Lückenlose Sicherheitsstrategie

Anomalieerkennung im Steuernetz Kritischer Infrastrukturen

| Autor / Redakteur: Klaus Mochalski / Redaktion IoT

Anomalieerkennung im Fernwirknetz Kritischer Infrastrukturen.
Anomalieerkennung im Fernwirknetz Kritischer Infrastrukturen. (Foto: pixabay.)

Quizfrage: Was war gut an WannaCry? Der Ransomware-Angriff hat zumindest die Welt wachgerüttelt. Der Vorfall hat aber nicht nur gezeigt, dass längst auch industrielle Steuernetze angreifbar sind.

Die Erpressersoftware hat bewiesen, wie blind die gängigen Sicherheitslösungen eigentlich sind. Anstelle sich auf eine vordefinierte Gefahrenabwehr zu beschränken, muss die Antwort eine lückenlose Sicherheitsstrategie sein. Eine Möglichkeit ist die Anomalieerkennung.

Kritische Infrastrukturen (Kritis) und Industrieunternehmen mit vernetzter automatisierter Produktion stehen bei der Realisierung der Netzwerksicherheit vor vier grundlegenden Dilemmas:

  1. Verzögerte Reaktionszeiten der IT-Sicherheitslösungen
    Gängige Sicherheitslösungen für Netzwerke wie Virenscanner, Firewalls und Intrusion-Detection-Systeme haben ein grundlegendes Problem: sie erkennen ausschließlich Gefahren, die vom jeweiligen Sicherheitsdienstleister (z. B. Kaspersky oder Symantec) im Vorfeld als solche definiert wurden. Sind die Gefährdungen noch unbekannt, erkennen auch die IT-Sicherheitslösungen diese nicht. Eine Infektion ist damit unvermeidbar.
  2. Programmierlücken in eingesetzten Softwares
    Hinzu kommen Sicherheitslücken – sogenannte Backdoors – in Betriebssystemen oder anderer Software, die selbst dem Hersteller entweder unbekannt sind oder von diesem aus verschiedenen Gründen offen gehalten werden. Im Fall von WannaCry wurde bekanntermaßen eine Hintertür im Windows-Betriebssystem genutzt, die verschiedenen Akteuren – u.a. der US-amerikanischen National Security Agency NSA – lange bekannt waren. Microsoft erfuhr sehr verspätet von dieser Sicherheitslücke und veröffentliche erst im März dieses Jahr das Sicherheits-Patch, um diese zu schließen.
  3. Sicherheitslücken durch verzögerte Updates
    Doch selbst wenn der Software-Hersteller alle Sicherheits-Patches veröffentlicht hat und der IT-Sicherheitsdienstleister mit seiner Gefahrenliste up-to-date ist, bleibt das gängige Problem verzögerter oder ausgelassener Aktualisierungen bei den Unternehmen. Das Credo »Never change a running system« ist aus guten Gründen noch immer weit verbreitet. So lange Programm-Updates zu Störungen im eigenen Netzwerk führen können und eine Prüfung auf Kompatibilität aufwendig ist, werden Softwareaktualisierung so weit hinausgezögert, bis es zu spät ist.
  4. Risikosteigerung durch Industrie 4.0 und Industry of Things (IoT)
    Bei allen Vorteilen der fortschreitenden Vernetzung von Netzwerken und der Abflachung der Automatisierungspyramide, steigt auch die Anfälligkeit der Steuertechnik in Kritis und Industrie. Die Steuernetze werden zum einen komplexer. Zum anderen werden sie nach außen geöffnet – durch VPN-Zugänge, den Zugriff über WLAN und die Anbindung an weitere Netzwerke oder das Internet. Die Effizienzsteigerung des industriellen IoT lässt auch eine offene Flanke in der Steuernetzsicherheit entstehen.

Was also tun, wenn sowohl IT-Sicherheitslösungen als auch Softwarehersteller nicht wissen, welche Gefahren sie übersehen und die eigene IT-Infrastruktur ohnehin anfällig auf ständige Sicherheitsupdates reagiert?

Eine selbstlernende Anomalieerkennung ist lückenlos

Anstelle sich auf die Abwehr bekannter Gefahren zu fokussieren, braucht es eine Lösung, die grundsätzlich Anomalien in Netzwerken meldet. Anomalien beschreiben hierbei jede Veränderung der erlaubten und bekannten Standardkommunikation in Steuernetzen. Dieser Ansatz ist insbesondere in industriellen Steuernetzen möglich.

Diese sind durch eine sich wiederholende und vorhersagbare Kommunikationsstruktur geprägt. Fertigungsprozesse und die Leitwartensteuerung Kritischer Infrastrukturen folgen klar definierten Befehlsstrukturen und Kommunikationsmustern. Im Gegensatz zur Office-IT ist somit die Definition einer Standardkommunikation viel leichter möglich. Über einen kontinuierlichen Abgleich der aktuell ablaufenden Kommunikation mit diesem Standardmuster können Veränderungen lückenlos erkannt und für die Überprüfung an den Betreiber gemeldet werden.

Grundlage dieser Funktion ist eine detaillierte Analyse der Datenpakete auf Inhaltsbasis. Für die Anomalieerkennung reicht das Auslesen der Sender, Empfänger und ggf. noch einer URL nicht aus. Vielmehr müssen die Datenpakete selbst komplett transparent gemacht werden. Hierfür kommt die sogenannte Deep-Packet-Inspection-Technologie zum Einsatz. Diese liest auch die eigentlichen Befehle aus, welche in den Datenpaketen »versteckt« sind. So haben Steuernetzadministratoren stets 100 % Transparenz.

Weiterhin darf die Sicherheitslösung nicht ausschließlich an den Peripherien des Netzwerkes sitzen. Anstelle nur die Grenzen zu schützen, wird ausnahmslos jede Kommunikation innerhalb des Netzwerkes überwacht, analysiert und mit der Standardkommunikation abgeglichen. Nur so wird eine lückenlose Meldung von Anomalien gewährleistet.

Dieser Ansatz garantiert, dass ganz unabhängig vom Gefährdungsvektor (Hintertür, Fremdzugriff, Schadsoftware, schleichende Manipulation) jede verdächtige Handlung im Steuernetz gemeldet wird – unabhängig davon, ob diese bereits als Gefahr bekannt ist oder nicht. Ein Zugriff über eine Hintertür im System wird sofort als neuer Kommunikationspfad erkannt und dem Administrator angezeigt. Ein Schadprogramm wird z. B. als bisher unbekanntes Protokoll wahrgenommen und gemeldet. Eine Manipulation der Steuerbefehle identifiziert die Lösung als veränderte und somit verdächtige Kommunikationsmuster.

Anomalieerkennung in der Praxis

Die Sicherheitslösung » Anomalieerkennung« wirkt dabei minimal-invasiv und rückwirkungsfrei. Eine Installation auf Steuernetzkomponenten ist nicht erforderlich. Die Anomalieerkennungssoftware wird sicher auf einem separaten, autonomen Server installiert, der keinerlei Rückwirkung auf das Steuernetz zulässt. Die Installation und der Betrieb erfolgen dabei immer nach demselben Ablauf:

  1. Verbindung des Anomalieerkennungsservers mit dem Steuernetz über passive Mirror Taps oder Switches.
  2. Analyse der Netzwerk- und Kommunikationsstruktur. Dabei werden sowohl alle aktuell laufenden Datenpakete als auch alle Teilnehmer im System und deren Abhängigkeiten visualisiert.
  3. Initiale Bereinigung des Netzwerkes auf Basis der Erstanalyse. Hierbei werden unbekannte Teilnehmer entfernt, nicht sinnvolle oder gefährdende Verbindungen zwischen Komponenten getrennt und verdächtige Kommunikationsmuster analysiert und bei Bedarf beendet.
  4. Die Anomalieerkennung definiert über maschinelles Lernen binnen weniger Minuten die Standardkommunikation im Steuernetz. Diesem Basismuster kann der Administrator bei Prozessänderungen später selbstständig neue Muster hinzufügen oder alte Muster entfernen.
  5. Die Anomalieerkennung überwacht in Echtzeit und lückenlos den gesamten Kommunikationsverkehr innerhalb des Steuernetzes und meldet alle nicht erlaubten bzw. verdächtigen Kommunikationen, Zugriffe und Handlungen im Steuernetz.
  6. Der Administrator kann auf einem übersichtlichen Dashboard alle Meldungen in Echtzeit einsehen, Details abfragen und eine Entscheidung über die weitere Handhabung einer verdächtigen Kommunikation fällen.

Das Monitoring des Steuernetzes erfolgt somit ganzheitlich, lückenlos und in Echtzeit. Die Administratoren haben zu jedem Zeitpunkt volle Transparenz über alle Vorgänge im Steuernetze und können schnell und effektiv reagieren.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 0 / Technologie)