Keine Wahl und doch die Qual : Angriffserkennungssysteme, Detektion und Reaktion im KRITIS-Umfeld
Kritische Infrastrukturen sind in unserer zunehmend vernetzten Welt gleichermaßen von entscheidender Bedeutung für das Funktionieren unserer Gesellschaft als auch attraktive Ziele für Cyberangriffe. Bei der Sicherung dieser kritischen Infrastrukturen spielen Angriffserkennungssysteme eine entscheidende Rolle. Doch lassen sie sich dort auch einfach einsetzen?
In einer der ersten Prüfungen der Autoren war sich ein Betriebsleiter gewiss, dass seine kritische Infrastruktur (KRITIS) sicher sei. Was er damit meinte: Leib und Leben der Mitarbeiter waren vor der kritischen Infrastruktur geschützt – getreu der englischen „Safety“ haben jahrzehntelange Erfahrungen der Ingenieure die Anlagen „sicher“ gemacht. Die „Security“, der Schutz der kritischen Infrastruktur vor Angriffen anderer oder alleine schon das Erkennen solcher Angriffe, war hingegen eher Neuland.
Auch der KRITIS-Bereich setzt zunehmend auf Digitalisierung und Vernetzung. Oft kommt industrielle IT oder „Operational Technology“ (OT) zum Einsatz, die eine entscheidende Rolle in der Steuerung, Überwachung und Optimierung von Produktionsprozessen und industriellen Anlagen spielt. Im Kontext kritischer Infrastrukturen bildet die industrielle IT das Rückgrat, das für die Steuerung und Überwachung dieser lebenswichtigen Systeme verantwortlich ist. Aber auch erfahrene IT-Sicherheitsexperten stocken manchmal, sobald man die Schwelle zur industriellen IT übertritt, und fragen sich: Wie kann man sie geeignet schützen?
Spezielle Herausforderungen
Bei der industriellen IT handelt es sich um spezialisierte Umgebungen, die auf individuelle Anforderungen zugeschnitten sind und in der Regel hohe Investitionskosten bei gleichzeitig hohem Kostendruck vereinen. Daher sind diese Systeme auf sehr lange Laufzeiten ausgelegt. „Never change a running System“ ist ein Wahlspruch, der bei der industriellen IT häufig wiederzufinden ist: Viele Systeme verwenden veraltete Technik, die möglicherweise nicht mehr mit den aktuellen Sicherheitsstandards und -protokollen kompatibel ist.
Ganz abgesehen vom allgegenwärtigen Kostendruck spielt dabei häufig auch das Fehlen einheitlicher Standards eine Rolle. So hat man beispielsweise bei der Steuerung von U-Bahnhöfen zwei bis drei potenzielle Anbieter von Steuerungstechnik. Sind erst einmal die Kabel verlegt und die Systeme eingerichtet, entsteht schnell die Situation eines „Vendor Lock-in“: Ersatzteile können nur von einem Anbieter verarbeitet werden, da die Mitbewerber ihre eigenen Standards verwenden und nicht kompatibel sind.
Hinzu kommt die in der industriellen IT übliche langsame Technologieadaption – Zuverlässigkeit und Stabilität stehen im Vordergrund. Das bedeutet, dass neue Systeme teils über Jahre im Parallelbetrieb getestet werden, bevor man sie einführt. Das „neue System“ hat dann schon zur Einführung womöglich bereits zehn Jahre hinter sich und ist bei der Installation nach „normalen“ IT-Maßstäben längst veraltet.
Derart alte Systeme erschweren die Integration in die wesentlich schneller wachsenden und modernen IT-Strukturen und -Netze. Teilweise werden Daten manuell übertragen, weil bestehende Systeme schlicht nicht miteinander kommunizieren können. Solche Workarounds, etwa in Form von „USB-Stick-Schnittstellen“, bringen wiederum ganz eigene Gefahren mit sich.
Letztlich muss industrielle IT zwei Eigenschaften aufweisen, die von größter Bedeutung für die Produktionsprozesse, aber eine Herausforderung für die IT-Security sind: Zum einen sind Echtzeitfähigkeiten oft von entscheidender Bedeutung – Verzögerungen können in manchen Fällen zu schweren Betriebsproblemen oder Sicherheitsrisiken führen, teils sogar für Leib und Leben.
Zum anderen ist eine ständige Verfügbarkeit von Systemen und Prozessen, gerade bei KRITIS, unerlässlich – Ausfälle können teilweise schnell die Versorgungssicherheit der Bevölkerung gefährden.
Eine weitere Herausforderung bei den Systemen der industriellen IT ist, dass sie oft in verschiedenen Anlagen weit verstreut sind und sich aufgrund ihrer geografischen Verteilung und spezifischen Anforderungen schwer integrieren und verwalten lassen. Hier sind Stromverteiler oder Wassernetze gute Beispiele: Sie sind weit verteilt und nur schwer überwachbar.
KRITIS-Unternehmen müssen sich all dieser spezifischen Herausforderungen bewusst sein und entsprechende Maßnahmen ergreifen, um Sicherheit und Effizienz in ihren kritischen Umgebungen zu gewährleisten.
Notwendige Angriffserkennung
Durch die eingangs erwähnte Digitalisierung hat sich die gesamte digitale KRITIS-Landschaft in den letzten Jahren dramatisch verändert: Cyberangriffe werden immer ausgefeilter und können verheerende Auswirkungen auf kritische Infrastrukturen haben. Um diesen Bedrohungen wirksam zu begegnen, müssen Angriffe schnellstmöglich erkannt werden, um nicht zuletzt Abwehrmaßnahmen einleiten zu können. Hierzu dienen Angriffserkennungssysteme, die eine automatisierte Echtzeitüberwachung von Netzwerken und Systemen ermöglichen: Sie identifizieren verdächtiges Verhalten und ungewöhnliche Muster, die auf einen Angriff hindeuten könnten. Durch eine frühzeitige Erkennung lassen sich Maßnahmen ergreifen, um Schäden zu begrenzen.
Das Herzstück eines Angriffserkennungssystems ist die kontinuierliche Sammlung von Daten aus verschiedenen Quellen. Dazu gehören unter anderem Protokolldateien, Netzwerkverkehr, Datenflussanalysen und Zustandswerte. Diese Daten werden analysiert, um normales Verhalten zu definieren (die sogenannte Baseline). Abweichungen von diesen Werten (Anomalien) werden dann als Event gemeldet.
Ein weiteres häufig verwendetes Verfahren in Angriffserkennungssystemen ist die regelbasierte Erkennung: Hierbei dienen vordefinierte Regeln und Signaturen dazu, bekannte Angriffe zu identifizieren. Dies ermöglicht eine schnelle Reaktion auf bereits bekannte Bedrohungen.
Zusätzlich zur regelbasierten Erkennung verwenden moderne Systeme auch verhaltensbasierte Analysen: Diese Techniken lernen das normale Verhalten von Systemen und Benutzern und alarmieren bei Abweichungen davon, was die Erkennung neuartiger Angriffe ermöglicht. Dies geht weiter als eine reine Anomalie-Erkennung, da sich hierbei auch komplexe Verhaltensweisen abbilden lassen.
Regulatorische Anforderungen
Betreiber kritischer Infrastrukturen tragen die Verantwortung dafür, geeignete organisatorische und technische Maßnahmen zu ergreifen, um die Verfügbarkeit und Sicherheit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu gewährleisten. Hier kommt das IT-Sicherheitsgesetz ins Spiel, das am 25. Juli 2015 in Kraft getreten ist und am 18. Mai 2021 durch das „IT-Sicherheitsgesetz 2.0“ (IT-SiG 2.0) ersetzt wurde.
Mit der Umsetzung des IT-SiG 2.0 wird nunmehr in § 8a Abs. 1a BSI-Gesetz auch ausdrücklich der Einsatz von Systemen zur Angriffserkennung (SzA) genannt. Ziel der vom BSI im Herbst 2022 veröffentlichten Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung [1] ist es, den Betreibern kritischer Infrastrukturen sowie den zuständigen Prüfungsinstanzen eine Richtlinie an die Hand zu geben, um die Umsetzung dieser Sicherheitsvorkehrungen zu beschreiben.
Die Orientierungshilfe bietet klare Leitlinien, um die Implementierung von Angriffserkennungssystemen umzusetzen und so die Sicherheit kritischer Infrastrukturen zu erhöhen. Die technischen und organisatorischen Anforderungen eines Systems zur Angriffserkennung basieren im Wesentlichen auf Abläufen, die sich den Bereichen Protokollierung, Detektion und Reaktion zuordnen lassen.
Das BSI empfiehlt, hierbei ein Informationssicherheitsmanagementsystem (ISMS) zu etablieren, um die Prozesse rund um die SzA-Anforderungen besser steuern zu können – was bei den meisten Betreibern kritischer Infrastrukturen bereits implementiert sein dürfte.
Orientierungshilfe
Die Orientierungshilfe des BSI basiert in großen Teilen auf drei Bausteinen des IT-Grundschutzes: OPS.1.1.5 Protokollierung, DER.1 Detektion von sicherheitsrelevanten Ereignissen und DER.2.1 Behandlung von Sicherheitsvorfällen.
- Der Baustein OPS.1.1.5 legt fest, wie Protokolle in einem Informationssystem zu behandeln sind. Protokollierung dient dazu, relevante Ereignisse, Aktionen und Vorgänge innerhalb eines Systems zu dokumentieren. Dadurch ermöglicht sie die Nachvollziehbarkeit von Aktivitäten und bietet eine wichtige Grundlage für die forensische Analyse von Sicherheitsvorfällen.
- Der Baustein DER.1 legt den Schwerpunkt auf die Detektion von Ereignissen, die eine Sicherheitsrelevanz für das betrachtete Informationssystem haben könnten. Dabei werden nicht nur potenzielle Angriffe erfasst, sondern auch andere sicherheitsrelevante Vorfälle.
- Der Baustein DER.2.1 konzentriert sich auf die angemessene Reaktion und Behandlung von Sicherheitsvorfällen. Dieser Baustein definiert klare Prozesse und Verantwortlichkeiten für das Handeln im Falle eines identifizierten Sicherheitsvorfalls. Hierbei wird darauf geachtet, dass Schäden begrenzt und wichtige Informationen für eine spätere forensische Analyse gesammelt werden.
Alles ganz einfach, oder?
In der regulären IT-Umgebung gibt es oft Standards und Protokolle, welche die Interoperabilität erleichtern: Systeme sind zwar möglicherweise heterogen, aber es gibt in der Regel gemeinsame Schnittstellen und Kommunikationsprotokolle. Zudem verfügen „klassische“ IT-Systeme meist über ausreichend Ressourcen wie Rechenleistung und Speicherplatz, um Protokollierungsfunktionen effizient zu implementieren.
Die Angriffserkennung in einer industriellen IT-Umgebung, die industrielle Prozesse und kritische Infrastrukturen steuert, bringt wie bereits beschrieben spezifische Rahmenbedingungen mit sich, die gerade in der Detailbetrachtung maßgebliche Herausforderungen bewirken. Für verschiedene Systeme werden oft zwangsweise unterschiedliche Geräte verschiedener Hersteller eingesetzt. Diese heterogene Umgebung kann die einheitliche Protokollierung erschweren, da unterschiedliche Systeme möglicherweise unterschiedliche Protokollformate verwenden und es anders als bei der „Büro-IT“ nicht immer gemeinsame Schnittstellen gibt.
Zudem kann das Protokollieren von Ereignissen in Echtzeit die ohnehin limitierten Ressourcen industrieller IT-Systeme belasten und ihre Leistung beeinträchtigen, was gegen das Schutzziel der Verfügbarkeit arbeitet. Auch weisen einige industrielle IT-Systeme deutlich begrenzte Rechenleistung und Speicherkapazität auf und können in bestimmten Branchen (z. B. Energie- oder Gesundheitswesen) zusätzlichen Safety-Anforderungen unterliegen, was die Anpassung von Systemen für die Protokollierung oft schwierig macht, da zertifizierte Systeme nicht ohne Weiteres angepasst werden dürfen.
Die Anforderungen des BSI an Systeme zur Angriffserkennung umfassen jedoch trotz allem auch explizit industrielle IT-Systeme. Das stellt die Betreiber vor große Herausforderungen, weil Hersteller oft keine passenden Lösungen anbieten können.
Detektion und Reaktion im Detail
Im Bereich der Detektion werden mehrere Varianten eingesetzt, um etwa Malware zu finden – am häufigsten immer noch die signaturbasierte Erkennung als bewährte Methode zur Identifizierung bekannter Angriffsmuster oder schädlicher Software in Informationssystemen. Diese Vorgehensweise beruht auf vordefinierten Mustern oder Signaturen, die charakteristisch für spezifische Bedrohungen sind – sie ermöglicht die schnelle Identifikation von Angriffen, die bereits bekannt und in einer Signatur-Datenbank hinterlegt sind. In kritischen Infrastrukturen wird dies meist durch ein Intrusion-Detection-System (IDS) durchgeführt, da viele Geräte in der industriellen IT keine Malware-Scanner erlauben. Das IDS überwacht dazu kontinuierlich den Datenverkehr und die Protokolldaten innerhalb eines Netzwerks oder Systems.
Die verhaltensbasierte Erkennung ist eine weitere Methode zur Identifizierung von Sicherheitsbedrohungen, die auf der Überwachung des normalen Verhaltens von Systemen, Anwendungen und Benutzern basiert. Dabei analysiert sie das normale Verhalten von Systemen, Anwendungen oder Benutzern – Abweichungen von diesem Normalzustand können auf Sicherheitsverletzungen oder anderweitige Anomalien hinweisen.
Ähnlich funktioniert auch die anomaliebasierte Erkennung: Hierbei liegt der Fokus jedoch auf der Identifizierung spezifischer Anomalien oder Abweichungen im Verhalten, die konkret auf Sicherheitsvorfälle hindeuten. Dies kann beispielsweise eine Anmeldung außerhalb der Arbeitszeiten sein.
Alle Protokolldateien werden normalerweise zentral gesammelt, damit ein potenzieller Angreifer keine Möglichkeit hat, Protokolle zu löschen. Hierfür schreibt das BSI den Einsatz eines Security-Information-und-Event-Management-(SIEM)-Systems vor. Solche Systeme ermöglichen eine weitere Methode zum Erkennen von Angriffen: Bei der sogenannten korrelationsbasierten Erkennung werden Beziehungen zwischen verschiedenen Ereignissen analysiert, um komplexe Angriffsmuster zu erkennen. So lassen sich beispielsweise Ereignisse auf Clients mit Ereignissen auf dem Active Directory kombinieren, um Schlussfolgerungen zu ziehen.
Da jedoch nicht jedes Ereignis (potenziell) ein Angriff ist, muss fachkundiges Personal die Ereignisse bewerten – hier kommt das Security-Operations-Center (SOC) ins Spiel, in dem Ereignisse ausgewertet und bei möglichen Gefahren Reaktionen ausgelöst werden. Aufgrund von anhaltender Personalknappheit auf dem Markt, arbeiten viele SOCs als „Managed SOC“, das durch einen Dienstleister angeboten und betrieben wird.
Bei der Reaktion geht es letztlich darum, den Schaden möglichst gering zu halten und Angriffe weitestgehend einzudämmen. Hierbei wird meistens mit vorab erstellten Play- oder Run-Books gearbeitet, die akribisch die Schritte beschreiben, die im Falle eines vorher festgelegten Szenarios abzuarbeiten sind.
Im besten Fall lassen sich Angriffe automatisiert behandeln, was die automatische Ausführung vordefinierter Maßnahmen als Reaktion auf bestimmte Ereignisse oder Bedrohungen ermöglicht. Dies beschleunigt die Reaktionszeit und reduziert menschliche Fehler. Leider ist dieses Verfahren aber auch fehleranfällig, sodass es in kritischen Infrastrukturen nur selten eingesetzt wird, da eine automatische Reaktion hier die Verfügbarkeit ganzer Anlagen beeinträchtigen kann.
Typischerweise werden daher meist nur die Netzwerkschnittstellen überwacht. Hier bieten sich Intrusion-Prevention-Systems (IPS) an, die Angriffe nicht nur erkennen, sondern auch aktiv Maßnahmen einleiten können, um diese zu blockieren oder zu stoppen.
Auch hier ist jedoch abzuwägen, ob eine solche Maßnahme innerhalb von kritischen Anlagen nutzbar ist: Oft arbeiten solche Anlagen zeitkritisch oder sollen sogar Leib und Leben schützen. Daher stellt die Angriffsabwehr darin häufig eine große Herausforderung dar, da man kaum technische Maßnahmen nutzen kann – jedoch auch kaum Personal für eine manuelle Überprüfung verfügbar ist.
Fazit
Angriffserkennungssysteme sind ein wichtiger Bestandteil bei der Bewältigung von Cyber-Angriffen. Sie sind daher als Stand der Technik anzusehen, und das BSI fordert zu Recht ihren Einsatz, um kritische Infrastrukturen zu schützen.
Die Umsetzung dieser Anforderung ist jedoch sehr individuell. Nur wenige kritische Infrastrukturen sind reine IT-Umgebungen, die mit Standard-Programmen und -Prozessen behandelt werden können. Gerade industrielle IT-Umgebungen kritischer Infrastrukturen gestalten sich sehr heterogen von moderner IT bis hin zu Sensoren und Aktoren. Oft gibt es keine passenden, wirtschaftlich vertretbaren Möglichkeiten, diese im aktuellen Zustand zu überwachen.
Diese Probleme werden sich in den seltensten Fällen kurzfristig lösen lassen und stellen eher Anforderungen an die viel gepriesene Digitalisierung, welche die Probleme und Schwachstellen gegenüber Cyberangriffen erst mit sich gebracht hat. Zukünftige Digitalisierungsprojekte sollten auch im Umfeld der industriellen IT zwingend dem Grundsatz „Security by Design“ folgen.
Wenn die „Security“ bei der Entwicklung und Implementierung industrieller IT genauso präsent wäre wie die „Safety“, werden Angriffe auf zukünftig gestaltete kritische Infrastrukturen jedenfalls wesentlich einfacher zu erkennen sein.
Daniel Jedecke ist Senior Expert bei der HiSolutions AG mit den Schwerpunkten kritische Infrastrukturen und Informationssicherheit. Marius Wiersch ist Managing Consultant bei der
HiSolutions AG mit den Schwerpunkten Informationssicherheit, Risikomanagement und kritische Infrastrukturen.
Literatur
[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung, September 2022, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/oh-sza.html