Wichtig ist ein Security-Monitoring über alle Schichten hinweg, das die Sicherheit erhöht, ohne in die Kommunikation und den Betrieb einzugreifen.

Aus Hunderten von Alerts, die in eine Plattform einfließen, entsteht durch globale Threat Intelligence am Ende eine übersichtliche Zahl an Warnungen (Bild: Pixabay)

Ohne IT funktioniert heute im Netzbetrieb nichts mehr. Um die Energieversorgung zu sichern, spielt daher auch die IT-Security eine wichtige Rolle. Netzbetreiber, die zu den ­Kritis-Organisationen gehören, müssen besondere Anforderungen an die IT-Sicherheit erfüllen. Aber auch für alle anderen empfiehlt sich die Ausrichtung an aktuellen Best Practices, um Risiken zu minimieren. Denn Cyberangriffe nehmen immer mehr zu, und Energieversorger sind ein attraktives Ziel für Hacker. IT-Security in OT-zentrierte Umgebungen zu implementieren, ist jedoch komplex, da sich klassische Konzepte aus der IT-Welt hier nur bedingt übertragen lassen. Im Vordergrund steht zunächst immer die Verfügbarkeit der Systeme und die Safety. Security-Maßnahmen dürfen diese einerseits nicht beeinträchtigen. Andererseits werden Safety und Verfügbarkeit aber aufgrund der zunehmenden Vernetzung und Digitalisierung auch durch Cyberangriffe gefährdet. Hier gilt es einen Weg zu finden, die Sicherheit zu erhöhen, ohne in sensible Abläufe und Kommunikationsprozesse einzugreifen. Dafür ist es zunächst entscheidend, Visibilität über Security-relevante Aktivitäten in allen Bereichen der OT- und IT-Umgebung zu gewinnen – von der Feldebene über die Leitwarte bis hin zur regionsübergreifenden Vernetzung. Im zweiten Schritt können Security-Teams dann zielgerichtet und passgenau Maßnahmen umsetzen, die auf die jeweilige Schicht, deren Anforderungen und Schutzbedarf abgestimmt sind. 

Die Feldebene schützen

Die Absicherung der Feldebene stellt aus IT-Security-Sicht eine besondere Herausforderung dar. Sie ist fest in der OT-Welt verankert und arbeitet mit speziellen Systemen und Protokollen. Das hat zwar einerseits den Vorteil, dass man keine Office-IT-Komponenten schützen muss. Andererseits ­lassen sich aber auch keine klassischen IT-Security-Systeme installieren. Gleichwohl sind Industriesteuerungen und "Intelligent Electronic Device (IED)"-Komponenten angreifbar, selbst wenn sie mit speziellen Protokollen kommunizieren und keinen direkten Internetzugang haben. Es reicht aus, dass ein Anlagentechniker aus Versehen einen mit Malware infizierten USB-Stick ansteckt. Wenn es Cyberkriminellen gelingt, Sensordaten zu kompromittieren, wäre das brandgefährlich. Zudem ist die Kommunikation auf Feldebene extrem ­latenzkritisch, da Protokollinhalte meist eine Verarbeitung nahezu in Echtzeit erfordern. Wird die Kommunikation zwischen Sensoren und Aktoren verzögert, so kann dies massive Auswirkungen in der realen Welt haben. Auch eine Security-Lösung muss daher minimale Durchlaufzeiten garantieren, um die Safety und den Betrieb nicht zu gefährden. Hier eignen sich spezielle Industrie-Firewalls und Industrie-IDS/IPS-Lösungen. Wer ­lieber gar nicht in laufende Prozesse eingreifen möchte, kann Sicherheitskomponenten auch passiv an den Switches anschließen, sodass sie die Kommunikation überwachen, ohne sie zu unterbrechen. Ein solches passives Monitoring beeinflusst den Betrieb nicht, macht aber sichtbar, was auf Feldebene passiert. So können Sicherheitsverantwortliche verdächtige Aktivitäten schneller erkennen und frühzeitig reagieren. Auch im Gesamtkontext ist es wichtig, den ­blinden Fleck auszuleuchten, den die OT-Umgebung bisher aus Security-Sicht darstellt. Erst so wird eine umfassende Betrachtung der Cyber­sicherheit im Netzbetrieb über alle Schichten hinweg möglich.

IT-Security für die Leitwarten-Ebene

Die Leitwarten-Ebene ist der herkömmlichen Office-IT schon ein ganzes Stück näher als die Feldebene. In der Regel sind Leitwarten heute über herkömmliche IT-Netzwerktechnik angebunden, die TCP/IP als Protokoll und darauf aufbauende Dienste nutzt. Einige verfügen zudem bereits über direkten Internetzugang. Meist kommen Fixed-Function-PC zum Einsatz, auf denen Monitoring-Lösungen für die Überwachung der Feld-Systeme oder übergeordnete Steuerungsfunktionen laufen. Sie werden für längere Lebenszyklen konzipiert als herkömmliche Office-IT, aber in der ­Praxis nur selten upgedated. Leider herrscht hier allzu oft das Motto "Never touch a running system". Dadurch weisen viele Leitwarten-Systeme eine wachsende Zahl an Schwachstellen auf. Gelingt es einem Angreifer, in das Netzwerk einzudringen, hat er leichtes Spiel. Das Risiko für eine Ransomware-Attacke ist folglich hoch. Angriffsszenarien ähneln denen in der herkömmlichen Office-IT. Um die Leitwarten-Ebene zu schützen, können Unternehmen daher auch klassische Systeme für Endpoint-Security, Netzwerk-Security, Workload-Security und Server-Security einsetzen.

Die übergreifende Ebene nicht vergessen

Als dritte Schicht müssen Security-Verantwortliche auch die über­geordnete Vernetzung sowie angeschlossene Plattformen und Services berücksichtigen. Regionale Leitwarten sind häufig in die nationalen oder sogar internationalen Netzwerke der Energieversorger eingebunden und kommunizieren miteinander. Sie tauschen Informationen aus und müssen innerhalb einer Organisation koordiniert werden. Dazu kommen Anbindungen an andere Dienste, etwa Strombörsen, um Kapazitäten zu ­kaufen oder zu verkaufen. Solche Handelsplätze erfordern Cloud-­Infrastrukturen, Webserver, Datenbankserver und Backend-IT. Sie müssen Nutzern die Möglichkeit bieten, sich anzumelden und Daten auszutauschen. Entsprechend groß ist auch die Angriffsfläche. Aus Security-Sicht unterscheidet sich diese Ebene nicht von herkömmlichen IT-Infrastrukturen und Webshops. Daher können ­Sicherheitsverantwortliche hier auch alle Geschütze aus der klassischen IT-Security auffahren. Dabei sollten sie die Cloud-spezifischen Risiken nicht vergessen. Vor allem Fehlkonfigurationen stellen in diesem Bereich ein großes Problem dar. Sie können z. B. dazu führen, dass sensible Daten im Internet exponiert sind. Solche Sicherheitslücken lassen sich mit einer Lösung für Cloud Security Posture Management vermeiden, die die gesamte Cloud-Umgebung automatisiert nach Fehlkonfigurationen und Schwachstellen durchsucht.

Warum ganzheitliche Visibilität wichtig ist

Für den sicheren Netzbetrieb spielen alle drei Ebenen zusammen. Jede ist auf ihre Art angreifbar, und durch die Vernetzung kann sich ein Angriff am einen Ende auf das andere auswirken. Daher ist es wichtig, dass es keine blinden Flecken gibt. Security-Teams brauchen einen übergreifenden, ganzheitlichen Blick auf das Sicherheitsgeschehen in der gesamten IT- und OT-Umgebung. Wir haben bereits festgestellt, dass auf Feldebene passives Monitoring eine der wenigen Möglichkeiten ist, um die Sicherheit zu erhöhen, ohne die Safety und Verfügbarkeit zu beeinträchtigen. Aber auch auf allen anderen Ebenen spielt Visibilität eine wichtige Rolle. Denn Cyberkriminelle agieren heute so professionell, dass es ihnen früher oder später gelingen wird, in Netzwerke einzudringen. Was dann zählt, ist den Angriff möglichst früh zu erkennen und zu stoppen, um größeren Schaden zu vermeiden. Da sich Cyberattacken heute oft über einen längeren Zeitraum hinweg erstrecken, in mehreren Stufen erfolgen und verschiedene Vektoren betreffen, lassen sie sich nur dann schnell genug aufdecken, wenn man Zusammenhänge herstellen kann. Am besten gelingt dies mit einer umfassenden Threat-Defense-­Plattform, die Extended Detection & Response (XDR) einsetzt.

So funktioniert XDR

XDR sammelt Security-Daten von Sensoren in der gesamten IT-/OT-Umgebung. Diese Informationen laufen in einem zentralen Data Lake zusammen und werden dort KI-gestützt und unter Berücksichtigung globaler Threat Intelligence analysiert und korreliert. Aus den Hunderten von Alerts, die in die Plattform einfließen, entsteht am Ende eine übersichtliche Zahl an Warnungen. Diese werden in einem Dashboard visuell aufbereitet. So sehen Security-Mitarbeiter in einer zentralen Konsole auf einen Blick, was passiert und wo Handlungsbedarf besteht. Sie gewinnen ein klares Bild von einem Angriff und können leichter nachvollziehen, wie er bisher verlaufen ist und welche Systeme betroffen sind. Falls es erforderlich sein sollte, den Vorfall an das BSI zu berichten, erleichtern es die Reports der Threat Defense Plattform zudem erheblich, der Meldepflicht nachzukommen.

Gerade in vielschichtigen, komplexen IT-/OT-Umgebungen wird XDR zum nahezu unverzichtbaren Hilfsmittel. Denn ohne zentrale Threat Defense-Plattform, in der alle Security-Informationen zusammenlaufen, müssen IT-Teams Daten aus den verschiedenen Systemen und Ebenen in mühevoller Kleinarbeit zusammentragen und von Hand auswerten. Das kostet nicht nur zu viel Zeit, sondern ist angesichts der Masse an Warnmeldungen, die die Systeme ausgeben, zum Scheitern verurteilt. Denn manuell ist es kaum noch möglich, unter den ganzen False Positives die Hinweise zu entdecken, die wirklich wichtig sind. XDR kann die Zahl der Warnmeldungen dagegen um bis zu 90 % reduzieren, sodass sich Mitarbeiter auf das Wesentliche konzentrieren können. Wie gut die Technologie funktioniert, hängt u. a. mit der Qualität der eingesetzten KI und Threat Intelligence zusammen. Bei der Wahl der Lösung sollten Unternehmen daher darauf achten, dass die Plattform bei möglichst vielen Kunden weltweit aktiv ist, sodass die KI auf einen großen Daten-Pool zugreift und gut trainiert wird. Zudem sollten aktuelle Bedrohungsinformationen von führenden Sicherheitsforschern auf der ganzen Welt einfließen.

Fazit

Umfassende Visibilität zu gewinnen, wird für Unternehmen alle Branchen angesichts der wachsenden Bedrohungslage immer wichtiger. Im Energie-Sektor bildet eine Threat Defense Plattform auf Basis von XDR den Schlüssel zu mehr Cybersicherheit. Denn aktives Security-Enforcement ist auf den verschiedenen Ebenen nur in unterschiedlichem Umfang möglich. Wer genau weiß, was wo passiert, kann fokussiert entscheiden, welche Maßnahmen sinnvoll sind. Durch passives Monitoring gelingt es zudem, die OT-zentrierte Schicht besser zu schützen, ohne sie zu beeinträchtigen. Wenn die Security-Daten aller Bereiche der IT-/OT-Umgebung zusammenfließen und zentral ausgewertet werden, sind Energieversorger in der Lage, ein ganzheitliches Security-Konzept umzusetzen.

www.trendmicro.com

Udo Schneider, IoT Security Evangelist Europe, Trend Micro Deutschland GmbH, Garching

Ähnliche Beiträge