Erfolgreiche Selbstüberwachung und Alarmierung durch Zonenübergänge

Veröffentlicht am 23. August 2022 | von Andreas Erni | Cyber Defence | Cyber Security | Security Monitoring

Es ist ein Dilemma, das den IT-Verantwortlichen in Behördenorganisationen Kopfzerbrechen bereitet: Sensible Informationen dürfen ihre Sicherheitszone im Netzwerk keinesfalls verlassen, wohingegen Informationen zu (Cyber) Security Incidents die Zonengrenzen passieren können sollten. Lesen Sie in diesem Blogpost, wie selbstüberwachende Systeme diesen Konflikt ohne Abstriche bei der Sicherheit lösen.

Sensible Informationen wie beispielsweise Standorte, kryptografische Chiffrierschlüssel, IP-Adressbereiche oder Netzwerk-Topologien müssen kompromisslos vor dem Zugriff Dritter geschützt werden. Dies gelingt am besten in komplett isolierten Netzwerkzonen. In solche isolierten Zonen führen grundsätzlich keine Wege hinein und keine hinaus. Doch dieser fehlende Übergang kann zum Problem werden – nämlich dann, wenn Security and Safety Monitoring betrieben werden soll. Dieses Monitoring ermöglicht das Sammeln von spezifischen Informationen zu möglichen Cyber Security Incidents oder Informationen über Betriebsstörungen und führt im Bedarfsfall eine Alarmierung aus oder integriert sich in die Datenkorrelation mit dem Umsystem.

Jeder Zonenübergang stellt eine Herausforderung dar:

Nur definierte Information darf übertragen werden – im vorliegenden Beispiel keine klassifizierten Nutzdaten, sondern nur Resultate aus der Überwachung.
Der notwendige Informationsgehalt darf nicht verloren gehen.
Die Verarbeitungszeit muss genügend rasch sein, um Reaktionszeiten zu erfüllen.

Im Rahmen eines Information Security Management System (ISMS) im Sinne der Standardreihe ISO 27001 werden Risiken auf der operativen Stufe identifiziert und festgehalten. Durch die Definition und Umsetzung von Zonen können die Risiken auf System-, Prozess- und Prozeduralebene laufend überprüft und dadurch mimimiert werden.

Schutz und Durchlässigkeit gleichzeitig

Generell zeichnet sich im Security Monitoring ein Paradigmenwechsel ab: Ein reaktives Troubleshooting reicht heute nicht mehr aus, um die Cyber-Risiken zu bewältigen. Eine moderne Cyber Defence setzt deshalb in Anlehnung an ITIL auf proaktives Sicherheits-Management mit prädiktiven, an das System angepassten Interventionen, was die Sicherheit und die Verfügbarkeit signifikant steigert. Das heisst: Massnahmen werden ergriffen, bevor schwerwiegende Folgen eintreten. State-of-the-art sind heute Systeme, welche sich selber überwachen. Diese können in jeder Zone allfällige Unregelmässigkeiten wie Hardware-Probleme erkennen und daraus Meta-Informationen generieren. Über genau definierte Schnittstellen werden diese aus den isolierten oder teil-isolierten Zonen nach aussen transferiert. Im Operation Control Center können diese Meta-Informationen zusammengeführt, aggregiert und Entscheidungen (beispielsweise Alarmierung) daraus abgeleitet werden.

Durch diese Architektur ist sichergestellt, dass die Vertraulichkeit der sensiblen Informationen keinesfalls gefährdet wird. Gleichzeitig werden die Risiken reduziert, indem Meta-Informationen automatisch zentral ausgewertet werden können.