Licht ins Dunkel bringen

Bild 2. Die Anomalieerkennung meldet in Echtzeit einen neuen Teilnehmer und dessen Aktionen in der OT.

Bild 2. Die Anomalieerkennung meldet in Echtzeit einen neuen Teilnehmer und dessen Aktionen in der OT. (Quelle: Rhebo)

Der Weg zu einer ganzheitlichen Absicherung der OT beginnt mit der Herstellung der Sichtbarkeit. Denn nach wie vor wissen die wenigsten Betreiber, was genau in ihrer Netzleit- und Fernwirktechnik passiert. Welche Geräte sind dort verbaut? Wie interagieren diese? Welche Protokolle kommen zur Anwendung? Sind die Firmwares aktuell? Sind die Passwörter sicher? Gibt es ungewollte Kommunikation? Nach der Risiko- und Schwachstellenanalyse, die im Rahmen von Stabilitäts- und Sicherheitsaudits in der OT von EVU durchgeführt werden, gibt es regelmäßig überraschte Gesichter bei den Betreibern. Zum Beispiel dann, wenn herauskommt, dass die Mitarbeiter über die Netzleittechnik öffentliche Messenger-Dienste nutzen. Im Durchschnitt identifiziert ­Rhebo mittels OT-Monitoring allein beim Audit 23 Anomalien, die sicherheitsrelevant sind oder (zum Beispiel durch Fehlkonfigurationen und technische Fehlerzustände) die Verfügbarkeit gefährden.

Das bei den Audits eingesetzte industrielle Netzwerkmonitoring Rhebo Industrial Protector schafft die Sichtbarkeit in der OT, die auch für die Risikoanalyse nach ISO 27000 wichtig ist. Alle aktiven Geräte, Verbindungen, Eigenschaften und Kommunikationsmuster werden dokumentiert und visualisiert. Die Kommunikationsmitschnitte, die in der Regel nicht mehr als 14 Tage dauern und keiner aufwendigen Installation bedürfen, werden anschließend auf bereits vorhandene Schwachstellen, Unregelmäßigkeiten und verdächtige Kommunikation untersucht. Auf dieser Basis kann die OT-Kommunikation bereinigt und ein autorisiertes Verhaltensmuster definiert werden. Gleichzeitig lässt sich ein vollständiges Asset Inventory aufsetzen. Beides bildet die Blaupause für das OT-Monitoring mit Anomalieerkennung, das im Anschluss in Betrieb genommen wird.

Der Übergang vom Auditbetrieb zum Regelbetrieb ist dabei reibungslos. Bei Bedarf können weitere Sensoren in zusätzlichen Anlagen schnell hinzugefügt werden. Vorteilhaft ist, wenn bereits Smart Devices wie Sicherheitsgateways, Edge-Computing-Geräte und Substation Server zum Beispiel von Barracuda, Bosch Rexroth, Cisco, Insys icom, Paessler, RAD, Siemens Ruggedcom und Welotec in der OT genutzt werden. Denn dann können die Sensoren des Monitoring als Software-Container einfach in die existierenden Geräte integriert werden. Das zeitaufwendige Installieren physischer Sensoren sowie das Konfigurieren des Netzwerks entfällt.

Anschließend wird die gesamte Kommunikation innerhalb der OT kontinuierlich und passiv auf Vorgänge überwacht, die vom autorisierten Kommunikationsmuster abweichen. Diese, als Anomalien bezeichneten Vorgänge, umfassen unter anderem:

  • neue Teilnehmer in der Netzleittechnik
  • neue Protokolle in einer Verbindung
  • neue Verbindungen zwischen bekannten Teilnehmern (unter anderem von Wartungslaptops ausgehend)
  • neue Verbindungen zum oder
  • vom Leitstand
  • Netzwerkscans
  • Kommunikation auf
  • unbekannten Ports
  • erfolglose Zugriffsversuche
  • Kommunikationsveränderungen auf autorisierten Verbindungen und ­Accounts
  • Infektionsversuche zum Beispiel durch Ransomware.

Die Anomalien werden in Echtzeit an die zentrale Software-Anwendung in der Leitwarte gemeldet (Bild 2). Dort können sie anhand der mitgelieferten forensischen Daten und Risikobewertung analysiert werden sowie notwendige Gegenmaßnahmen eingeleitet werden. Die Anomalieerkennung greift selbst nicht in die Vorgänge ein. Die Entscheidungshoheit über den Umgang mit verdächtigen Vorgängen obliegt voll und ganz der Leitwarte, um die empfindlichen Prozesse der Stromversorgung nicht zu gefährden. Bei Bedarf kann auch auf Rhebo-Experten zurückgegriffen werden. Diese unterstützen beim Bewerten kritischer Vorfälle oder betreuen das OT-Monitoring im Rahmen eines Managed Service.

Die Betreiber haben mit dem OT-Monitoring mit Anomalieerkennung somit jederzeit vollständige Sichtbarkeit in ihre OT und werden frühzeitig über verdächtige Vorgänge informiert. In Verbindung mit Firewalls und der oft bereits existierenden IT-Sicherheit schaffen sie nicht nur ein System zur Angriffserkennung, das die Infrastruktur von der Zentrale über die Leitwarte bis zum Umspannwerk überwacht. Sie schaffen auch die Grundlage, um selbst neuartige Angriffsmuster und Zero-Day-­Exploits zu erkennen, bevor es zum Schadensfall kommen kann.

Klaus Mochalski, CEO, Rhebo GmbH, Leipzig, info@rhebo.com

2 / 2

Ähnliche Beiträge