Wenn über Anforderungen der industriellen Cybersicherheit gesprochen wird, fällt häufig der Begriff des Systems zur Angriffserkennung. Doch was genau macht es aus? Und was muss es in industriellen Umgebungen können?
Text: Uwe Dietzmann, Sales Manager bei Rhebo
Die Pflicht, ein System zur Angriffserkennung (SzA) in der industriellen Infrastruktur zu betreiben, besteht explizit bislang nur für kritische Infrastrukturen (IT-Sicherheitsgesetz) bzw. kritische Anlagen (NIS2). Aufgrund der generellen Anforderungen der NIS2 gelangen aber auch alle anderen Betroffenen dorthin. Viele Wege führen eben zu einem SzA.
Die NIS2 fordert beispielsweise:
- eine regelmäßige Bewertung innerer und äußerer Cyberrisiken,
- die regelmäßige Überprüfung der eingesetzten Sicherheitsmechanismen,
- ein solides Schwachstellenmanagement und
- die Berücksichtigung der Cybersicherheit der Lieferkette.
Ohne ein System zur Angriffserkennung können diese Anforderungen nicht sinnvoll umgesetzt werden, denn sie benötigen a) Sichtbarkeit auf und in die eigenen Netzwerke und Systeme sowie b) Wege, um mit dem nicht abstellbaren Restrisikos umzugehen.
“Was heißt hier Restrisiko?”, werden Sie sich fragen. “Ich möchte 100% Cybersicherheit!”. Leider gibt es die nicht, hat es vermutlich nie gegeben. Und die Risikolandschaft wird aufgrund von Vernetzung, Abhängigkeiten und Altlasten zunehmend unüberschaubar:
- Der Großteil industrieller Systeme ist mit nur minimalen oder keinen Sicherheitsmechanismen ausgestattet. Es muss von einer hohen Dunkelziffer an (Zero-Day-) Schwachstellen ausgegangen werden, und die Ausnutzung von Schwachstellen belegt laut Auswertungen von Cyberversicherungs-Claims Platz 1 der initialen Angriffsvektoren.
- In jeder OT gibt es an der einen oder anderen Stelle ein Legacy-System oder werden Legacy-Protokolle verwendet, deren Sicherheitslücken nicht mehr gepatcht werden können (Abb. 1).
- Zugangsdaten in der OT sind häufig sehr einfach zu erraten.
- In OT-Umgebungen haben Dienstleister für die Konfiguration und Wartung der Geräte häufig umfassende Befugnisse. Infizierte Wartungslaptops oder kompromittierte Updates (Stichwort: Lieferkettenangriff bzw. Supply Chain Compromise) können somit einfach in die OT finden.
- Die IT/OT-Konvergenz sowie die Zunahme von Fernzugängen über VPN überbrücken den vergangenen Airgap zwischen Fertigung und Außenwelt. Insbesondere Edge-Geräte und VPN-Zugänge rücken zunehmend ins Visier der Angreifenden.
- Die Lieferkette wird zunehmend undurchsichtiger. Software-Entwickler greifen seit langem auf externe Bibliotheken und Softwarebausteine zurück. Auch in der Hardware befinden sich häufig Einzelteile von dutzenden vorgelagerten Lieferanten, über die man selbst keine Übersicht hat.
- Klassische Sicherheitstools für Endgeräte können in der OT aufgrund limitierter Rechenkapazitäten nur sehr eingeschränkt eingesetzt werden.
Reichen in diesen Fällen Firewalls? Oder ein Security Information & Event Management (SIEM) System?
Abb. 1: Die häufigsten Sicherheitsrisiken in der OT (Ergebnisse von Rhebo Industrial Security Assessments in Industrieunternehmen und Kritischen Anlagen)
Jede Lösung hat ihren Platz
Die kurze Antwort ist: Nein. Die etwas Längere: Ein effektives SzA ergibt sich durch das Zusammenspiel verschiedener Lösungen, die jeweils an spezifischen Stellen bestimmte Bedrohungen erkennen können.
Dieser mehrstufige Ansatz ist entscheidend, denn eine reine Perimetersicherung durch Firewalls reicht längst nicht mehr. Das zeigt die Statistik der letzten Jahre: Die Mehrheit der initialen Angriffsvektoren auf Unternehmen nutzt Schwachstellen und gestohlene Zugangsdaten. Die Angriffe umschiffen damit die Firewalls. Daraus ergibt sich die Notwendigkeit, eine weitere Instanz – eine 2nd Line of Defense – innerhalb des Perimeters aufzubauen (Abb. 2).
Die Firewalls sichern die industrielle Infrastruktur als erste Abwehrlinie an den Netzwerk- und Segmentgrenzen mittels Mustererkennung vor bekannten Angriffsstrategien und den gängigsten Risiken. Ein netzbasiertes Intrusion Detection System (NIDS) behält die Innenansicht der Netzwerke. Es besteht aus einem OT-Monitoring mit Anomalieerkennung, das sowohl CVE-Schwachstellen auf OT-Systemen identifiziert, als auch verdächtige Vorgänge erkennt. Es bildet die zweite Linie der Abwehr, indem es Aktivitäten innerhalb der Netzwerke erkennt, welchen Firewalls gegenüber blind sind. Diese schadhaften Aktivitäten reichen von ausgenutzten Schwachstellen sowie Netzwerkzugriffen mittels gestohlener Zugangsdaten, über den Eintrag von Malware über die Lieferkette (Hersteller, Dienstleister), bis zu lateralen Bewegungen erfolgreicher Eindringlinge und Konfigurationsveränderungen.
Abb. 2: Ein OT-Monitoring bildet die Innere Sicherheit in der OT-Sicherheitsstrategie
Das SIEM wiederum bildet das Mastermind der Cybersicherheit, indem es alle Datenquellen für Cybersicherheitsmeldungen intelligent zusammenführt und auswertet. Ein SIEM ist deshalb ohne Datenquellen in den jeweiligen zu schützenden Bereichen machtlos. OT-Monitoring, Logs der Endgeräte und Firewalls bilden hierbei wichtige Datenquellen. Gleichermaßen wird ein SIEM erst zu einem sinnvollen Werkzeug, wenn die Netzwerkstruktur eine gewisse Größe und Komplexität erreicht hat.
Netzwerkmonitoring in der OT in wenigen Schritten integrieren
Das kann im ersten Moment überwältigend klingen, ist im Rollout aber einfacher als gedacht. Das für OT-Umgebungen entwickelte deutsche NIDS Rhebo Industrial Protector kann als Switch-Mirrorport oder Software-Agent ohne Produktionsunterbrechung in den Fertigungslinien integriert werden.
Das NIDS liest und analysiert kontinuierlich und rein passiv die gesamte OT-Kommunikation, ohne in diese einzugreifen oder Latenzen zu verursachen. Im ersten Schritt wird zusammen mit den Expert:innen von Rhebo eine Baseline der zu erwartenden, legitimen Kommunikation erstellt. Im laufenden Betrieb werden Abweichungen von dieser Baseline dann in Echtzeit als Anomalien gemeldet und inklusive der forensischen Daten dokumentiert. Damit sind Cybersicherheitsteams in der Lage, eine 24/7-Sicherheitsüberwachung ihrer Industrieanlagen zu betreiben und eine eingehende forensische Analyse aller Sicherheitsvorfälle in der Fertigung durchzuführen. Als deutsches Unternehmen stellt Rhebo zudem sicher, dass die sensiblen Anlagendaten den Standort nicht verlassen und die digitale Souveränität gestärkt wird.
