Wie sieht ein System zur Angriffserkennung (SzA) in der OT nach IT-SiG 2.0 aus?

Vorweg: Ein System zur Angriffserkennung beschreibt kein konkretes Produkt, sondern eine Zielsetzung. Um eine möglichst umfassende Vorstellung zu erhalten, lohnen sich drei Quellen:

1. BSIG §2 Abs.9b: “Systeme zur Angriffserkennung im Sinne dieses Gesetzes sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten.” ¹
2. IT-Sicherheitsgesetz (IT-SiG 2.0) bzw. BSIG §8a: “Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.” ²
3. ENISA (stellvertretend für die international gängige Definition eines Intrusion Detection Systems): “Ein Intrusion Detection System (IDS) ist eine Softwarekomponente […], die den Netzwerkverkehr oder das Verhalten des Betriebssystems auf unbefugte oder böswillige Aktivitäten überwacht und analysiert. Ein IDS-System arbeitet in der Regel im passiven Modus: Es erkennt eine Bedrohung, protokolliert Informationen und löst einen Alarm aus.” ³

Zugegeben, gerade mit Blick auf das BSIG §8a wirkt die Rechtsprechung inkonsistent und unsinnig. Das “sollte” im zweiten Satz reduziert den Kern der Angriffserkennung – die Identifikation von Bedrohungen – auf eine “Kann aber muss nicht”-Option, was der gesamten Zielsetzung zuwiderläuft.

Unserer Meinung nach sollte ein vollwertiges SzA über die schwache rechtliche Definition hinausgehen und den technologischen Common Sense von z. B. ENISA und Mitre berücksichtigen.

Grundlegende Anforderungen an ein SzA

Aus den oben genannten Definitionen lassen sich 5 Anforderungen ableiten, die in der OT berücksichtigt werden sollten.‍

1. SzA umfassen Technologie, Prozesse und Organisation.  

Das ist eine Besonderheit in Deutschland. International beziehen sich die Definitionen ausschließlich auf die Technologie. Der Managementansatz in der deutschen Gesetzgebung ist aber durchaus sinnvoll. Schließlich macht ein Werkzeug noch keine Handwerker. Es braucht Personal, Verantwortlichkeiten und nicht zuletzt klare Abläufe.

‍2. SzA sitzen innerhalb des unternehmerischen Netzwerks

Aus dieser Anforderung ergibt sich bereits eine Abgrenzung zu Firewalls. Während Firewalls an den Netzwerkgrenzen sitzen und den Blick nach Außen richten, wirkt ein SzA innerhalb der unternehmerischen Netzwerkgrenzen. Firewalls bleiben nach wie vor unabdingbar für die Cybersicherheit. Sie werden jedoch ergänzt durch einen umfassenden Innenblick in die Netzwerke und genutzten Systeme (Abb. 1). Der Grund für diese zweite Verteidigungslinie liegt in der Entwicklung der initialen Angriffsvektoren in den letzten zehn Jahren. Malware und aktives Hacking haben als initialer Vektor abgenommen. Angriffe über ausgenutzte Schwachstellen und gestohlene Zugangsdaten, die Firewalls nicht erkennen, machen mittlerweile über 50 % aus.^4,5

SzA können generell host-basiert und netzbasiert integriert werden. Aufgrund der limitierten CPU-Kapazitäten der meisten OT-Komponenten und oftmals proprietären Betriebssysteme, ist ein netzbasiertes Angriffserkennungssystem (NIDS für network intrusion detection system) in der OT am einfachsten und flächendeckendsten umsetzbar.  

Für das NIDS Rhebo Industrial Protector werden die Datenkollektoren beispielsweise an Mirrorport-Switchen (Hardware-Lösung) oder auf bestehenden Gateways (Software-Lösung) integriert. Beide Varianten ermöglichen ein schnelles Rollout ohne Beeinträchtigung der laufenden industriellen Prozesse.

‍3. SzA analysieren die Kommunikation fortlaufend auf verdächtige oder bösartige Vorgänge.  

Bedrohungen beschränken sich nicht mehr auf bekannte Muster bzw. Signaturen (siehe Punkt 2). Deshalb ist es sinnvoll und gegeben, die klassische signaturbasierte Angriffserkennung (Firewalls und Virenscanner) durch eine verhaltensbasierte Angriffserkennung (ein NIDS mit Anomalieerkennung) zu ergänzen.  

Wie in Punkt 2 erläutert, sind in OT-Netzwerken vor allem netzbasierte Angriffserkennungssysteme (NIDS) sinnvoll und praktikabel. Das NIDS identifiziert Bedrohungen, die sich bereits innerhalb der Netzwerke befinden und neuartigen, komplexen (mehrstufigen) Angriffsmustern folgen. Laterale Bewegungen, Angriffe über Schwachstellen, kompromittierte Nutzerkonten und Living-Off-The-Land (LOTL) Techniken werden dadurch sichtbar und den Verantwortlichen frühzeitig gemeldet.

Zusätzlich können, soweit vorhanden und sicherheitsrelevant, bestehende Loggings der Endgeräte als Quelle genutzt werden. Sinnvoll ist eine Zusammenführung aller Loggings und Alarmmeldungen in einem übergeordneten Security Information & Event Management (SIEM) System, um ein Gesamtbild der Cybersicherheit des Unternehmens (IT und OT) zu erhalten.

4. SzA funktionieren vorrangig passiv

Diese Anforderung ist insbesondere in OT-Netzwerken ausschlaggebend, wo aktives Blocken von Kommunikation und aktive Netzwerkscans unerwünscht sind bzw. betriebsgefährdend sein können. Die passive Funktionsweise ist auch im Zusammenhang der Anomalieerkennungsinnvoll. Nicht alle erkannten Anomalien rechtfertigen automatisch ein aktives, sofortiges Blocken, sondern bedürfen einer kontextuellen Analyse, bevor über eine Reaktion entschieden wird.‍

5. (Bonus) SzA gehen Hand in Hand mit Prävention und Reaktion

Nichtdestotrotz: Das Ziel der Cybersicherheit ist nicht, Bedrohungen nur zu erkennen, sondern diese auch abzuwehren und zu entfernen. Ein SzA bildet vielmehr das Fundament, um überhaupt aktiv gegen Bedrohungen und Vorfälle vorgehen zu können.  

Es erkennt Bedrohungen und liefert alle relevanten Informationen für das Incident Response Team, um ein sicherheitsrelevantes Ereignis schnell zu verstehen und zielgerichtet reagieren zu können. Zu diesen Informationen gehören u.a.:

• beteiligte Systeme und Komponenten (IP-, MAC-Adressen),
• zeitlicher Verlauf,
• assoziierte Vorgänge,
• verwendete Protokolle,
• Inhalte der Vorgänge.

Ein NIDS wie Rhebo Industrial Protector liefert deshalb zu jeder detektierten Anomalie das Packet Capture (pcap), in dem alle Daten und Metainformationen zum Vorfall gespeichert sind.

Organisatorisch hilft ab einer gewissen Größe der Infrastruktur ein Security Operation Center (SOC), um alle Maßnahmen und Funktionen unter einem Dach zu vereinen.

‍¹ https://www.gesetze-im-internet.de/bsig_2009/__2.html
² https://www.gesetze-im-internet.de/bsig_2009/__8a.html
³ ENISA: Proactive Detection of Security Incidents, 2012