Kritische Infrastrukturen (KRITIS)

Wer kümmert sich um das Netzwerk?

| Autor / Redakteur: Christian Lorentz* / Julia Mutzbauer

Bei Switches und Routern müssen einzelne Ports im Notfall umgehend gesperrt werden können
Bei Switches und Routern müssen einzelne Ports im Notfall umgehend gesperrt werden können (© Tascha - stock.adobe.com)

Cyberangriffe auf digitale Infrastrukturen gehören längst zum Alltag. Nach Angaben des Weltwirtschaftsforums sind diese Attacken mittlerweile sogar das größte Geschäftsrisiko in Europa.

Wie sehr sich Cyberangriffe dabei mittlerweile auf den Alltag auswirken, zeigen die – aus Sicht der Angreifer erfolgreichen – Attacken des Jahres 2017 mit WannaCry und NoPetya. Falls solche Angriffe wichtige Infrastrukturen lahmlegen oder gar zerstören, kann dies massive Behinderungen des öffentlichen Lebens in Deutschland zur Folge haben. Schon 2015 hat der Gesetzgeber mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) Maßnahmen vorgegeben, die die Sicherheit der IT verbessern sollen. Am 3. Mai 2016 ist der erste Teil der BSI-KRITIS-Verordnung (§ 10 BSI-Gesetz) zur Umsetzung des IT-Sicherheitsgesetzes in Kraft getreten.

„Ein Kernziel ist die Verbesserung der Sicherheit durch den Schutz von IT-Systemen und Diensten“, schreibt das BSI in den Ausführungen. Denn Attacken insbesondere im Bereich der KRITIS, dazu zählen unter anderem die Strom- und Wasserversorgung, das Gesundheits- und das Finanzwesen und die Telekommunikation, haben das Potenzial, Wirtschaft, Staat und Gesellschaft in Deutschland nachhaltig zu schädigen.

Nun ist es ein Thema, Virenscanner, Firewalls sowie Back-up und Recovery-Notfallpläne für genau diese Notfälle in der Schublade zu ­haben. Ganz anders sieht es aber oftmals beim Netzwerk aus. Und für einen KRITIS-Audit müssen vielen Vorgaben auch in diesem Bereich erfüllt sein. Dazu gehört beispielsweise eine komplette Netzwerkübersicht auf Knopfdruck oder auch die Option, bei Switches und Routern einzelne Ports im Notfall umgehend sperren zu können.

Viele Organisationen haben de facto keine Ahnung, wie der aktuelle Stand ihrer Netzwerke wirklich ist, welche Geräte sich darin befinden und wie der Status der einzelnen Komponenten ist. PCs, Server, vielleicht auch noch Drucker dabei im Blick zu haben ist nur ein Aspekt.

Ein ganz anderer ist: Welche weiteren Systeme befinden sich in meinem Netzwerk, beispielsweise IP-Telefone, Router, Switches und sonstige Geräte, die ebenfalls Ziele von Angriffen werden können? Als ein Beispiel sei der großangelegte Hackerangriff auf Router aus dem Jahr 2016 zu nennen, der zeigt, dass es wirklich wichtig ist zu wissen, welche Geräte in welchem Status im Netzwerk laufen.

Händische Erfassung ist nicht zeitgemäß

Dass hierbei eine händische Erfassung der einzelnen Geräte kaum als sinnvolle Option zu betrachten ist, um einen aktuellen Überblick zu haben, ist ziemlich offensichtlich. Noch dazu ist es eher eine ungeliebte Arbeit in den IT-Teams.

Und ist diese manuelle Recherche- und Visualisierungsarbeit des Netzwerks nach mühevoller Detailarbeit schließlich abgeschlossen, ist die künstlerisch anmutende Übersichtsgraphik auch schon wieder überholt. Denn insbesondere in größeren Netzwerken werden permanent Geräte ausgetauscht, sei es wegen eines Defekts, einer Modernisierung oder einer Ergänzung des Netzwerks.

Wie viele andere Organisationen hatten die Stadtwerke Saarbrücken den Versuch einer händischen Erfassung unternommen: „Als Ergebnis unserer Mühen standen wir Administratoren vor einem riesigen Ausdruck, der gut und gerne als Wandtapete herhalten konnte und bereits kurz nach dessen Fertigstellung nicht mehr den aktuellen Stand abbildete“, erläutert Christian Schorr, Sachgebietsleiter für Service Design und Infrastruktur Services bei den Stadtwerken Saarbrücken, die Erfahrung.

Doch wie kann der Betreiber einer Organisation nach der BSI-KRITIS-Verordnung dieser Problematik begegnen? Die einzig sinnvolle Option ist hier sicherlich die ­Abkehr von der händischen Erfassung hin zur Automatisierung, denn nur diese ermöglicht die zeitnahe Erfassung wirklich jeden ­Geräts im Netzwerk.

Durch die Automatisierung aktualisiert sich die Netzwerkdokumentation permanent und kann die Zusammenhänge der Netzwerkkomponenten auf Wunsch übersichtlich darstellen. Darüber hinaus kann eine Lösung zur Netzwerkautomatisierung Veränderungen im Netzwerk auch rückwirkend anzeigen und erlaubt damit, die Zustände zu verschiedenen Zeitpunkten miteinander zu vergleichen. Außerdem erhalten Netzwerkexperten einen granularen Einblick in die Netzwerksituation und Informationen über die Struktur des Netzwerks.

Sinnvoll ergänzt wird das dynamische Dokumentationssystem durch die Aufbereitung der Daten in Diagrammen und Bestandslisten. Dies sorgt für Übersichtlichkeit und Transparenz.

Skalierbare Ansicht liefert besseren Überblick

Diese Transparenz verschafft den Administratoren dann schnell im richtigen Maßstab den bestmöglichen Überblick, denn für das Troubleshooting im Netzwerk brauchen Administratoren nicht den gesamten Überblick über alle verbundenen Komponenten. Dies funktioniert beispielsweise über Dynamic Maps. Sie bieten eine kontextorientierte Sichtweise auf die betreffenden Netzwerksegmente und stellen End-to-end-Verbindungen dar. So wird keine Komponente und keine Verbindung versehentlich bei der Suche nach Fehlern oder Optimierungspotenzialen ausgelassen. Dazu zählt auch die Darstellung der Verbindung in andere Netzwerke. Dies ist besonders nützlich bei heterogenen Netzwerkstrukturen oder der Integration moderner Software Defined Networks.

Playbooks zu statisch

In der Netzwerkanalyse haben sich sogenannte Playbooks etabliert. Sie dienen als Wissenssammlung, in der Routinen wie Starten, Stoppen, Überwachen oder Debuggen des Systems abgelegt sind. Dabei handelt es sich um Situationen, auf deren Aufzeichnung IT-Teams bei Bedarf zurückgreifen können, beispielsweise bei der Überprüfung von Sicherheitsprotokollen oder dem Erstellen von System-Backups.

Doch diese Playbooks haben einen entscheidenden Nachteil: Sie sind statisch. Sie bilden lediglich den jeweils zum Zeitpunkt ihrer Abfassung geltenden Wissensstand ab und sind deshalb extrem schnell veraltet. Hinzu kommt, dass sie sich meist nur auf einen Teilaspekt der Problemlösung beziehen. Daraus resultiert die Gefahr, dass Netzwerkexperten falsche Schlüsse ziehen, falls die beschriebene Situation wichtige Einflussfaktoren der Aufgabenstellung nicht berücksichtigt.

Und die Playbooks haben einen weiteren Nachteil: Es handelt sich oftmals um gedruckte Bücher, die nicht sofort zur Verfügung stehen, sondern erst aufwändig gesucht werden müssen. Das führt zu Verzögerungen und auch dazu, dass wiederholt völlig unterschiedliche Lösungsansätze umgesetzt werden, die nicht unbedingt zum gewünschten Ziel führen.

Der Autor Christian Lorentz
Der Autor Christian Lorentz (© NetBrain)

Der dynamische Weg zur Lösung

Aufgrund dieser Problematik empfiehlt es sich, Runbooks anstelle von Playbooks einzusetzen. Die Runbooks enthalten eine Sammlung von Prozeduren und Lösungsanweisungen und sind im Gegensatz zu den Playbooks Bestandteil einer dynamischen, automatisierten Netzwerkdokumentation und damit automatisch immer auf dem aktuellen Stand. Aufgrund ihrer Integration in das Dokumentationssystem bieten sie viele Funktionen, mit denen unterschiedliche Teams zeitgleich an der Optimierung oder Problemlösungen des aktuellen Zustands arbeiten können. Know-how, das ein Team gewinnt, steht damit auch anderen Teams unmittelbar zur Verfügung. Dabei liegen sämtliche Informationen in digitaler Form vor.

Es ist davon auszugehen, dass die Komplexität der Netzwerke weiter zunehmen wird. Händische Dokumentation ist diesem Trend sicherlich nicht gewachsen. Es stellt sich somit kaum mehr die Frage, ob eine automatisierte und dynamische Lösung benötigt wird, sondern wie schnell die Implementierung einer solchen umgesetzt werden kann. Nur dann werden die Unternehmen der BSI-KRITIS-Verordnung in der Lage sein, den gesetzlichen Anforderungen auch im Netzwerkbetrieb gerecht zu werden.

*Der Autor: Christian Lorentz ist Director Product Marketing bei NetBrain Technologies.

Update: Eine Stadt geht offline

Neustadt am Rübenberge

Update: Eine Stadt geht offline

30.09.19 - Die Stadtverwaltung von Neustadt am Rübenberge wurde Ziel eines Cyberangriffs. Die Entwicklung im Überblick. lesen

Bundesbehörden sollen Open Source bevorzugen

Beschaffung quelloffener Software

Bundesbehörden sollen Open Source bevorzugen

25.09.19 - Bundesbehörden sollen bei IT-Ausschreibungen künftig auf die Verwendung vollständig quelloffener Betriebssysteme und Anwendungen bestehen. So will es der Petitionsausschuss des Bundestags. lesen

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46040181 / System & Services)