Suchen

Cybersecurity Netzwerk-Monitoring: Passiv, Aktiv oder beides?

| Autor / Redakteur: Maximilian Gilg* / Clara Hartmann

Können Cybersicherheitsbedrohungen frühzeitig prognostiziert und so verhindert werden? Durch die Verknüpfung von passivem und aktivem Monitoring - dem sogenannten hybriden Monitoring – müssen keine potenziellen Risiken mehr in Kauf genommen werden.

Firmen zum Thema

Es gibt viele Mythen und Missverständnisse in der ICS-Sicherheit, die noch aufgeklärt werden müssen.
Es gibt viele Mythen und Missverständnisse in der ICS-Sicherheit, die noch aufgeklärt werden müssen.
(Bild: gemeinfrei / Pixabay )

Industrielle Steuerungssysteme (Industrial Control Systems/ICS) sind die Arbeitspferde unserer physikalischen Welt. Diese Systeme sind zunehmend mit dem Internet verbunden, sind in vielen Fällen virtualisiert und bieten von Tag zu Tag mehr Möglichkeiten für den Fernzugriff.

Da Informationstechnologie (IT) und Automatisierungstechnologie (Operational Technologie/OT) zusammenwachsen, bergen die Verbindungen und Übergänge zwischen ihnen höhere Risiken, die schnell empfindliche Störungen und Schäden verursachen können.

Viele Sicherheitsexperten befürchten, dass sich die Abhängigkeit der Unternehmen von vernetzten Geräten schneller entwickelt als ihre Fähigkeit, diese Geräte zu schützen. Es gilt, grundlegende Konzepte für die Cybersicherheit von ICS-Anwendungen zu entwickeln und Sicherheitsmechanismen zu definieren, die für unterschiedliche industrielle Umgebungen geeignet sind. Das Zusammenwachsen von IT und OT hat inzwischen zu realen industriellen Dammbruch-Szenarien hinsichtlich der Verfügbarkeit, Sicherheit und Belastbarkeit geführt.

Hochrangige Gremien wie beispielsweise die Industrial Control Systems Joint Working Group (ICSJWG) im US-Heimatschutzministerium beschäftigen sich unter anderem mit der Rolle des Monitorings für eine umfassende betriebliche Sichtbarkeit .

Mythen und Missverständnisse der ICS-Sicherheit

OT-Betreiber müssen sich intensiv und mit wachsender Dringlichkeit damit befassen, wie sie die Cybersicherheitslage verbessern. Allerdings kursieren beim Thema ICS-Sicherheit weiterhin Mythen und Missverständnisse. Solche Fehlannahmen führen nicht selten dazu, dass Betreiber darauf verzichten, notwendige Maßnahmen zu planen und umzusetzen.

Eine dieser sich hartnäckig haltenden Mythen: Cybersicherheitsvorfälle sind synonym mit „Hackerangriffen“. Bei der überwiegenden Mehrzahl der Vorkommnisse ist aber entweder menschliches Versagen oder ein Geräteausfall die Ursache.In beiden Fällen wirken sich die Vorkommnisse direkt auf die Effizienz der Produktionsanlagen aus.

Handelt es sich jedoch tatsächlich um Cyberkriminalität, geht diese weit häufiger von Insidern aus als von externen Hackern. Dies sind in der Regel Cyberbedrohungen durch einen Mitarbeiter oder Außenstehenden, darauf ausgerichtet, Systeme, Prozesse, Geräte oder Menschen zu stören beziehungsweise zu schädigen. Einige Methoden, mit denen man menschliche Fehler und mögliche Geräteausfälle erkennen kann, sind aber glücklicherweise auch geeignete Best Practices, um böswilliges und abweichendes Verhalten aufzudecken.

Ein weiteres risikoträchtiges Missverständnis: Immer noch hält sich hartnäckig die Ansicht, dass kleinere Industriebetriebe weitgehend immun dagegen sind, Ziel eines Hackerangriffs zu werden. Die Wirklichkeit sieht anders aus. Gerade Betriebe und Organisationen mit weniger Expertise, weniger Personal und insgesamt weniger zur Verfügung stehenden Ressourcen sind für Hacker attraktiv. Sei es als Übungsfeld oder um Systeme in solchen schlecht abgesicherten Umgebungen einfacher übernehmen zu können und für zukünftige, weitreichendere Exploits zu verwenden. Es gibt schlechterdings keinen Weg zu kontrollieren, ob und wie man ins Visier von Hackern gerät.

Man kann die Situation mit der Reaktion auf einen heranziehenden Hurrikan vergleichen. Der Sturm kommt definitiv. Aber wir verfügen über technische Frühwarnsysteme und Radarkontrollen. Wir sehen, was auf uns zukommt und können uns vorbereiten. Dank den uns zur Verfügung stehenden Technologien können wir so viel wie möglich über Flugbahn, Position, Geschwindigkeit und so weiter in Erfahrung zu bringen. Mit der entsprechenden Vorbereitung lassen sich die potenziellen Auswirkungen also begrenzen. Die Alternative: Wir lassen die Naturkatastrophe zuschlagen und verfluchen unser Schicksal. Jeder, der eine Wahl hat, wird sich für die erste Variante entscheiden.

Die Frage ist, können wir Cybersicherheitsbedrohungen in ähnlicher Art und Weise prognostizieren?

Wenn ja, braucht man dazu vor allem eins: Informationen. Um Cybervorfällen einen Schritt voraus zu sein, muss man zum einen ein Netzwerk kontinuierlich überwachen und zum anderen Unmengen von Daten sammeln. Diese müssen ausgeklügelte Analysen durchlaufen, zueinander in Beziehung gesetzt und anschließend in praktische umsetzbare Informationen überführt werden.

Alles beginnt bei den Daten

Der erste Schritt besteht darin, Rohdaten zu sammeln. Traditionell gibt es zwei grundlegende Methoden: passives oder aktives Monitoring. Beim passiven Monitoring (Eavesdropping) „belauscht“ man das Netzwerk und sammelt alle Informationen ein, die man bekommen kann. Im Gegensatz dazu scannt man beim aktiven Monitoring das Netzwerk im Hinblick auf bestimmte Fragestellungen. Das aktive Monitoring ist naturgemäß effizienter und umfassender, während das passive Monitoring durchaus einige brauchbare Informationen liefert. In vielen Fällen haben sie allerdings nicht die ausreichende Tiefe oder es dauert zu lange, sie zu erheben.

Dem aktiven Monitoring eilt bei OT-Experten zudem nicht gerade der beste Ruf voraus. Das liegt zum Teil an seiner etwas unglücklichen Vergangenheit. Als man mit der aktiven Netzwerküberwachung begann, wurden einige der Methoden eins zu eins aus der Überwachung von Büroumgebungen importiert. Man versuchte diese - an sich bewährten - Methoden auf die sehr viel sensibleren OT-Netzwerke zu übertragen. Mit dem Ergebnis, dass Geräte komplett ausgefallen sind und kostspielige Betriebsunterbrechungen bei den Produktionsprozessen die Folge waren. Noch heute ist „Scannen“ ein Wort, bei dem OT-Experten nicht ganz zu Unrecht in Schreckstarre verfallen.

Passiv UND Aktiv ... UND Hybrid

Glücklicherweise gibt es inzwischen die Möglichkeit, von den Vorteilen des aktiven Monitorings zu profitieren, ohne die potenziellen Risiken in Kauf nehmen zu müssen: Hybrides Monitoring.

Hier kommuniziert man statt mit den sensiblen Endpunkten (SPS oder FU, die potenziell unter der Last der Abfrage zusammenbrechen und den Dienst quittieren) direkt mit der Steuerungshardware. Die befindet sich meist schon aus Gründen der Sicherheit ohnehin im Netzwerk und arbeitet verlässlich mit den Endgeräten innerhalb der betreffenden Umgebung zusammen. Das sind Systeme wie Rockwell Software FactoryTalk AssetCentre, MDT Autosave und Kepware KepServerEX .

Man sollte nicht außer Acht lassen, dass eine umfassende Monitoring-Lösung in einer komplexen industriellen Automatisierungsumgebung nicht zwingend zu 100 % passiv, aktiv oder sogar zu 100 % hybrid sein muss. Tatsächlich sind die effektivsten Monitoring-Lösungen eine Kombination aus unterschiedlichen Tools, die jeweils dort zum Einsatz kommen sollten, wo sie die beste Wirkung entfalten. Dann arbeiten sie effektiv, liefern die größtmögliche Sichtbarkeit und halten gleichzeitig die Netzwerke so stabil und verfügbar wie möglich. Für “One Size Fits All” sind die Unterschiede zwischen den einzelnen Umgebungen ohnehin viel zu groß.

Für welche Lösung ein Unternehmen sich auch entscheidet, es handelt sich um einen Prozess, den man immer wieder nachjustieren muss. Wer sich für einen passiven Ansatz entschieden hat, erkennt möglicherweise im Laufe der Zeit, dass er diesen mit aktiven oder hybriden Tools modifizieren sollte. Etwa, um unter veränderten Bedingungen eine effiziente Monitoring-Lösung am Start zu haben oder zu entwickeln.

Es ist allerdings wichtiger, überhaupt etwas zu tun als, sich aus lauter Angst endgültig (und möglicherweise falsch) festzulegen, gar nichts zu tun. Man kann durchaus auch später noch Änderungen vornehmen. Gerade dieser Kombinationsansatz hat sich in der Praxis vielfach bewährt.

Die industrielle Cybersicherheit ist ein Prozess, der den Arbeitsschutzprogrammen ähnelt und eine vergleichbare zeitliche Dimension hat. Hierzu ist es erforderlich, für Mitarbeiter und Technologien sowohl Richtlinien zu erstellen, als auch Verfahren zu entwickeln und durchzusetzen, eine Ausgangsbasis festzulegen sowie den Prozess ständig zu überwachen, aufrechtzuerhalten und kontinuierlich zu verbessern.

Es gibt derzeit vergleichsweise wenige industrielle Cybersicherheitsanbieter, die alle Arten von Lösungen im Portfolio haben - aktive, passive und hybride. Solche Angebote erleichtern es OT-Betreibern jedoch, für jeden Netzwerkpunkt die geeignete Lösung zu finden. Der oft angetroffene Hersteller-Mix bei OT-Geräten ist in der Praxis nicht ganz unproblematisch. Man sollte sich im Idealfall auf Angebote konzentrieren, die herstellerunabhängig sind.

* Maximilian Gilg ist Security Engineer bei Tripwire.

(ID:46235650)