NET 4/2022

04/22 Die konkreten Ziele des SecDER-Projektes sind: • die Erhöhung von Angriffs- und Ausfallsicherheit durch KI-ba- sierte, vorausschauende Erkennung von Cyberangriffen sowie technischen Störungen; • Entwicklung von robusten Verfahren, die eine Erkennung der Cyberangriffe und technischen Störungen in kürzest möglicher Zeit bis hin zu Echtzeit ermöglichen; • Entwicklung von Methoden zur Aggregation aller Ereignisse zu einem gesamtheitlichen Lagebild der IT-Sicherheit; • Erhöhung der Verfügbarkeit, Integrität und Vertraulichkeit durch resiliente Abwehr von Cyberangriffen und technischen Störungen. Angriffs- und Ausfallerkennung Durch immer zielgerichtetere und professionellere Cyberangriffe auf die IKT-Infrastruktur von Unternehmen ist ein alleiniger Schutz durch Firewall-Lösungen nicht mehr ausreichend. Zu modernen Sicherheitskonzepten gehören daher immer häufiger IDS-/IPS-Systeme (IDS – Intrusion Detection System, IPS – In- trusion Prevention System) zum vorausschauenden Schutz, indem kontinuierlich der Netzverkehr und Serverlogs auf Angriffe unter- sucht werden. Diese Systeme werden in der Regel an das zu über- wachende System angepasst und haben dadurch die Möglichkeit, feingranularer zu erkennen, ob ein Cyberangriff stattfindet. Zum Einsatz können dafür verschiedene Angriffserkennungssysteme kommen, wie Snort, Zeek (Bro), Samhain, Prelude oder OSSEC. Aufgrund zu vieler Alarmfalschmeldungen (False Positives) und dem notwendigen Know-how bei der Auswertung, werden IDS-/ IPS-Systeme allerdings immer mehr von SIEM-Systemen (Security Information and Event Management) abgelöst. Diese aggregieren die Logdateien verschiedener Systeme und ermöglichen deren Echtzeit- und Offlineanalyse. SIEM-Lösungen erkennen im Ideal- fall auch unbekannte Sicherheitsbedrohungen und erleichtern die Umsetzung von Compliance-Vorgaben. Bekannte Lösungen sind Logrhythm, Logpoint, OSSIM (AlienVault) oder Splunk. Die signaturbasierte Erkennung von Angriffen, wie sie in den meisten kommerziellen Systemen im Einsatz ist, hat aller- dings den Nachteil, dass nur bekannte Angriffe erkannt werden können. Systeme zur Anomalieerkennung sollen diesen Nachteil ausräumen und außergewöhnliches Verhalten auf Basis vonNormal- verhaltensmodellen automatisch entdecken. Abweichungen vom Normalverhalten von Nutzern oder von Maschinen stellen dann Hinweise auf mögliche Angriffe dar. So können auch neuartige Angriffe erkannt werden. Der Nachteil ist jedoch die potenziell hohe Anzahl an Falschmeldungen. Da die Verfügbarkeit von Energieanlagen die oberste Priorität darstellt, existieren in der Betriebsführung von solchen pei tel Communications GmbH A company of the Peiker family www.peitel.com Entwicklung, Produktion, Distribution – Alles aus einer Hand shop.peitel.com Wir sichern Kommunikation XT 420 CLR 446 CLP 446 e CEECOACH PLUS CEEMESH PRO