Formulare erzeugen
Um den Verantwortlichen im Network Operations Center (NOC) der Energieversorger die Arbeit zu erleichtern, sollte das SIEM im Fall der höchsten Sicherheitsstufe automatisch ein Sicherheitsformular erzeugen. Dort sollte aufgeführt sein, welche Meldungen wann festgestellt wurden und welche Komponenten diese Meldungen abgesetzt haben. Der Verantwortliche im NOC kann dann überprüfen, ob sich die Vorgänge im Netzwerk etwa durch Störungen oder Wartungsarbeiten erklären lassen. Ist das nicht der Fall, kann er einen Sicherheitsvorfall auslösen und das Formular direkt an ein übergeordnetes ISMS (Information Security Management System) beziehungsweise den vom IT-Sicherheitsgesetz geforderten Informationssicherheits-Beauftragten weiterleiten. Dieser muss dann einschätzen, wie schwerwiegend der Vorfall ist und das Formular dann gegebenenfalls an das BSI übermitteln.
Richtig dimensionieren
Die Software-Plattformen für ein SIEM können schnell hohe Lizenzkosten verursachen. Um die wirtschaftlichste Lösung zu finden, sollten Energieversorger die unterschiedlichen Lizensierungsmodelle genau unter die Lupe nehmen und sich für die Variante entscheiden, die ihren individuellen Bedingungen am besten entspricht. Da in vielen Prozessnetzwerken das Datenaufkommen eher gering ist, wird in vielen Fällen eine nach Volumen lizensierte Software-Lösung am kostengünstigsten sein. Um nicht überdimensioniert zu sein, sollte die SIEM-Lösung außerdem gezielt auf die eigene Infrastruktur und deren Schutzbedarf zugeschnitten werden. Um diesen festzustellen, bietet sich eine umfassende und detaillierte Risikobetrachtung aller Betriebsabläufe an. Zudem sollte das für die SIEM-Lösung zu erwartende Datenaufkommen abgeschätzt werden.
Laufend betreuen
Ein SIEM ist kein System, das einmalig eingerichtet wird und fortan als Selbstläufer agiert. Damit das Prozessnetzwerk mit dem SIEM auch wirklich laufend überwacht wird, müssen die Prozesse im Rahmen der Managed Security Services eines Energieversorgers genau definiert sein. Nur wenn die Abläufe und Zuständigkeiten klar benannt sind, ist sichergestellt, dass jeder Security-relevanten Information nachgegangen wird.
Des Weiteren sind Störungen, Wartungen und Veränderungen in der Infrastruktur beim Betrieb und im Reporting zu berücksichtigen. Als hilfreich hat sich erwiesen, aufgelaufene Meldungen durch einen Betriebshabenden prüfen und gegebenenfalls quittieren zu lassen. Um das SIEM ständig auf dem neuesten Stand zu halten, empfiehlt sich außerdem die Zusammenarbeit mit Security-Netzwerken wie UP KRITIS und der Allianz für Cybersicherheit. Sie gewährleistet, dass man ständig über aktuelle Bedrohungslagen und neue Angriffsmuster im Bilde ist. Weitere hilfreiche Sicherheits-Networking-Partner können Netzaktivkomponenten-Hersteller, Hochschulen und Forschungszentren sein. Vor allem letztere widmen dem Thema SIEM derzeit eine besondere Aufmerksamkeit.
Ein richtig aufgesetztes SIEM unterstützt Energieversorger nicht nur dabei, ihrer gesetzlichen Meldepflicht nachzukommen. Indem es einen Cyber-Angriff frühzeitig "lautstark" werden lässt, gewinnen die Betreiber des Prozessnetzwerks Zeit, um ihn einzudämmen, bevor sich der Angreifer Zugriff auf die Systeme verschafft und damit ernsthafte Schäden anrichten kann. (sh)