Die zunehmende Vernetzung und Komplexität von IT-Systemen erhöhen die Anfälligkeit für Cyberangriffe. Mit der Version 2.1 des Mindeststandards (MST) zur Protokollierung und Detektion von Cyberangriffen legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zentrale Richtlinie für die Sicherheitsanforderungen in der Bundesverwaltung vor. Durch die zunehmende Bedeutung der Cyberabwehr und der rechtlichen Anforderungen können aber auch Unternehmen aus dem MST wesentliche Aspekte ableiten.
Bedeutung des Mindeststandards
Der Standard basiert auf den Vorgaben des IT-Sicherheitsgesetzes 2.0 und des § 8 BSIG und richtet sich an IT-Verantwortliche, Sicherheitsbeauftragte und IT-Betriebspersonal. Ziel ist es, ein einheitliches Sicherheitsniveau zur Abwehr von Cyber-Angriffen zu gewährleisten.
Die MST definiert Mindestanforderungen an die Protokollierung von sicherheitsrelevanten Ereignissen (SRE) und deren Erkennung, um Sicherheitsvorfälle frühzeitig zu erkennen und geeignete Gegenmaßnahmen einzuleiten.
Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von IT-Systemen sicherzustellen. Dabei werden gesetzliche Vorgaben wie die Datenschutz-Grundverordnung (DSGVO) berücksichtigt.
Protokollierung: Planen, Sammeln, Dokumentieren
Die Protokollierung bildet die Grundlage für die Erkennung von Cyber-Angriffen. Der Prozess umfasst die Identifikation von Datenquellen, die Sammlung relevanter Ereignisdaten und deren strukturierte Dokumentation. Zentrale Anforderungen sind
- -Datenquellen: Alle IT-Systeme, die sicherheitsrelevante Informationen liefern können, wie Firewalls, Betriebssysteme oder Anwendungen, sind einzubeziehen.
- Zu protokollierende Ereignisse: Dazu gehören Logins, Änderungen von Zugangsdaten, Installationen sowie systemkritische Prozesse.
- Dokumentation: Die gesammelten Daten müssen in einer zentralen Protokollierungsinfrastruktur gespeichert werden, die sowohl physisch als auch logisch geschützt ist.
Lese-Tipp: BSI-Lagebericht 2024 – So sieht die aktuelle Bedrohungslage aus
Detektion: Kalibrieren, Detektieren, Auswerten
Die Detektion baut auf der Protokollierung auf und umfasst die automatisierte sowie manuelle Analyse von sicherheitsrelevanten Ereignissen. Ziel ist es, verdächtige Aktivitäten frühzeitig zu identifizieren.
- Kalibrierung: Die Systeme werden auf Normalzustände eingestellt, um Fehlalarme zu minimieren.
- Automatisierte Detektion: Systeme wie Intrusion Detection Systems (IDS) oder Security Information and Event Management (SIEM) helfen bei der Echtzeitanalyse von Ereignissen.
- Manuelle Bewertung: Qualifizierte Sicherheitsvorfälle werden von Experten geprüft, um geeignete Reaktionsmaßnahmen einzuleiten.
Außerdem sollten Sicherheitsmechanismen und Detektionssysteme an neue Bedrohungslagen angepasst werden.
Aufgabenbereiche und organisatorische Rahmenbedingungen
Der MST PD teilt die Verantwortlichkeiten auf mehrere Bereiche auf:
- Operative IT-Sicherheit: Planung und Betrieb der Protokollierungs- und Detektionsinfrastruktur.
- IT-Betrieb: Sicherstellung des reibungslosen Betriebs der IT-Infrastruktur.
- Revision: Regelmäßige Prüfung der Einhaltung der Vorgaben sowie der Schutzmaßnahmen.
Jede Einrichtung muss zudem sicherstellen, dass Mitarbeitende geschult sind und geeignete Ressourcen für die Umsetzung bereitgestellt werden.
Rechtliche und technische Herausforderungen
Die Einhaltung des Mindeststandards erfordert die Berücksichtigung rechtlicher Rahmenbedingungen. Dazu gehört die Bestimmung zulässiger Speicherfristen für Protokolldaten, die je nach Schutzbedarf variieren können. Zudem müssen bei der Einbindung von Drittanbietern oder IT-Dienstleistern die Vorgaben des MST vertraglich geregelt werden.
Der Mindeststandard zur Protokollierung und Detektion von Cyberangriffen stellt eine zentrale Leitlinie für die Informationssicherheit in der Bundesverwaltung dar. Seine strengen Vorgaben bieten nicht nur einen rechtlichen Rahmen, sondern tragen auch zur Verbesserung der Resilienz gegen Cyberbedrohungen bei. Für eine erfolgreiche Umsetzung bedarf es jedoch einer engen Zusammenarbeit aller beteiligten Akteure und einer kontinuierlichen Anpassung an neue Bedrohungsszenarien.
Quelle: Mindeststandard des BSI zur Protokollierung und Detektion von Cyberangriffen, Version 2.1 vom 11.11.2024