Vernetzung als Gefahrenquelle

Die größte Gefahr geht heute von der Mensch-Maschine-Schnittstelle aus.
Die größte Gefahr geht heute von der Mensch-Maschine-Schnittstelle aus (Bildquelle: F-Secure)

Die größte Gefahr geht heute von der Mensch-Maschine-Schnittstelle aus – denn der Mensch ist das wichtigste Einfallstor für Schadsoftware. Sie verbreitet sich z. B. über E-Mail-Dateianhänge oder die unbeabsichtigte Installation von kompromittierten Programmen. Lange Zeit wurde daher die strikte Segregation der Betriebsanlagen vom internetfähigen Unternehmensnetzwerk als bestes Sicherheitsverfahren gesehen. Zurzeit allerdings, in Zeiten des Internet of Things (IoT), schreitet auch bei der Betriebstechnik die Vernetzung voran – etwa bei der Datenabfrage für die Betriebssteuerung und die Unternehmens-Planung. Jedes Gerät mit IoT-Funktionalität, das in die Betriebstechnologie verbaut ist, stellt ein potenzielles Einfallstor für Schadsoftware dar.

Infizierte Unternehmensnetz­werke öffnen so den Weg in die Scada-Systeme der Betriebsanlagen, wenn nicht mit unidirektionalen Gateways und Firewalls, VPN und per Multi-Faktor-Authentifikation entsprechende Sicherheitsvorkehrungen getroffen werden. Bei vernetzten Komponenten ist ein aufwendiges Auditing nach einer fest geregelten Rechtehierarchie äußerst wichtig – nur so können Sicherheitsvorfälle in der IT-Forensik aufgearbeitet werden. Der Datenverkehr von ICS-Networks sollte möglichst statisch auf spezifische Systeme und Protokolle begrenzt werden, damit Anomalien besser entdeckt werden können.

Die Basics der IT-Security für die Energiewirtschaft

Neben den genannten Grundregeln in der Organisation des Zusammenspiels von Operational Technology und Unternehmensnetzwerk gibt es eine Vielzahl weiterer Maßnahmen, die für den Schutz von ­kritischer Infrastruktur unverzichtbar sind: An allen Schnittstellen der ICS-Netzwerke müssen »Intrusion-Detection-Systeme« (IDS) installiert werden, die unberechtigtes Eindringen erkennen und melden. Auf jedem Endgerät des ICS-Netz­werks muss zumindest eine traditionelle AV-Software installiert sein. Um den gegnerischen Zugriff über die Mensch-Maschine-Schnittstelle oder andere Geräte zu verhindern, müssen stets die aktuellen Security-Patches aufgespielt und aktiviert sein. ICS und traditionelle IT-Netzwerke sind so unterschiedlich, dass Experten aus beiden Fachrichtungen in cross-funktionalen Teams eng zusammenarbeiten müssen. Ein vorab definierter Reaktions- und Wiederherstellungs-Plan sorgt dafür, dass entsprechend trainierte Teams Schäden schnell beheben können. Ein gut implementiertes Monitoring ermöglicht eine effiziente Reaktion auf Vorfälle und verringert die Zeit der Systemwiederherstellung.

Was tun? SIEM, EDR oder MDR?

Eine wirkungsvolle Bedrohungsprävention ist der Grundbaustein der Cybersicherheit. Vorbeugung allein reicht aber nicht aus. Angriffe müssen zuverlässig erkannt (Detec-tion) und beantwortet werden (Response).

Eine automatisierte Lösung bieten Tools für das Security Information & Event Management (SIEM). Solche Inhouse-Lösungen sind zeitaufwendig in der Implementierung und benötigen fähige Experten im Team. Nach einer Vorhersage von Frost & Sullivan werden im Jahr 2022 allerdings weltweit rd. 1,8 Mio. Cybersecurity-Experten fehlen. Für Unternehmen der Energiewirtschaft dürfte es also eine große Schwierigkeit darstellen, erfahrene »Threat-­Hunter« ausfindig zu machen, anzustellen und zu bezahlen. Da Cyberattacken sich üblicherweise auch nicht an die Geschäfts­zeiten halten, ist für exponierte Zielunternehmen der teure Schichtbetrieb rund um die Uhr in einem eigenen Security Operations Center unerlässlich. Denn wenn das SIEM anschlägt, ist eine sofortige Reaktion gefordert.

Besser: Endpoint Detection & ­Response (EDR)

Fortschrittliche EDR-Lösungen automatisieren das Monitoring aller wichtigen Aktivitäten. Die Lösungen helfen dabei, Gefahren schnell zu isolieren und Gegenmaßnahmen zu ergreifen. Das bedeutet, dass das IT-Team die Erkennungen innerhalb der normalen Arbeitszeit analysieren kann und die Automatisierung sich um alles Weitere kümmert. Für die schnelle Reaktion auf schwerwiegendere Vorfälle und die Beseitigung der Bedrohung gibt es Security-Anbieter als Ser­vice-Provider, deren Teams buchbar sind.

Externes Wissen einbinden: ­Managed Detection & Response (MDR)

Die Überwachung der gesamten Unternehmensnetzwerke gleicht zumeist einer Suche im Heuhaufen. Bei einer Kundeninstallation mit 1 300 Knotenpunkten erfassten die von F-Secure installierten Sensoren innerhalb eines Monats rd. 2 Mrd. einzelne Ereignisse, von denen nach einer Verhaltensanalyse in Echtzeit 900 000 verdächtige Ereignisse übrigblieben. Diese wurden durch besondere »Broad Context Detection«-Mechanismen weiter untersucht, wodurch die Threat-Hunter die Zahl der Anomalien auf nur noch 25 eingrenzen konnten. Diese 25 wurden dann im Detail analysiert, 15 davon wurden als echte Bedrohungen bestätigt.

Beim MDR unterstützt der Security-Dienstleister nicht nur bei der Implementierung einer Sicherheitslösung mit entsprechenden Prozessen auf der Basis einer maßgeschneiderten Analyse, sondern steht mit seinem Team von Threat-Huntern und Forensik-Experten auch rund um die Uhr bereit, um Anomalien zu erkennen, auf ihr Bedrohungspotenzial hin zu überprüfen und zu bekämpfen. Er betreibt in der Regel rund um die Uhr besetzte Notfallzentren und kann seine Leistung bei Bedarf schnell skalieren. Zusätzlich stellen einige Anbieter auch einen On-Site-Incident-Response-Service, der beim Kunden vor Ort die Teams unterstützt.

Mittelständische Unternehmen werden häufig einen vollständigen MDR-Service in Anspruch nehmen. Große Organisationen, die bereits über eigene Security-Experten ver-fügen, können mit MDR Lücken in ihrer Abdeckung schließen, etwa beim konkreten Threat-Hunting. Entscheidend ist es jedenfalls, einen langfristigen Ansatz der IT-Sicherheit zu verfolgen. Wer nur über die kurzfristigen Kosten für die Reaktion auf Vorfälle nachdenkt, unterschätzt das Risiko von erheb­lichen langfristigen Schäden, die ein erfolgreicher Angriff gerade in der Energiewirtschaft nach sich ziehen kann.

Rüdiger Trost (ruediger.trost@f-secure.com)
2 / 2

Ähnliche Beiträge