Die Version 2.1 des BSI-Mindeststandards zur Protokollierung und Detektion von Cyberangriffen steht zur Verfügung. Für wen ist er relevant und wie lässt er sich umsetzen?
Protokollierung und Detektion auf den Stand der Technik bringen!
“Cyberkriminelle professionalisieren ihre Arbeitsweise. Sie sind technisch auf dem neusten Stand und agieren aggressiv”, heißt es in der Publikation “Die Lage der IT-Sicherheit in Deutschland 2024”. Anders ausgedrückt: Cyberangriffe nehmen in Umfang und Raffinesse zu – und keine Organisation kann es sich leisten, unvorbereitet zu sein.
Es gilt daher, proaktiv zu handeln. Passend dazu hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 11. November 2024 eine neue Fassung (Minor Release) des Mindeststandards zur Protokollierung und Detektion von Cyberangriffen veröffentlicht. Die wesentlichen Änderungen im Vergleich zur Version 2.0 (2023) sind präzisierte Anforderungen bezüglich der Speicherfrist für Protokolldaten.
Für IT-Verantwortliche und Informationssicherheitsbeauftragte (ISB) ist das jüngste Update ein guter Anlass, um die bisherigen eigenen Maßnahmen zur Protokollierung und Detektion sicherheitsrelevanter Ereignisse kritisch zu überprüfen und anzupassen. Denn es gilt: Wenn Sie Ihre Detektions- und Reaktionsfähigkeiten verbessern wollen und müssen, dann bietet der Mindeststandard des BSI eine gute Orientierung!
Woraus besteht der BSI-Mindeststandard?
Der BSI-Mindeststandard zur Protokollierung und Detektion von Cyberangriffen stützt sich auf zentrale und eminent wichtige Bausteine des IT-Grundschutz-Kompendiums, die grundlegende Anforderungen an die Informationssicherheit festlegen:
🔻OPS.1.1.5 – Protokollierung
Dieser Baustein beschreibt, welche sicherheitsrelevanten Ereignisse auf IT-Systemebene zu erfassen sind, um eine nachvollziehbare und umfassende Überwachung zu gewährleisten. Dazu gehören beispielsweise Benutzeraktivitäten, Systemänderungen und Zugriffe auf sensible Daten.
🔻 DER.1 – Detektion von sicherheitsrelevanten Ereignissen
Hier werden die Anforderungen an die Mechanismen zur Erkennung von sicherheitsrelevanten Ereignissen (SRE) festgelegt. DER.1 umfasst unter anderem die Einrichtung von Detektionssystemen, die Bedrohungen und Angriffsversuche identifizieren sollen.
Der Mindeststandard geht über die in den Grundschutzbausteinen geforderten Basisanforderungen hinaus und konkretisiert sie. Es wird eine gezielte Umsetzung sowohl technischer als auch organisatorischer Maßnahmen gefordert, die individuell an den jeweiligen Schutzbedarf einer Organisation angepasst sein müssen.
Für wen gilt der Mindeststandard?
Gemäß § 8 des BSI-Gesetzes ist der BSI-Mindeststandard zur Protokollierung und Detektion von Cyberangriffen verbindlich für die Informationstechnik von Bundesbehörden. Neben Behörden und Ministerien zählen hierzu sämtliche Stellen der Bundesverwaltung sowie Organisationen, die IT-Dienstleistungen für den Bund erbringen – zum Beispiel die Bundesdruckerei oder das Informationstechnikzentrum Bund (ITZBund).
Auch Unternehmen und Organisationen, die nicht unmittelbar den Anforderungen unterliegen, sind gut beraten, sich am Mindeststandard des BSI zu orientieren. Dies gilt insbesondere für die kommunale Verwaltung (Städte und Landkreise) sowie für alle Unternehmen, die sich im Rahmen der NIS-2-Compliance oder einer ISO-27001-Zertifizierung im Bezug auf spezifische Maßnahmen im Bereich der Prävention und Detektion verbessern müssen.
Wichtige Anforderungen und Maßnahmen
Der BSI-Mindeststandard zur Protokollierung und Detektion von Cyberangriffen legt klare Anforderungen fest. Eine zentrale Maßnahme ist die Einrichtung einer zentralisierten Protokollierungsinfrastruktur, die man isoliert betreiben sollte – idealerweise ohne Internetverbindung. Der Zugriff auf diese Infrastruktur sowie auf die gespeicherten Daten muss restriktiv konfiguriert und regelmäßig überprüft werden.
Der Mindeststandard betont mehrfach die Bedeutung einer systematischen Planung und Dokumentation. Dies umfasst die Identifikation aller relevanten Datenquellen und die Festlegung von Schutzmaßnahmen für die zentrale Protokollierungsinfrastruktur. Weiterhin müssen die Ergebnisse der Planung festgehalten und kontinuierlich aktualisiert werden. Das gilt besonders bei Änderungen in der IT-Infrastruktur oder bei einer veränderten Bedrohungslage.
Ein zentraler Punkt ist die rechtliche und organisatorische Konformität: Protokolldaten dürfen nur erhoben werden, wenn die Legitimität der Erhebung geprüft wurde. Außerdem sind die Protokoll- und Protokollierungsdaten nach Ablauf der Speicherfrist zu löschen.
In der Version 2.1 des Mindeststandards hat das BSI die Anforderungen zur Speicherfrist präzisiert:
🔻 Die Speicherdauer aller Protokoll- und Protokollierungsdaten SOLLTE, je nach rechtlichen und vertraglichen Rahmenbedingungen, auf bspw. 90 Tage festgelegt werden. Aber, die abschließende Einschätzung dazu obliegt jeder Organisation selbst! Bedeutet: Auch mehr ist möglich, sofern hierfür eine betriebliche Notwendigkeit bzw. ein berechtigtes Interesse besteht.
Sicherheitsrelevante Ereignisse (SRE), ausgenommen personenbezogene Daten, und allgemeine Ereignisse, die nachweislich einem Cyberangriff zugeordnet wurden, KÖNNEN von dieser Löschfrist ausgenommen werden. Trovent empfiehlt seinen Kunden üblicherweise die SRE mindestens für 12 Monate aufzubewahren.
Was sollte protokolliert werden?
Organisationen, welche den BSI-Mindeststandard zur Protokollierung und Detektion von Cyberangriffen umsetzen, müssen – wie bereits erwähnt – die Basis- und Standardanforderungen der IT-Grundschutz-Bausteine OPS.1.1.5 (Protokollierung) und DER.1 (Detektion von sicherheitsrelevanten Ereignissen) implementieren.
Der BSI-Mindeststandard verlangt, dass unter anderem Ereignisse aus folgenden übergeordneten Kategorien protokolliert werden (aus IT-System- und Netzsicht):
- Anlegen und Änderungen von Rechten, Benutzenden und Gruppen
- Änderungen von Zugangsdaten
- Anmeldeversuche (erfolgreich und fehlgeschlagen), Abmeldungen und Zugriffe auf System-, Programm- und Dateiressourcen
- Systemstarts, Neustarts und Herunterfahren
- Ausführungen von Applikationen, Programmen und Skripten
- Installationen und Deinstallationen
- Konfigurations- und Systemänderungen
- Prozessinformationen (z. B. Start, Terminierung und Abhängigkeiten)
- System- / Datei-Integrität
- Ein- und ausgehende Kommunikationen an allen Netzgrenzen (über entsprechende IT-Systemewie Proxies, Application Layer Gateways, Router – auch virtuelle Netzgrenzen)
- Kommunikation innerhalb von Netzen
- Für jedes Ereignis: Zeitstempel, Quellsystem (Benutzer), Event-IDs …
- … und aus Netzwerksicht: Zeitstempel, Quellsystem, Zielsystem, Protokollinformationen
Zu diesen Basisdaten kommen Quellen von sicherheitsrelevante Ereignissen (SRE) hinzu. In Kapitel 1.1.1 des Mindeststandards heißt es dazu:
“Die zu protokollierenden Ereignisse werden in Protokollierungsdaten und sicherheitsrelevante Ereignisse (SRE) eingeteilt.”
Zu diesen SRE zählen auch sogenannte sekundäre sicherheitsrelevante Ereignisse, die sich beispielsweise aus Meldungen der im Einsatz befindlichen Schadsoftware-Erkennung oder eines bestehenden Intrusion Detection Systems ergeben.
Nicht nur sammeln, sondern korrelieren!
Der Mindeststandard fordert nicht nur die Protokollierung dieser grundlegenden Ereignisse aus der IT-Infrastruktur, sondern vor allem das Zusammenführen dieser Daten. Und es hat eine darauf aufbauende Detektion von potentiellen Cyberangriffen zu erfolgen.
Ziel ist es, durch die Korrelation von verschiedenen Datenquellen, inklusive bereits vorliegender sicherheitsrelevanter Ereignisse (SRE) aus Drittsystemen, Verdachtsfälle zu identifizieren (sogenannte qualifizierte SRE) und diese dann mit entsprechender Priorität zu bearbeiten.
Qualifizierte SRE: Wie erreichen Sie dieses Ziel?
Ein Teil des Weges besteht darin, Logdaten und sekundäre SRE aus bestehenden Systemen (z.B. EDR) zu sammeln. Aber wie können Sie als IT-Verantwortlicher oder Informationssicherheitsbeauftragter dafür Sorge tragen, dass auf dieser Datenbasis entsprechend qualifizierte sicherheitsrelevante Ereignisse (SRE) und veritable Verdachtsfälle identifiziert werden können?
Und vor allem: Wie gelingt Ihnen das, ohne dabei in False-Positives (Fehlalarmen) unterzugehen?
Der Schlüssel besteht darin, den BSI-Mindeststandard als ganzheitlichen Ansatz zu betrachten! Dieser besteht aus:
einer effektiven Detektionslösung, die bestehende Datenquellen maximal nutzt – sowohl “rohe” Logdaten als auch durch Drittsysteme vorverarbeitete, sekundäre sicherheitsrelevante Ereignisse.
Fachkenntnissen und Prozessen, um die Auswertung/Bewertung der SRE zu bewerkstelligen.
definierten Reaktionsprozessen, um identifizierte Verdachtsfälle zeitnah und zielgerichtet zu bearbeiten.
Hierzu heißt es vom BSI im Mindeststandard treffend in Kap. 2.3 (“Detektion”):
“[Es] MUSS ein geeigneter Prozess zur Reaktion auf begründete Verdachtsfälle geschaffen werden. Dieser MUSS erprobt und regelmäßig geprüft werden, insbesondere die Meldewege zwischen der Detektion und der Reaktion”
Detektion – mit welchen technischen Ansätzen?
Der Mindeststandard und die ihm zugrundeliegenden Grundschutzbausteine fordern an mehreren Stellen die automatisierte Detektion von sicherheitsrelevanten Ereignissen mit “Softwaremitteln”. Hierzu zählen insbesondere folgende konkrete Anforderungen:
🔻 PD.2.1.03 “Grundlegende Anforderungen”
– Zentrale, automatisierte Analysen mit Softwaremitteln MÜSSEN eingesetzt werden.
– Mit diesen zentralen, automatisierten Analysen MÜSSEN alle in der Systemumgebung anfallenden Ereignisse ermittelt und ggfs. in Bezug zueinander gesetzt werden.
🔻 PD.2.3.03 “Umsetzungsphase der Detektion”
– Die zur Detektion eingesetzten Systeme SOLLTEN in eindeutig zuordenbaren Fällen eine automatisierte Auswertung der SRE ermöglichen.
Die genannten Detektionsanforderungen können grundsätzlich mit unterschiedlichen Methoden erfüllt werden:
🔻 Regelbasiert
Erkennung von bereits bekannten Angriffsmustern, beispielsweise unter Verwendung der im MITRE ATT&CK-Framework dokumentierten Angriffstaktiken und -techniken.
🔻Anomaliebasiert
Erkennung von möglichen Angriffen mittels automatisierter Detektion von ungewöhnlichem oder außergewöhnlichem Verhalten mit Hilfe von Machine-Learning-/KI-Algorithmen.
Ein SzA (System zur Angriffserkennung) wie Trovent MDR ist eine mögliche Lösung, um die Anforderungen des Mindeststandards zur automatisierten Detektion erfüllen zu können. Das MDR-System (Managed Detection & Response) erkennt aus einer Flut von Log- und Netzwerkdaten automatisiert sicherheitsrelevante Ereignisse (SRE).
Trovent MDR setzt hierfür sowohl auf eine regelbasierte Verarbeitung als auch Machine-Learning-/KI-Algorithmen. Die Lösung betrachtet in diesem Zusammenhang alle Logdaten, die innerhalb der IT-Infrastruktur der Organisation zur Verfügung gestellt werden können. Hierzu zählen insbesondere syslog-Quellen und Windows Event Logs sowie Netzwerkverkehrsmetadaten (z.B. NetFlow).
Darüber hinaus können auch vorverarbeitete Events aus Drittsystemen – beispielsweise aus Schwachstellenscannern oder EDR-Lösungen – als sekundäre sicherheitsrelevante Ereignisse mit in die übergeordnete Detektion und die abschließende Behandlung von primären SRE und tatsächlichen Verdachtsfällen mit einbezogen werden.
Was zeichnet Trovent MDR besonders aus? Mehr als nur Detektion!
Wie bereits erwähnt: Der Schlüssel besteht darin, den BSI-Mindeststandard als ganzheitlichen Ansatz zu betrachten, bestehend aus Protokollierung, Detektion und den dazugehörigen Prozessen für die Bewertung von SRE und Reaktion.
Letzteres ist der entscheidende Aspekt. Die Anforderungen können nicht allein durch den Einsatz von “Softwaremitteln”, also von einem wie auch immer gearteten Detektions-Tool, erfüllt werden, sondern erfordern die Umsetzung wirksamer Prozesse.
Im Mindeststandard heißt es hierzu in PD.2.3.03 “Umsetzungsphase der Detektion”:
🔻 Die SRE MÜSSEN überprüft und dahingehend bewertet werden, ob sie auf einen Verdachtsfall (qualifizierter SRE) hindeuten.
🔻 Die Qualifizierung MUSS in automatisiert nicht eindeutig zuordenbaren Fällen manuell durch die Einrichtung vorgenommen werden.
In diesem Zusammenhang zeichnet sich Trovent MDR besonders aus. Das SzA beinhaltet nicht nur die technischen Mittel für die Protokollierung und Detektion, sondern umfasst auch folgende für den Gesamtprozess entscheidenden Leistungen:
Ausschluss von False-Positives (Fehlalarmen) und Bewertung der Relevanz
Detailanalyse und Anreicherung mit weiteren Informationen
Erarbeitung konkreter Handlungsschritte, um dem identifizierten Risiko zu begegnen
Fortlaufende Kalibrierung bzw. Anpassung von Detektionsmechanismen auf die Gegebenheiten der überwachten Infrastruktur
In enger Abstimmung mit IT-Verantwortlichen des Kunden – Konfiguration und Anpassung von automatischer Reaktion auf spezifische, besonders kritische SRE
Zusammengefasst ausgedrückt: Trovent MDR ermöglicht es Ihnen, wesentliche Teile der vom Mindeststandard geforderten Prozesse als Managed Service von einem ISO-27001-zertifizierten Anbieter zu beschaffen.
👉 Um ein genaueres Bild davon zu bekommen, welche Anforderungen des BSI-Mindeststandards bzw. der IT-Grundschutzbausteine durch unser Angriffserkennungssystem erfüllt werden, haben wir eine Compliance-Tabelle erstellt, welche Sie >> hier << herunterladen können.
Vorteile des Trovent MDR-Systems als System zur Angriffserkennung
Mit Trovent Managed Detection & Response erhalten Sie ein effektives System zur Angriffserkennung, das Sie aus dem Stand dazu in die Lage versetzt, die Anforderungen des BSI-Mindeststandards zur Protokollierung und Detektion von Cyberangriffen zu erfüllen.
Zudem weist Trovent MDR eine Reihe von Stärken und Alleinstellungsmerkmalen auf:
Datenhoheit on-premise
Das System kann vollständig „on-premise“ auf kundeneigener Hardware betrieben werden. Sie bewahren Ihre Datenhoheit und entscheiden wo Ihre Daten gespeichert und verarbeitet werden.
Alternativ ist auch der Betrieb auf einer Cloud-Plattform “Made in Germany” möglich, aber es besteht kein Zwang dazu.
Erkennung von komplexen Zusammenhängen und unbekannten Angriffsmustern
Der Einsatz von Machine-Learning-/KI-Algorithmen ermöglicht es, ungewöhnliches Verhalten, das nicht zwingend bekannten Angriffsmustern entspricht, automatisch zu erkennen. Es besteht keine Abhängigkeit von signaturbasierter Erkennung!
Kontextspezifische Risikobewertung
Für die effektive Angriffserkennung baut unsere MDR-Lösung über die Trovent Context-Engine automatisch Kontextwissen über die logischen Zusammenhänge in Ihrer Infrastruktur auf. Damit können im Zusammenhang mit detektierten, potentiell sicherheitsrelevanten Events für jedes Asset in der Infrastruktur fortwährend Risikokennzahlen berechnet werden.
Volumenunabhängiges Preismodell
Das Trovent MDR Preismodell ist unabhängig vom Logdatenvolumen und der Aufbewahrungsdauer – der Kunde wird nicht für die breit angelegte Einsammlung und Aufbewahrung von Logdaten “bestraft”. Stattdessen besteht für Sie ein Anreiz, ganz im Sinne von Best-Practice, möglichst viele Logdaten aus Ihrer Infrastruktur an zentraler Stelle einzusammeln und auszuwerten.
Flexible Integration in bestehende Systemlandschaften
Trovent MDR kann grundsätzlich jede beliebige Logquelle integrieren, normalisieren und einer nachgelagerten Auswertung / Detektion zuführen. Zudem ist die Integration in bestehende Systemlandschaften dank vielfältiger Schnittstellen möglich: Incident-Management, ITSM, Schwachstellenmanagement, usw.
Keine Abhängigkeit vom Anbieter und dessen Ökosystem
Grundsätzlich ist Trovent MDR nicht von einem invasivem Agent-basierenden Ökosystem abhängig, sondern verwendet nur Logdaten, die Ihre Infrastruktur ohnehin hergibt. Ein „Exit“ ist aus Kundensicht jederzeit ohne große operative Einschnitte möglich. Sie erhalten sich die Möglichkeit bei Bedarf, dank Verwendung quelloffener Software-Komponenten, wesentliche Teile des Software-Stacks eigenverantwortlich weiter zu betreiben.
Protokollierung und Detektion: Selbst umsetzen oder besser “as a Service”?
Ein wirksame Angriffserkennung erfordert nicht nur eine effektive Detektion, sondern vor allem diese Dinge:
🔻 Klare Vorfallbehandlungsprozesse
🔻 Eine fortlaufende Pflege und Verbesserung der Detektion
🔻 Minimierung von False-Positives, um das IT-Betriebsteam nicht zu belasten
🔻 Die notwendige Fachkompetenz und personelle Kapazität, um SRE zu bewerten
🔻 … und zeitnah zu bearbeiten
Um die Anforderungen der BSI-Mindeststandards möglichst schnell und unkompliziert erfüllen zu können, empfehlen wir, eine “Angriffserkennung as a Service” in Ihrer Organisation zu etablieren. Sie haben damit alles aus einer Hand, sowohl die technisch notwendigen Detektionskomponenten als auch die Bewertungs- und Reaktionsprozesse!
Für Ihr Unternehmen ergeben sich daraus eine Reihe von Vorteilen:
✅ Sie können sich auf Ihr Kerngeschäft konzentrieren
✅ Sie müssen keine eigenen Personalkapazitäten aufbauen
✅ Sie benötigen keine eigene Infrastruktur
✅ Sie greifen auf vorhandenes Expertenwissen zurück
✅ Ihr Angriffserkennungssystem ist sofort einsatzbereit
✅ Sie erfüllen den BSI-Mindeststandard kosteneffizient
Fazit
Der aktuelle BSI-Mindeststandard zur Protokollierung und Detektion von Cyberangriffen enthält klare Vorgaben, wie sicherheitsrelevante Ereignisse erfasst und analysiert werden müssen, um somit potentielle Cyberangriffe möglichst frühzeitig zu erkennen und das Risiko einzudämmen. Der Mindeststandard ist für viele Organisationen der öffentlichen Hand verbindlich, aber bietet auch der Privatwirtschaft eine sehr gute Orientierung – vor allem im Hinblick auf die zum Teil abstrakteren Anforderungen von NIS-2 und der ISO 27001.
Mit Trovent MDR können Sie nicht nur die Anforderungen des BSI erfüllen, sondern auch zur wesentlichen Verbesserung Ihrer IT- und Informationssicherheitsstrategie allgemein beitragen. Denn der Einsatz einer effektiven Angriffserkennung ist ein elementarer Baustein, um Cyberrisiken zu reduzieren und die eigene Systemlandschaft nachhaltig zu schützen.
Sie möchten unsere MDR-Lösung im Einsatz sehen? Wir stellen die Leistungsfähigkeit unserer Plattform gerne in Ihrer IT-Infrastruktur unter Beweis. Kontaktieren Sie uns und vereinbaren Sie einen kostenlosen Beratungstermin!