KH-IT Clubabend: Das Was, das Wie und radikal neue Ansätze

KH-IT

Veröffentlicht 14.11.2022 13:30, Kim Wehrs

Beim Clubabend im November 2022 lautet das Gesprächsthema „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung – Wie gehen wir mit dieser Hilfe um?“ Beispiele von Anwendern zeigten die Realisierung. Ein Vorschlag aus dem Plenum: das Krankenhaus neu denken - in radikal neuen Ansätzen. Ausgerichtet war die online-Veranstaltung vom KH-IT e.V., moderiert von Lars Forchheim, IT-Leiter und Vorstand des Bundesverbandes der Krankenhaus-IT-. Leiterinnen/Leiter e.V.  KH-IT. 

„Wir kommen an die Grenze dessen, was gefordert ist.“ So lautete der Eindruck über das Dokument „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ (OH) von Betreibern kritischer Infrastrukturen aus dem Gesundheitswesen beim Clubabend.

Die Betreiber Kritischer Infrastrukturen sind in Deutschland dazu verpflichtet, Angriffserkennung zu leisten, um ihre Informationssysteme zu schützen. Nach einer Neuerung im BSIG und im EnWG müssen Systeme zur Angriffserkennung (SzA) Bestandteil der Nachweise gegenüber dem BSI sein.

Das Dokument des Bundesamtes für Sicherheit BSI in der Informationstechnik bietet nach eigenen Angaben eine Orientierung für Betreiber kritischer Infrastrukturen sowie prüfenden Stellen zu SzA und den Anforderungen bei deren Umsetzung. Die Betreiber Kritischer Infrastrukturen sowie Betreiber von Energieversorgungsnetzen sind in Deutschland dazu verpflichtet, Angriffserkennung zu leisten, um ihre Informationssysteme zu schützen. Nach einer Neuerung im BSIG und im EnWG müssen Systeme zur Angriffserkennung Bestandteil der Nachweise gegenüber dem BSI sein.

Die Orientierungshilfe definiert ab Mai 2023 verbindliche Anforderungen für Protokollierung, Erkennung und Reaktion in KRITIS-Anlagen. Die OH fasst die verbindlichen Muss-Anforderungen der OH SzA und die referenzierten Grundschutz-Bausteine zusammen; Kann- und Soll-Kontrollen Anforderungen sind nicht berücksichtigt. Die Orientierungshilfe beschreibt Organisation und Infrastruktur zur Erkennung von Cyberangriffen (CERT, SOC, CSIRT) bis hin zur Reaktion. Inhaltlich legt die OH einen starken Fokus auf Automatisierung und Zentralisierung mit Vorgaben zur Architektur. 

 

Das Was – und das Wie 

Grundsätzlich gilt für die Gesamtheit aller Bereiche (Protokollierung, Detektion und Reaktion) und Prozesse zur Angriffserkennung in diesem Dokument, dass

•die notwendigen technischen, organisatorischen und personellen Rahmenbedingungen geschaffen werden MÜSSEN,

•Informationen zu aktuellen Angriffsmustern für technische Vulnerabilitäten fortlaufend für die im Anwendungsbereich eingesetzten Systeme eingeholt werden MÜSSEN,

•durchgängig alle zur effektiven Angriffserkennung erforderliche Hard- und Software auf einem aktuellen Stand gehalten werden MUSS,

•die Signaturen von Detektionssystemen immer aktuell sein MÜSSEN,

•alle relevanten Systeme so konfiguriert sein MÜSSEN, dass Versuche, bekannte Schwachstellen auszunutzen, erkannt werden können, sofern keine schwerwiegenden Gründe dagegen sprechen. 

Das BSI kommentiert mit Blick nach vorn: Das Dokument OH eignet sich als Grundlage für die Fortentwicklung der "Branchenspezifischen Sicherheitsstandards" (B3S) im Zuge der Integration der SzA. Nach dem BSIG regulierte Betreiber müssen dem BSI alle zwei Jahre ihre Nachweise gemäß § 8a Absatz 3 BSIG einreichen. Nachweise, die dem BSI ab dem 1. Mai 2023 vorgelegt werden, müssen auch Aussagen zur Umsetzung des § 8a Absatz 1a BSIG, also zum Einsatz von Angriffserkennungssystemen, enthalten. 

Die vielschichtige Diskussion beim Clubabend im November zeigte, dass für IT-Sicherheit besonders die Menschen und die verfügbare Zeit die Sicherheitsprobleme darstellen. Doch gerade an diesen Ressourcen mangelt es meistens. Teilnehmerkommentar:  „Wie können wir die Nutzer dazu erziehen, Sicherheit in Fläche und Frequenz umzusetzen?“

Was IT-Verantwortliche im Rahmen von Systemen zur Angriffserkennung wünschen, ist die externe Dienstleistung, um eine Lösung umzusetzen. Auch hieran besteht Mangel. Vielmehr seien inkompetente externe Berater zu beobachten, die der Klinik Lösungen aufschwatzen wollten, die in den internen begrenzten Horizont passen und im Zweifel bei den externen Beratern den Geldbeutel füllten.

Die Teilnehmer des Clubabends hinterfragten, was eigentlich zu diskutieren sei, wie sie weiterkommen könnten und was vor allem notwendig sei. „Wir verfangen uns schnell in einer technischen Diskussion über Tools", merkte ein IT-Leiter an. „Dabei will ich über neue Architektur reden, über Resilienz. Nicht darüber, welcher Anbieter mit welchem teuren System am Markt ist,“ stellte er kategorisch fest. Hinterfragt wurden Kernfelder wie IT als Kernkompetenz des Krankenhauses, Mehrwert IT und Wertschätzung des Fachpersonals. Eine Klinik ohne IT? Was passiert, wenn die IT den Stecker zieht? Ein besonderer Erfahrungswert: Tatsächlich praktizieren einige IT-Leiter diese Methode. Alle Mitarbeiter mussten auf Notfallkonzepte umsteigen. Viele aus dem Personal hätten erst dann verstanden, was es  bedeutet, die medizinische Versorgung weiterzuführen. Hier kommt auch die OH ins Spiel. Sie ist zwar ein dickes Brett, aber es lässt sich Stück für Stück daran arbeiten. Moderator Forchheim: „Wir dürfen uns nicht zurückziehen.“ Vielmehr sei entscheidend, das Thema pragmatisch anzugehen, um sicher arbeiten zu können.

Es gehe um die Grundidee, alles Vorhandene nochmals neu anzugehen. Somit ließen sich „traditionelle“ Schwierigkeiten ausräumen, nicht nur die immer noch aktiven Betriebssysteme Microsoft Windows 7 und Microsoft Windows XP. Dann kam die programmatische Aufforderung: „Lassen Sie uns das ganze System Krankenhaus neu denken - in radikal neuen Ansätzen.“

Fachliche Anregungen zu diesem übergreifenden Blickwinkel bestehen in der Community. Daher lautet der Vorschlag: Sinnvoll wäre es, einen Arbeitskreis einzurichten und vorhandene Impulse zusammenzutragen. Hier scheint der KH-IT aktiv werden zu wollen.

Ob das der Impuls zum OH-Umsetzungsgradmodell zur Bewertung der ergriffenen Maßnahmen und die Nachweiserbringung gegenüber dem BSI sein könnte?

·Neue Befugnisse für das BSI

Nach dem geänderten Bundessicherheitsinformations-Gesetz (BSIG) hat das BSI die Befugnis zur Ermittlung von Sicherheitsrisiken, Portscans bei Einrichtungen des Bundes, KRITIS-Unternehmen, Anbietern digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse. Darüber hinaus ist das BSI befugt, Systeme und Verfahren einzusetzen, die einem Angreifer einen erfolgreichen Angriff vortäuschen, um den Einsatz von Schadprogrammen oder andere Angriffsmethoden zu erheben und auszuwerten. In der Umsetzung des IT-Sicherheitsgesetzes 2.0 zeigt sich, dass das „Unternehmen Krankenhaus“ die „neue Rolle“ des BSI als zentrale Institution für Sicherheit in der Informationstechnik, Ansprechpartner und Prüfer interpretieren muss.

 



Top 5 Kritische Schwachstellen

 

Lars Forchheim, IT-Leiter und Vorstand des Bundesverbandes der Krankenhaus-IT-. Leiterinnen/Leiter e.V.  KH-IT, moderierte den November-Clubabend des KH-IT.



Autor: Wolf-Dietrich Lorenz
Foto: KH-IT


Lesen Sie mehr zum Thema "Bundesverband KH-IT"

Überdosis Informationssicherheit?
Bundesverband KH-IT
Bundesverband KH-IT

Lesen Sie hier die neuesten Beiträge