NIS2 fordert SIEM – Best Practice zur SIEM-Einführung bei KMUs

Kontext: Umsetzung der NIS2-Richtlinie in Deutschland

Umsetzung der NIS2-Richtlinie in Deutschland

Die Umsetzung der NIS2-Richtlinie in Deutschland erfolgt maßgeblich durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), mit dem die spezifischen Anforderungen der NIS2-Richtlinie der EU an die IT-Sicherheit auch von KMUs im neuen BSI-Gesetz (BSIG) festzugelegt werden, insbesondere im §30 BSIG, der die Risikomanagementmaßnahmen für besonders wichtige und wichtige Einrichtungen regelt.

Für IT-Sicherheits- und Forensik-Experten ist es entscheidend, die spezifischen Anforderungen zu verstehen, die das neue BSIG an die Sicherheitsmaßnahmen von Einrichtungen stellt. Wie die „übersichtlichen“ Anforderungen des §30 BSIG zu interpretieren sind und was darunter alles zu verstehen ist, verrät indessen der Annex der NIS2-Umsetzungsverordnung (NIS2UmsVO).

Besonderes Augenmerk liegt dabei auf der Implementierung von Maßnahmen zur Erkennung und Abwehr von Cyber-Bedrohungen, der Erstellung von Notfallplänen sowie der regelmäßigen Überprüfung und Aktualisierung von Sicherheitsstrategien.
Hier kommt SIEM ins Spiel.

Anforderungen an Unternehmen – hier: SIEM

Die NIS2-Richtlinie verpflichtet in Art 1 Abs. 2 b), das BSIG (neu) in §30 Unternehmen, Konzepte in Bezug auf die Bewältigung von Sicherheitsvorfällen – kurz: zum Incident-Management – zu erstellen und zu implementieren. Das klingt erst einmal wenig nach einer Verpflichtung zur Erstellung von Log-Dateien und deren Analyse – oder gar einem SIEM-Ansatz. Hier ist §31 Abs. 2 BISG deutlicher „Betreiber kritischer Anlagen sind verpflichtet, Systeme zur Angriffserkennung einzusetzen.“ – Aber eben „nur“ Betreiber kritischer Anlagen, also KRITIS-Unternehmen. Was gilt denn nun?

NIS2-Anforderungen auch im Annex der NIS2UmsVO

Die NIS2-Umsetzungs-Verordnung (NIS2UmsVO) als delegierter Durchführungsrechtsakt der EU ist ein beschlossenes und bereits anwendbares Dokument, das als europäisches Recht dem nationalen Recht vorgeht. Es regelt zum einen die Definition eines „erheblichen Sicherheitsvorfalls“, ab dem eine Meldepflicht bestehen soll, zudem enthält es im Annex eine detaillierte Liste an Anforderungen, die zwar im wesentlichen denen des §30 BSIG entspricht, aber viel kleinteiliger heruntergebrochen ist.

Die NIS2Umsvo gilt zunächst einmal für die in Art. 1 genannten Bereiche:

  • DNS-Diensteanbieter,
  • TLD-Namenregister,
  • Anbieter von Cloud-Computing-Diensten,
  • Anbieter von Rechenzentrumsdiensten,
  • Betreiber von Inhaltszustellnetzen,
  • Anbieter verwalteter Dienste, (aka „Managed Services“)
  • Anbieter verwalteter Sicherheitsdienste,
  • Anbieter von Online-Marktplätzen,
  • Online-Suchmaschinen und
  • Plattformen für Dienste sozialer Netzwerke und
  • Vertrauensdiensteanbieter

Gilt sie auch für Unternehmen ausserhalb dieser Liste? – Zumindest nicht unmittelbar.
So wie die ISO27002 eine Reihe von Implementierungsvorschlägen für die Einrichtungen bereithält, die ISO27001 implementieren, so werden auch in der NIS2UmsVO einige der geforderten Maßnahmen nicht für jedes unter NIS2 fallende Unternehmen angemessen sein.
Wir gehen aufgrund der anerkannten Quelle (EU), der Tatsache, dass es sich um ein offizielles Dokument handelt und in alle EU-Sprachen übersetzt ist, davon aus, dass sich die NIS2 zum Goldstandard der Cybersicherheit entwickeln wird, also ein Standard, den nicht nur Aufsichtsbehörden, sondern auch Gerichte und Versicherungen bei Schadensregulierungen zugrunde legen werden.
Unternehmen tun also gut daran, sich dieses Dokument sorgfältig anzuschauen.

Konkrete SIEM-Anforderungen der NIS2UmsVO

Nach den sehr viel detaillierteren Anforderungen im Annex der NIS2UmsVO, nämlich 3.2. Überwachung und Protokollierung sind effektive Überwachungs- und Protokollierungsmaßnahmen zu implementieren, um potenzielle Sicherheitsvorfälle frühzeitig zu erkennen und angemessen darauf reagieren zu können.

Die spezifischen SIEM-Anforderungen können wie folgt zusammengefasst werden:

    • Etablierung von Überwachungsprozessen:
      Unternehmen müssen Verfahren und Werkzeuge einführen, die Aktivitäten in ihren Netz- und Informationssystemen überwachen und protokollieren, um potenzielle Sicherheitsvorfälle zu erkennen und deren Auswirkungen zu minimieren.
    • Automatisierte und regelmäßige Überwachung:
      Wo immer möglich, sollte die Überwachung automatisiert und kontinuierlich oder in regelmäßigen Abständen erfolgen, abhängig von den betrieblichen Kapazitäten.
    • Minimierung von Fehlalarmen:
      Überwachungssysteme sollten so konzipiert sein, dass sowohl falsch positive als auch falsch negative Ergebnisse minimiert werden, um die Genauigkeit der Bedrohungserkennung zu erhöhen.
    • Dokumentation und Verifizierung von Protokollen:
      Die gesammelten Protokolldaten müssen dokumentiert und regelmäßig überprüft werden, um die Wirksamkeit der Überwachungsmaßnahmen sicherzustellen.
    • Sicherstellung der Verfügbarkeit der Überwachungs- und Protokollierungssysteme:
      Es ist sicherzustellen, dass diese Systeme unabhängig von den überwachten Systemen verfügbar sind, um eine lückenlose Überwachung zu gewährleisten.

Um diesen NIS2-Anforderungen gerecht zu werden, empfiehlt sich die Implementierung eines Security Information and Event Management (SIEM) Systems.

Ein SIEM-System sammelt und analysiert sicherheitsrelevante Daten aus verschiedenen Quellen innerhalb der IT-Infrastruktur in Echtzeit. Dadurch ermöglicht es die frühzeitige Erkennung von Anomalien und potenziellen Bedrohungen, unterstützt die Einhaltung von Compliance-Anforderungen und verbessert die Reaktionsfähigkeit auf Sicherheitsvorfälle.

KMU-taugliche Best Practices bei der Implementierung eines SIEM-Systems

Der Einstieg in die Implementierung eines SIEM-Systems ist weniger eine Frage von Budget und Lizenzen, sondern vielmehr eine Frage von Struktur und Methodik. Für mittelständische Unternehmen mit einer durchschnittlich komplexen IT-Infrastruktur bietet sich ein pragmatischer Ansatz an, der auf Open-Source- oder Community-Versionen von SIEM-Software wie z.B. Graylog setzt, um erste Schritte zu gehen und Erfahrungen zu sammeln.

Mit einem Aufwand von ca. 10 Personentagen können bereits aussagekräftige Ergebnisse erzielt werden, die eine fundierte Grundlage für weitergehende Entscheidungen bieten.

  • 1. SIEM-Datenquellen zusammenführen und priorisieren

    Im ersten Schritt werden die für das SIEM relevanten Datenquellen identifiziert und strukturiert in einen zentralen Log-Server integriert. Die wichtigsten Datenquellen sind

      • Firewall-Logs
      • System- und Applikationsprotokolle (Windows Event Logs, Linux Syslogs)
      • Logs von Cloud-Diensten (z.B. Microsoft 365, AWS)
      • Protokolle von Netzwerkgeräten wie Switches und Router
      • Protokolle von Endpoint-Sicherheitslösungen wie Antivirensoftware oder EDR-Systeme

    Es ist wichtig, Prioritäten zu setzen. Beginnen Sie mit den SIEM-Datenquellen, die die größte Angriffsfläche bieten oder die bei einem Sicherheitsvorfall am schnellsten analysiert werden müssen (z.B. Firewalls und Endpoint-Security).
    Ziel ist es, die Datenflut zu begrenzen und relevante Ereignisse herauszufiltern, bevor sie im SIEM-System verarbeitet werden.

  • 2. Absicherung des Log- bzw. SIEM-Servers

    Die Absicherung des Log-Servers hat höchste Priorität. Logs enthalten sensible Informationen über die gesamte IT-Infrastruktur und können bei Missbrauch erheblichen Schaden anrichten. Und die SIEM-Daten sollten auch im Fall eines Incidents verfügbar sein.

    Folgende Maßnahmen sollten getroffen werden:

      • Segmentierung und Zugriffskontrolle:
        Der Log-Server sollte in einer dedizierten Netzwerkzone stehen und nur von autorisierten IP-Adressen erreichbar sein.
      • Verschlüsselte Übertragung:
        Logs sollten über Protokolle wie TLS oder SSH übertragen werden, um die Integrität und Vertraulichkeit der Daten zu gewährleisten.
      • Unveränderbarkeit der Logs:
        Logs sollten nach der Speicherung vor Manipulation geschützt werden, z. B. durch die Verwendung von WORM-Speichern (Write Once, Read Many).
      • Backup-Strategie:
        Regelmäßige Backups der Logs des SIEM-Systems sind unerlässlich, um auch bei einem Systemausfall auf die Daten zugreifen zu können.
  • 3. Verwendung von Open Source und Community Versionen von SIEM-Software

    Ein häufiger Fehler bei der Einführung von SIEM-Systemen ist die vorschnelle Anschaffung teurer kommerzieller Lösungen, ohne die genauen Anforderungen des Unternehmens zu kennen. Zu Beginn ist der Einsatz von Open Source oder Community Versionen ausreichend, um Erfahrungen mit dem SIEM-System zu sammeln und die tatsächlichen Anforderungen zu definieren. Bekannte Open Source Lösungen sind

      • ELK Stack (Elasticsearch, Logstash, Kibana):
        Eine weit verbreitete Plattform zum Sammeln, Analysieren und Visualisieren von Logs. Sie bietet eine hohe Flexibilität und ist ideal für erste Tests.
      • Wazuh:
        Ein kostenloses Open-Source-SIEM, das Sicherheitsanalysen, Bedrohungserkennung und Compliance-Reporting bietet.
      • Graylog:
        Eine weitere Open-Source-Lösung, die sich durch einfache Konfiguration und leistungsstarke Such- und Analysefunktionen auszeichnet.
      • TheHive und Cortex:
        Tools zur Automatisierung und Analyse von Sicherheitsvorfällen, die sich gut in ein Open-Source-SIEM-Setup integrieren lassen.

    Durch den Einsatz solcher Lösungen fallen keine Lizenzkosten an und das Unternehmen kann sich auf das Verstehen und Optimieren der Prozesse konzentrieren. Ziel ist es, False Positives zu minimieren und Muster in den Logs zu erkennen, bevor eine Entscheidung über eine mögliche kommerzielle Lösung getroffen wird.

  • 4. Analyse und Optimierung des SIEM-Systems

    In den ersten Wochen des Betriebs sollten die gesammelten Logs systematisch analysiert werden, um

      • False Positives zu identifizieren und zu minimieren
      • wichtige Anomalien zu identifizieren und Regelwerke anzupassen
      • Baselines für das Normalverhalten der Infrastruktur zu definieren

    Hier zeigt sich oft, dass Unternehmen durch den Einsatz eines SIEM-Systems viel über die eigene Infrastruktur lernen, z.B. durch das Aufdecken fehlerhafter Konfigurationen oder nicht dokumentierter Geräte.

  • 5. Projektaufwand und Budget einer SIEM-Einführung

    Für ein mittelständisches Unternehmen mit einer durchschnittlich komplexen Infrastruktur können grob die folgenden 10 Personentage eingeplant werden:

    • 2 Tage: Analyse und Auswahl der Datenquellen, Initialplanung
    • 4 Tage: Einrichtung und Konfiguration des Log-Servers sowie Implementierung der Open Source SIEM-Software
    • 2 Tage: Testlauf, Sammlung erster Logs, Einrichtung von Dashboards und Regeln
    • 2 Tage: Analyse der Ergebnisse, Dokumentation, erste Optimierungen

    Dieser Ansatz bietet Unternehmen die Möglichkeit, ohne hohe Anfangsinvestitionen praktische Erfahrungen zu sammeln und den Nutzen eines SIEM-Systems für ihre IT-Sicherheitsstrategie zu evaluieren.

Problematik: zu wenig Zeit – Make or buy?

Viele kleine und mittelständische Unternehmen (KMUs) sehen sich mit der Herausforderung konfrontiert, mit begrenzten IT-Ressourcen ein SIEM-System zu implementieren. Der Betrieb solcher Systeme erfordert jedoch spezialisiertes Wissen und Erfahrung, über die in KMUs oft nicht verfügt wird.

Eine Lösung kann in der Zusammenarbeit mit externen Experten liegen.

IT-Sicherheitsdienstleister sind in der Lage, das SIEM-System schnell, pragmatisch und effizient aufzubauen, individuell anzupassen und zu optimieren. Sie übernehmen die Analyse von Datenfluten, entwickeln gezielte Regeln und unterstützen bei der kontinuierlichen Verbesserung. KMUs sparen dadurch wertvolle Zeit und Ressourcen und gewinnen gleichzeitig Know-how im eigenen Unternehmen.

Die Zusammenarbeit mit Experten ermöglicht KMUs, gesetzliche Vorgaben wie die NIS2-Richtlinie zu erfüllen und Schäden bzw. Bekämpfungsaufwände von Sicherheitsvorfällen nachhaltig zu reduzieren. Dadurch sind schnelle Analysen und präzise Lagebilder möglich.

Die Einführung eines SIEM-Systems kann mit externer Unterstützung zu einer realistischen und auch lohnenden Aufgabe werden – selbst für Unternehmen mit begrenzten IT-Kapazitäten.