und Sicherheitssysteme
- das Anbinden von Systemen in die kontinuierliche Sicherheitsüberwachung
- die Durchführung einer kontinuierlichen Sicherheitsüberwachung in einem 24/7-Modus
- das Entwickeln und Rezertifizieren von Security Szenarien
- die Etablierung einer zielgerichteten Security–Incident–Response
- das Durchführen von Schwachstellenscans
- das Durchführen von regelmäßigen Penetrationstests
- die Behandlung von identifizierten Schwachstellen
- Technologie-Architekturen für den Einsatz von SIEM-Systemen und Schwachstellenscannern
Durch das Schaffen von Strukturen, die diese Themen behandeln, stellt das Institut sicher, dass die Anforderungen der konsultierten BAIT-Fassung erfüllt sind und die Informationssicherheit langfristig und nachhaltig ausgerichtet werden kann.
Wie ADVISORI Ihnen hilft
Wir unterstützen Sie gerne in diesem Bereich und beraten Sie in der Verankerung der Anforderungen in den Richtlinien und Prozessen. In der anschließenden Operationalisierungsphase begleiten wir Sie und können dabei durch fachliches und technisches Implementierungs-Know-How (Partnerschaften mit den Marktführern) eine State-of–the-art Lösung mit Ihnen konzipieren und umsetzen.
Über den Autor
Marcel Rieger ist als Unternehmensberater mit Schwerpunkt Informations- und Cybersicherheit bei ADVISORI für unsere Kunden tätig. Durch Einsätze in diversen Projekten als Fachexperte in verschiedensten Rollen verfügt er über einen umfangreichen Erfahrungsschatz in der gesamten Security-Landschaft, sowie im Management und Lösungsdesign für regulatorische, organisatorische und technologische Anforderungen im Bereich Security Operations.
Erfahren Sie mehr zur Konsultion der BAIT in unserer Artikelserie.