Cyber Defence

Schutz für kritische Infrastrukturen

| Autor / Redakteur: Helko Kögel* | Advertorial / Susanne Ehneß

(Bild: WavebreakmediaMicro - Fotolia.com)

Am 25. Juli 2015 ist das IT-Sicherheitsgesetz (IT-SiG) in Kraft getreten. Betreiber kritischer Anlagen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen danach künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Neue Bedrohungen für kritische Infrastrukturen steigen mit der Vergrößerung der Angriffsfläche durch den Vernetzungsgrad mit dem Internet exponentiell an. Fehler, Fehlkonfigurationen, nicht behobene Schwachstellen oder unzureichender Basisschutz führen bereits heute zu zahlreichen Ausfällen. Hochentwickelte IT-Angriffe mit gezielt auf die Systembestandteile des Opfers entwickelter Schadsoftware, die sich bereits nachgewiesen eigenständig in den Netzen der betroffenen Organisationen bewegen und IT-Systeme ausspionieren können („lateral movements“), erfordern neuartige Ansätze zur Verteidigung (Cyber Defense, Cyber Resilience). In einer zusammenhängenden Betrachtung müssen dabei die IT-Systeme und -Infrastrukturen aller beteiligten Entitäten (inkl. Cloud-/IT-Provider) sowohl auf der Business- als auch auf der Process-IT liegen.

Die Herausforderung

Um gezielte IT-Angriffe („targeted attacks“) frühzeitig zu erkennen und abwehren zu können, werden häufig Security Incident & Event Management Systeme (SIEM) eingesetzt, die Maßnahmen zur Erkennung und Behandlung von Cyber-Sicherheitsvorfällen anhand von vordefinierten Use Cases generieren. Aus IT-strategischen Überlegungen macht es Sinn, solche Systeme für die Business IT im Rahmen des Betriebs eines Security Operation Centers (SOC) einzusetzen. Bereits hier zeichnet sich ab, dass weder ausreichendes Know-how noch Ressourcen zur Verfügung stehen, um Cyber-Sicherheitsvorfälle möglichst automatisch erkennen und zeitnah behandeln zu können. Verschärft wird die Sicherheitslage zusätzlich, in dem für den Wachstumsbereich der industriellen vernetzten Anwendungen und Infrastrukturen (Industrie 4.0) weder die angemessene Cyber Situational Awareness (Cyber-Lagebild und Human-Factors-Analysen) erreicht noch technologische Möglichkeiten des Sektoren-Schutzes (Schutz kritischer Infrastrukturen – KRITIS) realisiert sind.

Damit innerhalb von KRITIS-Sektoren aber auch inter-sektoral Abhängigkeiten, Interdependenzen, Kaskaden- und Dominoeffekte von gezielten Cyber-Angriffen aufgespürt werden können, sind neuartige Algorithmen in der Erkennungsleistung, angepasste Methoden des Monitorings, der Netzwerk-Forensik und der Threat Intelligence erforderlich, die den Bereich der Non-Business IT (das heißt der Process-IT) adressieren. Dazu zählen betroffene industrielle Bereiche wie MES-, Profibus-, Modbus- oder SPS-Netze (sogenannte Industrial Control Systems – ICS) und auch SCADA, vgl. BSI-Kompendium [ICS]. Als Schwerpunkt sei hier die Verhaltens- und Anomaly-Erkennung zu nennen, die sich zunehmend auf maschinelles Lernen und Clusteranalysen unter Verwendung unterschiedlicher Quellen (beispielsweise Protokollanalysatoren, DGArchive, Metadaten usw.) abstützt. Ziel dabei ist, eine Prediktionskomponente (Früherkennung und pro-aktiver Schutz) für sicherheitskritische Versorgungsinfrastrukturen dem SIEM vorzuschalten und in Kombination mit systemrelevanten ERP-Plattformen (Enterprice Ressource Planning) einzusetzen. Aufgrund der hochbitratigen IP-Verkehrsströme in der Business IT und der Varianz der Protokolle und damit verbundenen Angriffstypen und -klassen in industriellen Netzen lässt sich ableiten, dass sich besonders gut Event Stream Processing (ESP) und InMemory-Technologien effizient einsetzen lassen, um möglichst in Echtzeit reagieren und Prognosen herstellen zu können.

Der Lösungsansatz

Um die Exzellenz in der Erkennungsleistung, die Kombination aus Logfile-Korrelation, Filterung und Aggregation von Events von verschiedenen Sensordaten in einem ESP durchführen zu können, werden auf Seite der ERP-Systems exemplarisch die Loggingdaten am Beispiel SAP im Enterprise Threat Detection System (ETD) verarbeitet. Hierzu werden die aus den kritischen SAP-Modulen und die in der Risikobetrachtung ermittelten kritischen Assets und Berechtigungskonzept-relevanten Informationen bereitgestellt und über ein Framework aus Filterregeln und Algorithmen anhand von Use Cases korreliert. Die Vorauswertung der Netzwerk-basierenden Eindringversuche (Intrusion, beispielsweise auf Basis von Netzwerkprotokollen wie DHCP, NetBios, SNMP, FTP, ICMP, SSL), die Abweichungen von Berechtigungsklassen (Compliance) werden kundenspezifisch abgebildet und im Monitoring Center grafisch aggregiert präsentiert.

Auf Seite der Industrienetze werden neuartige Sensoren eingesetzt, die in der Lage sind, alle gängigen Protokolle, wie EtherCAT, Modbus, OPC, Powerlink, Profinet, Sercos, S7 usw. nach Fehlern, Abweichungen vom normierten Verarbeiten von Steuer- und Messdaten oder eben sogar manipulierten Programmen (etwa als Firmware-Update getarnte Malware) aufzuspüren. Typische Anomalien wären dann: neue unerlaubte Knoten im Netz, neue Protokolle (zum Beispiel Profinet-MAC, MAC-ICMP Redirect), Raten- und Wertebereichsverletzung, geänderte Latenzzeiten usw.

Hierzu eignen sich passive Deep Packet Inspection Technologien (DPI), die aus den Protokoll-nahen Informationen Metadaten automatisch erzeugen können und die dann in Korrelation mit den bewerteten Aggregaten der ERP-Analyse methodisch im Zusammenhang betrachtet werden. Grundlage für die Funktion, in Echtzeit alle unbekannten Vorgänge (White Listing) zu melden, sind die deterministischen Prozesse, die innerhalb einer Industrieanlage oder eines kritischen Industrienetzes geplant ablaufende Kommunikation (u.a. auch im Sinne der Security & Safety).

Somit können systemkritische Logistik-relevante Warenströme in Korrelation mit Verkehrsinfrastruktur-Analysen für Engpässe im Bereich der Lebensmittelversorgung oder langanhaltende Störungen in der Stromversorgung von Energieverteilnetz-Betreibern im Kontext von fehlkonfigurierten Last- und Energiedatenmanagement-Systemen (Smart Grids) intersektoral zu bedeutsamen Erkenntnissen führen.

Hierzu wird im ersten Schritt eine über klassische SOC-Werkzeuge und Business IT Betriebsführung hinaus gehende dedizierte IT-SiG-konforme Plattform für jeden KRITIS-Sektor notwendig sein, um intra-sektorale Anomalien und für den Sektor relevante Angriffsmethoden und Schadprogramme detektieren und Sofortschutz-Maßnahmen einleiten zu können. Parallel werden Meldungen gemäß IT-SiG dem Bundesamt für Sicherheit in der Informationstechnik seitens der KRITIS-relevanten Betreiber zur Verfügung gestellt.

Erst das Zusammenspiel schafft Sicherheit
Erst das Zusammenspiel schafft Sicherheit (Bild: ESG)

Ausblick

Die automatisierte Überwachung und das Monitoring in Echtzeit, die Protokolle- und Logdatenauswertung aus der Business IT (ERP) und aus den kritischen Industrienetzen heraus bilden einen Quantensprung im Bereich der Cyber Threat Intelligence und Critical Data Analytics für die Sektoren-übergreifende Krisenfrüherkennung und die Einleitung präventiver Sofortmaßnahmen.

Die ESG Elektroniksystem- und Logistik-GmbH entwickelt dazu auf Basis von Open-Source-Technologien in Kombination mit neuartigen Sensoren und Auswertesystemen ein Security Prevention & Response Center (SPRC). Dieses bietet auch KRITIS-Pakete für unterstützende IT-/Cloud-Service-Provider und Unternehmen, die nicht direkt unter das ITSiG fallen. Kunden haben die Möglichkeit, on-premise-Plattformen einzusetzen oder SPRC-Dienste zu buchen, die beginnend von einem Basisschutz, über den erweiterten Basisschutz, bis hin zum Enterprise-Paket umfassende Sicherheit entlang von angemessenen und wirksamen Sicherheitsmaßnahmen gemäß der Controlling-Listen der ISO 27001-/ISO 27005-/ISO 27019-Auditoren technisch umzusetzen. Die ESG unterstützt dabei, die Härtung der IT-Systeme und Netzinfrastrukturen durch zusätzliche Reaction Services auszubauen (etwa Secure Software Engineering, Source Code Analysen, Penetration & Vulnerability Assessments, Fuzzing, Exploiting).

Der Autor: Helko Kögel
Der Autor: Helko Kögel (Bild: ESG)

* Helko Kögel, Leiter Cyber Security, ESG Elektroniksystem- und Logistik-GmbH

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44237182 / Fachanwendungen)