Detektion und Prävention im Informationssicherheitsmanagement

• Cyberangriffe bleiben zu lange unentdeckt
• Die neue Norm ISO 27001:2022
• Drei neue Controls für Detektion und Prävention
• Detektion und Prävention – Fazit
• Was bedeutet das Ihre Zertifizierung?
• Modernisiertes ISMS mit der Expertise der DQS

Cyberangriffe bleiben zu lange unentdeckt

Der eminente Wert von Informationen und Daten in der Business-Welt des 21. Jahrhunderts zwingt Unternehmen und Organisationen zunehmend, sich auf Informationssicherheit zu fokussieren und in den systematischen Schutz ihrer digitalen Assets zu investieren. Warum? In dynamischen Bedrohungslandschaften werden die Taktiken der Angreifer stetig raffinierterer und vielschichtiger – mit der Konsequenz gravierender Image- und Reputationsschäden für betroffene Unternehmen und jährlich weltweit zunehmenden wirtschaftlichen Schäden in Milliardenbereich.

Einen lückenlosen Schutz vor Cyberangriffen, auch da sind sich Experten einig, gibt es dabei nicht mehr – allein schon aufgrund des Unsicherheitsfaktors Mensch. Umso wichtiger ist die frühzeitige Erkennung potenzieller und tatsächlicher Angriffe, um deren lateralen Vektor in Unternehmensnetzwerken einzugrenzen und die Anzahl kompromittierbarer Systeme so gering wie möglich zu halten. Doch in diesem Bereich gibt es noch enormen Nachholbedarf: Untersuchungen im Rahmen der Studie „Cost of a data breach 2022“ von IBM zeigen, dass es im Jahr 2022 durchschnittlich 277 Tage dauerte, um einen Angriff zu erkennen und einzudämmen.

Die neue Norm ISO 27001:2022

Um Unternehmen und Organisationen mit einem zeitgemäßen, normierten Rahmen für Informationssicherheits-Managementsysteme zu unterstützen, veröffentlichte die ISO am 25. Oktober 2022 die neue ISO/IEC 27001:2022. Der Anhang A liefert Controls (Maßnahmen), die unternehmensspezifisch zur Behandlung von Informationssicherheitsrisiken herangezogen werden können.

Die inhaltliche Umsetzung der Controls aus Anhang A wird in der aktuellen Version durch die identisch strukturierte Umsetzungsanleitung der bereits im Februar aktualisierten ISO/IEC 27002:2022 unterstützt. Neu sind darin generische Maßnahmen für eine strategische Angriffsprävention und zügigere Detektion aufgenommen.

Drei neue Controls für Detektion und Prävention

Die jetzt 93 Maßnahmen des Anhang A von ISO 27001:2022 finden sich im Rahmen der Aktualisierung nun neu geordnet in den folgenden vier Themenbereichen:

• Organisatorische Maßnahmen
• Personenbezogene Maßnahmen
• Physische Maßnahmen
• Technologische Maßnahmen

3 von den 11 neu eingeführten Controls beziehen sich auf die Vorbeugung und das rechtzeitige Erkennen von Cyber-Angriffen. Diese 3 Maßnahmen sind:

• 5.7   Bedrohungsintelligenz (organisatorisch)
• 8.16 Überwachung von Aktivitäten (technologisch)
• 8.23 Webfilterung (technologisch)

Im Folgenden werden wir diese 3 neuen Sicherheitsmaßnahmen genauer betrachten.

Bedrohungsintelligenz (5.7)

Die organisatorische Maßnahme 5.7 behandelt die systematische Erhebung und Analyse von Informationen über relevante Bedrohungen. Zweck ist die Sensibilisierung von Organisationen für ihre eigene Bedrohungslage, um in der Folge geeignete Maßnahmen zur Risikominderung ergreifen zu können. Bedrohungsdaten sollten strukturiert nach drei Aspekten analysiert werden: strategisch, taktisch und operativ.

Die strategische Bedrohungsanalyse liefert Einsichten in sich verändernde Bedrohungslandschaften, wie beispielsweise über Angriffsarten und die Akteure (staatlich motivierte Akteure, Cyberkriminelle, Auftragsangreifer, Hacktivisten etc.).

Nationale und internationale staatliche Stellen liefern ebenso wie gemeinnützige Organisationen und einschlägige Foren gut recherchierte Bedrohungsinformationen über alle Branchen und kritischen Infrastrukturen hinweg. Beispiele hierfür sind das BSI – Bundesamt für Sicherheit in der Informationstechnik, die enisa – European Union Agency for Cybersecurity, das U.S. Department of Homeland Security oder NIST – National Institute of Standards and Technology.

Taktische Bedrohungsdaten und ihre Auswertung ermöglichen Einschätzungen über Methoden, Werkzeuge und Technologien der Angreifer.

Die operative Auswertung konkreter Bedrohungen stellt Detailinformationen zu bestimmten Angriffen einschließlich technischer Indikatoren bereit, wie zum Beispiel aktuell die in 2022 extreme Zunahme von Cyber-Angriffen durch Ransomware und ihre Varianten.

Die Bedrohungsanalyse kann wie folgt unterstützen

• prozessual zur Einbindung von Bedrohungsdaten in den Risikomanagementprozess,
• technisch präventiv und detektierend, zum Beispiel durch Aktualisierung von Firewall-Regeln, Intrusion‑Detection‑Systemen (IDS), Anti-Malware-Lösungen,
• mit Eingabeinformationen für spezifische Testverfahren und Testtechniken gegen die Informationssicherheit.

Die Datenqualität aus der organisatorischen Control 5.7 zur Bestimmung der Bedrohungslage und deren Analyse wirken unmittelbar auf die beiden nachfolgend erläuterten technischen Maßnahmen zur Überwachung von Aktivitäten (8.16) und zur Webfilterung (8.23), die ebenfalls neu in die neue ISO/IEC 27002 aufgenommen wurden.

Überwachung von Aktivitäten (8.16)

Die detektierende und korrektive Informationssicherheitsmaßnahme 8.16 zur technischen Überwachung von Aktivitäten stellt die Anomalie-Erkennung als Methode zur Gefahrenabwehr in den Fokus. Netzwerke, Systeme und Anwendungen verhalten sich nach erwartbaren Mustern, beispielsweise bezüglich Datendurchsatz, Protokollen, Meldungen und so weiter.  Jede Änderung oder Abweichung von diesen erwarteten Mustern wird als Anomalie detektiert.

Um dieses ungewöhnliche Verhalten zu erkennen, gilt es, entsprechend den Geschäfts- und Informationssicherheitsanforderungen, relevante Aktivitäten zu überwachen und etwaige Anomalien unter anderem mit vorhandenen Bedrohungsdaten abzugleichen (Control 5.7). Folgende Aspekte sind dabei für das Überwachungssystem relevant:

• ein- und abgehender Netzwerk-, System- und Anwendungsverkehr
• Zugang zu Systemen, Servern, Netzwerkausrüstung, Überwachungssystemen, kritischen Anwendungen usw.
• System- und Netzkonfigurationsdateien auf administrativer oder geschäftskritischer Ebene
• Protokolle von Sicherheitstools – unter anderem Antivirus, Intrusion‑Detection‑Systemen (IDS), Intrusion‑Prevention‑System (IPS), Webfilter, Firewalls, Verhinderung von Datenabflüssen
• Ereignisprotokolle in Bezug auf System- und Netzwerkaktivitäten
• Überprüfung, ob ausführbarer Code in einem System integer und autorisiert ist
• Nutzung der Ressourcen, zum Beispiel Prozessorleistung, Festplattenkapazität, Speichernutzung, Bandbreiten

Die Grundvoraussetzungen für eine funktionierende Überwachung von Aktivitäten sind eine sauber und transparent konfigurierte IT-/OT-Infrastruktur sowie einwandfrei funktionierende IT-/OT-Netzwerke. Jede Änderung gegen diesen Grundzustand wird als potenzielle Gefährdung der Funktionsfähigkeit und damit als Anomalie detektiert. Abhängig von der Komplexität einer Infrastruktur ist die Umsetzung dieser Maßnahme trotz einschlägiger Herstellerlösungen eine große Herausforderung.

Die Bedeutung von Systemen zur Anomalie-Erkennung wurde fast zeitgleich mit der Maßnahme 8.16 von ISO 27002 regulatorisch für Betreiber sogenannter Kritischer Infrastrukturen erkannt. So besteht für diese im nationalen Anwendungsbereich einschlägiger, gesetzlicher Regelungen die Verpflichtung, sogenannte Systeme zur Angriffserkennung mit Fristsetzung wirksam anzuwenden.

Webfilterung (8.23)

Das Internet ist Segen und Fluch zugleich. Der Zugriff auf zweifelhafte Websites ist nach wie vor ein Einfallstor für bösartige Inhalte und Schadsoftware. Mit der Sicherheitsmaßnahme 8.23 Webfilterung wird präventiv bezweckt, eigene Systeme einer Organisation vor dem Eindringen von Schadsoftware zu schützen und den Zugang zu nicht autorisierten Webressourcen zu verhindern.

Organisationen sollten hierfür Regeln für die sichere und angemessene Nutzung von Online-Ressourcen aufstellen – einschließlich verbindlicher Zugangsbeschränkungen auf unerwünschte oder ungeeignete Websites und webbasierte Anwendungen. Der Zugang zu folgenden Arten von Websites sollte unternehmensseitig gesperrt werden:

• Websites, die über eine Funktion zum Hochladen von Informationen verfügen – es sei denn, dies wäre aus berechtigten, geschäftlichen Gründen notwendig
• bekannte oder auch vermutete bösartige Websites
• Command- und Control-Server
• bösartige Websites, die aus den Bedrohungsdaten (siehe Control 5.7) als solche identifiziert wurden
• Websites mit illegalen Inhalten

Die Maßnahme zur Webfilterung funktioniert nur wirklich mit geschultem Personal, das in der sicheren und angemessenen Nutzung von Online-Ressourcen ausreichend sensibilisiert ist.

Detektion und Prävention – Fazit

Den hier beschriebenen neuen Detektions- und Präventionsmaßnahmen kommt bei der Abwehr organisierter Cyber-Kriminalität eine Schlüsselrolle zu, und sie haben zurecht Einzug in die aktuellen Fassungen der neuen ISO/IEC 27001:2022 und ISO/IEC 27002 gefunden.

Mit der kontinuierlichen Aktualisierung und Analyse verfügbarer Bedrohungsinformationen, einer umfangreichen Aktivitätsüberwachung in eigenen IT-Infrastrukturen und einer Absicherung eigener Systeme gegen zweifelhafte Websites verstärken Unternehmen nachhaltig den Schutz gegen das Eindringen gefährlicher Schadsoftware. Zudem versetzen sie sich in die Lage, frühzeitig angemessene Reaktionsmaßnahmen einzuleiten.

Für Unternehmen und Organisationen gilt es nun, die 3 Controls zur Prävention und Detektion entsprechend umzusetzen und konsistent in ihr Informationsicherheitsmanagement zu integrieren, um die Anforderungen zukünftiger Zertifizierungsaudits zu erfüllen. Die DQS verfügt seit mehr als 35 Jahren über umfassende Expertise im Bereich unparteilicher Audits und Zertifizierungen – und unterstützt Sie gerne bei Ihrem Informationssicherheits-Managementsystems nach ISO 27001.

Was bedeutet das Update für Ihre Zertifizierung?

ISO 27001:2022 wurde am 25. Oktober 2022 veröffentlicht. Daraus ergeben sich für Anwender folgende Fristen und Zeiträume für den Übergang:

Letzter Termin für die Erst-/Rezertifizierungsaudits nach der „alten“ ISO 27001:2013 oder ISO 27001:2017:

• nach dem 30. April 2024 wird die DQS Erst- und Rezertifizierungsaudits nur noch nach der neuen Norm ISO/IEC 27001:2022 durchführen

Umstellung aller bestehenden Zertifikate nach der „alten“ Norm auf die neue ISO/IEC 27001:2022:

• es gilt eine 3-jährige Übergangsfrist ab dem 31. Oktober 2022
• ausgestellte Zertifikate nach ISO/IEC 27001:2013 bzw. DIN EN ISO/IEC 27001:2017 sind längstens bis zum 31. Oktober 2025 gültig und müssen zu diesem Datum zurückgezogen werden.
   

Modernisiertes ISMS mit der Expertise der DQS

Beim Übergang auf die neue Version von ISO/IEC 27001 bleibt Organisationen also noch etwas Zeit. Die aktuellen Zertifikate auf Basis der alten Norm verlieren am 31.10.2025 ihre Gültigkeit. Dennoch sind sie gut beraten, sich frühzeitig mit den veränderten ISMS-Anforderungen auseinanderzusetzen, geeignete Change-Prozesse einzuleiten und dementsprechend umzusetzen.

Als Experten für Audits und Zertifizierungen mit der Erfahrung aus über drei Jahrzehnten unterstützen wir Sie bei der Umsetzung der neuen Norm. Informieren Sie sich bei unseren zahlreichen erfahrenen Auditoren über die wichtigsten Änderungen und deren Relevanz für Ihre Organisation – und vertrauen Sie auf unsere Expertise. Gemeinsam erörtern wir Ihr Verbesserungspotenzial und unterstützen Sie bis zum Erhalt des neuen Zertifikats. Wir freuen uns auf Ihre Kontaktaufnahme.

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail willkommen@dqs.de.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.