Cybersicherheit: Das Prinzip Hoffnung hat ausgedient
Cyberattacken: Vorbeugenden Maßnahmen und Reaktionsmöglichkeiten
Durch die Häufung schwerer Cybersecurity-Vorfälle bei deutschen Leuchtturm-Unternehmen hat der Glauben an die Sicherheit der eigenen Firma und der Sicherheit der Industrie insgesamt einen schweren Knacks bekommen. Wer kann heute noch mit breiter Brust behaupten: „Unsere Firma ist sicher, es wird bei uns niemals einen Cybersicherheits-Vorfall geben!“? Wenn man sich der Sicherheit aber nicht mehr sicher sein kann, was kann man dann unternehmen, um mit dem unausweichlichen Fall einer erfolgreichen Cyberattacke richtig umzugehen und wie kann man strukturelle Vorkehrungen treffen, welche die Auswirkungen eines solchen Angriffs abfedern?
Noch vor wenigen Jahren schien das Thema Cybersicherheit beherrschbar und übersichtlich zu sein. Eine Firewall, aktuelle Patches, ein Virenscanner auf den Endsystemen und ein VPN Gateway für die Kommunikation in die Firma hinein. Die Fertigung war nicht mit dem Rest der Welt verbunden und sowieso mit allen Werkzeugen der Angreifer technisch inkompatibel – so stellte sich die IT-Sicherheit für viele Unternehmen dar. Heute häufen sich schwerwiegende Sicherheitsvorfälle bei großen namhaften Firmen, und die Schäden gehen teils in den mehrstelligen Millionenbereich. Aus diese Unsicherheit heraus erwächst eine neue Verantwortung: Wenn man davon ausgehen muss, früher oder später gehackt zu werden, muss man Maßnahmen und Mechanismen einsetzen, um mit dem zu erwartenden Cyberangriff richtig umzugehen. Wir gehen auf Abwehrmaßnahmen, die Erkennung von Angriffen sowie Reaktionen ein, um ein ganzheitlicheres Bild der Cybersicherheitslandschaft industrieller Anlagen zu zeichnen.
Segmentierung
Um auf Angriffe vorbereitet zu sein und das Ausmaß des Schadens bzw. die Reichweite eines Angriffs einzudämmen, sollte mit einem bekannten Konzept begonnen werden: mit der Segmentierung und der Verbesserung des Schutzes der Netzwerkinfrastruktur. Sowohl eine gute Trennung von IT- und OT-Netzwerk als auch eine Trennung von funktional unabhängigen Teilen des OT-Netzwerks sollte heute in jedem modernen Industrienetzwerk vorhanden sein. Gerade die letzten katastrophalen Auswirkungen von Ransomware-Infektionen bei großen Industriebetrieben zeigen jedoch, dass diese Segmentierung nicht vorhanden bzw. nicht effektiv war.
Die Segmentierung von Netzwerken wird durch das Prinzip der Zonen und Zonenübergänge erreicht. Hierzu werden funktional unabhängige Zonen im Netzwerk definiert, die überwiegend für sich autark arbeiten können. Zwischen den Zonen werden Paketfilter (z.B. Firewalls oder Gateways) installiert, die den Netzwerkverkehr, der trotzdem über die Zonengrenzen hinaus fließen muss, begrenzen und überwachen. In einem gut segmentierten Industrienetzwerk gibt es also nicht nur eine Firewall zwischen OT-und IT-Netzwerk, sondern zahlreiche Firewalls zwischen den einzelnen Anlagenteilen und Maschinen. Sogenannte Soft Targets (alte netzwerkfähige Geräte, die keine aktuellen Patches mehr erhalten können bzw. nicht über ausreichende Sicherheits-Features verfügen) werden zusätzlich durch Paketfilter wie z.B. kleine Firewalls vom Netzwerk isoliert, um ihre große Angriffsfläche vor einem Angreifer verborgen zu halten.
Eine Unterteilung in Zonen erschwert es einem Angreifer, der bereits erfolgreich ins Netzwerk eingedrungen ist, sich dort ungehindert zu bewegen. Automatisch agierende Malware kann meist die Firewalls an den Zonengrenzen nicht überwinden und ist so auf die Geräte innerhalb der betroffenen Zone begrenzt. Dadurch lässt sich der Schaden im Angriffsfall drastisch reduzieren. Auch für menschliche Angreifer stellt eine Zonenbildung ein großes Hindernis dar, da nur die Geräte, die innerhalb der Zone des Angreifers sind, als weitere Angriffsziele zur Verfügung stehen. In der Regel versucht ein Angreifer jedoch, sich durch das Netzwerk zu bewegen (Lateral Movement), um neue Rechner zu übernehmen. Dafür ist er auf Geräte mit Schwachstellen oder unzureichenden Konfigurationen angewiesen. Die Unterteilung in Zonen verringert die Auswahl an verwundbaren Geräten deutlich und schränkt den Angriff damit stark ein.
Auch die Aufräumarbeiten nach einem Angriff werden durch eine klare und effektive Zonenbildung deutlich vereinfacht. Denn je weniger Systeme ein Angreifer erreichen konnte, desto weniger forensische Aufgaben und Wiederherstellungsarbeiten fallen an. Diese Arbeiten sind äußerst kostenintensiv und langwierig und können ein Industrienetzwerk selbst nach dem Ende des Angriffs wochen- oder gar monatelang lahmlegen. Schließlich handelt es sich um einen Tatort, weshalb zusätzlich sichergestellt werden muss, dass alle Hintertüren und Schadprogramme des Angreifers restlos eliminiert wurden.
Automatisierung und Netzwerkhygiene
Der erste Schritt für einen Angreifer ist in der Regel, Zugriff zu einem System im Netzwerk zu erlangen. Dies kann entweder geschehen, indem er eines seiner eigenen Systeme über einen offenen, ungeschützten Ethernet-Port oder über ein kompromittiertes WLAN in das Netzwerk einschleust (z.B. einen Kleinstcomputer mit Mobilfunkmodem). Der Zugang kann aber auch über ein durch Malware kompromittiertes System, das per Download oder E-Mail infiziert wurde, erfolgen.
Im ersten Fall lässt sich erkennen, dass ein unbekanntes Gerät (das des Angreifers) im Netzwerk vorhanden ist. Deshalb kann ein Alarm ausgelöst werden, der es ermöglicht, schnell auf diese Abweichung von der Norm zu reagieren. Noch besser ist es jedoch, wenn das Gerät gar nicht erst in das Netzwerk gelangt. Hierzu bieten Protokolle wie IEEE 802.1X bei Ethernet und WPA2 Enterprise mit IEEE 802.1X bei WLAN die Möglichkeit, jedem Gerät individuelle Zugangsdaten für das Netzwerk zu geben. Somit muss sich jedes Gerät, das dem Netzwerk beitreten möchte, zuerst authentifizieren, bevor es dort kommunizieren kann. Einem Angreifer, der Zugang zum Firmengelände oder der Fertigung erlangt hat, kann so der Zugang zum Netzwerk deutlich erschwert werden.
In der Praxis treten aber immer wieder Fälle auf, in denen Industrie-Equipment die Authentifizierung über 802.1X oder WPA2 Enterprise nicht unterstützt. In solchen Fällen muss bei kabelgebundenen Verbindungen zu einer MAC Bypass genannten Methode gegriffen werden, bei der das Gerät nur anhand seiner (leicht fälschbaren) MAC-Adresse erkannt wird. Im WLAN wird auf das aus den Heimnetzen gut bekannte WPA2 mit Pre-shared Key zurückgegriffen, bei dem sich alle so verbundenen WLAN-Geräte einen einzigen geheimen Schlüssel, das WLAN Passwort, teilen. In diesen Fällen kann jedoch nicht mehr eindeutig festgestellt werden, welches Gerät sich mit dem Netzwerk verbinden möchte, weshalb zusätzliche Maßnahmen zur Wahrung der Netzwerkhygiene getroffen werden müssen (z.B. Automatismen zur Überprüfung der Identität des Geräts mittels automatisierter Logins durch einen Überwachungsserver). Solche Automatismen sind häufig als „Post Connect“-Phase in Netzwerk Access Control-Lösungen (NAC) verfügbar. Falls ein Angreifer ein bereits in das Netzwerk integriertes System kompromittiert hat (z.B. durch eine unachtsam geöffnete E-Mail oder durch die Ausnutzung eines schwachstellenbehafteten Netzwerkdienstes), handelt es sich um ein legitimes Netzwerkgerät, sodass Maßnahmen wie IEEE 802.1X und WPA2 Enterprise nicht greifen (das kompromittierte Gerät verfügt ja über gültige Netzwerkschlüssel). Daher müssen zusätzlich Methoden zur Überwachung des Zustands und der Integrität des Geräts getroffen werden. Im Gegensatz zum Schutz vor dem Verbinden eines Geräts mit dem Netzwerk (Pre-Connect-Check) kann ein automatisches System nach dem Verbinden mit diesem Gerät interagieren (Post-Connect-Checks). Dies wird entweder erreicht, indem ein sogenannter Agent (kleine Software) auf dem System installiert wird, der sich dann ausweisen kann und wichtige Systemeigenschaften überwacht. Alternativ kann auch eine agentenlose Lösung verwendet werden, bei der sich ein Kontrollsystem auf dem zu überwachenden Gerät anmeldet (z.B. über SSH oder ein ähnliches Remote Management-Protokoll) und dann per Kommandozeilenbefehlen dessen Zustand prüft. Zu den entsprechenden Parametern gehören etwa der Zustand des Antivirussystems (aktiv / abgeschaltet, aktuelle Virendefinitionen / veraltete Virendefinitionen), der Zustand der Geräte-Firewall, gestartete Programme auf dem Gerät, vorhandene oder nicht vorhandene Dateien sowie angemeldete Benutzer. Typische Vorgehensweisen eines Angreifers (z.B. das Abschalten des lokalen Anti-Virus-Programms oder das Starten eigener Schadroutinen) können so erkannt werden. Geräte, die als unsicher erkannt werden, lassen sich anschließend automatisch aus dem Netzwerk entfernen. Dies erschwert es einem Angreifer, nach der Übernahme eines Geräts weiter in das Netzwerk vorzudringen und unentdeckt zu bleiben. Auch anfangs erfolgreiche Angriffe können so deutlich schneller erkannt und eingedämmt werden. Eine aktive Überwachung des Zustands der mit dem Netzwerk verbundenen Geräte und eine effektive Netzwerkzugangskontrolle stellen daher einen wichtigen Baustein der Security-Hygiene in industriellen Netzwerken dar.
Zusätzlich kann eine Network Access Control Management-Lösung auch das Asset-Management, also die Erfassung aller vorhandenen Systeme und Geräte, unterstützen. Die Kenntnis aller Geräte (Assets) und deren Funktion ist eine wichtige Grundlage für die Risikobetrachtung vor einem Angriff und die Entscheidung für oder gegen reaktive Maßnahmen (abschalten, isolieren, laufen lassen) im Angriffsfall.
Erkennung von Angriffen
Das beste Verteidigungskonzept ist sinnlos, wenn es keine Maßnahmen zur Erkennung von erfolgreichen Angriffen enthält. Denn sonst kann ein technisch überlegener Angreifer die Verteidigungsmaßnahmen umgehen, sich im Netzwerk ausbreiten und maximalen Schaden anrichten. Der Begriff der technischen Überlegenheit hört sich hier ausgefeilter an, als er tatsächlich ist. Die Tatsache, dass im Jahr 2019 immer noch jede vierte Cyberattacke auf die seit 2017 Schaden anrichtende Ransomware „Wannacry“ zurückgeht, spricht Bände. Wannacry nutzt dabei eine Schwachstelle aus, für die es bereits seit 2017 Patches, also effektive Gegenmaßnahmen, gibt. Von High-Tech kann dabei trotz technischer Überlegenheit der Angreifer im Verhältnis zu den Verteidigungsmaßnahmen keine Rede sein. Und modernere Malware legt die Latte für die Verteidigung nochmals deutlich höher. Denn sie verwendet nicht nur technisch effektivere Angriffswege, sondern nutzt zudem auch oft höchst erfolgreiche Social-Engineering-Methoden, also die Ausnutzung menschlicher Schwächen wie Unwissenheit, Angst oder Gier.
Um die Erkennung und Klassifizierung von Cyberangriffen in Protokolldateien zu unterstützen, können sogenannte Security Event and Information Management-Systeme (SIEM) eingesetzt werden. Sie gehören in vielen Office-IT-Umgebungen heute bereits zum Standardrepertoire, sind in vielen industriellen Netzwerken aber noch nicht zu finden. Die Notwendigkeit für den Einsatz in Industrienetzwerken ist jedoch ebenso gegeben wie in IT-Netzwerken, da sich die genutzte Technik sowie die von Angreifern verwendeten Werkzeuge und Methoden oft ähneln oder gar identisch sind.
Bei der Kompromittierung von Geräten hinterlassen Angreifer unweigerlich Spuren. Es bleiben z.B. verräterische Registry-Einträge, Angriffs-Programme und Dateien zurück, es werden verdächtige Prozesse auf den Systemen gestartet oder es werden Systemkonfigurationen wie etwa die Anti-Virus- und Firewall-Eistellungen verändert. All diese Dinge finden sich in den Ereignisprotokollen der kompromittierten Geräte wieder. Betrachtet man die Protokolle aller Geräte, so ergibt sich ein umfassendes Bild sämtlicher Aktivitäten im industriellen Netzwerk.
„In einem gut segmentierten Industrienetzwerk gibt es zahlreiche Firewalls zwischen den einzelnen Anlagenteilen und Maschinen.“
Die Ereignisprotokolle und Verkehrsmuster stellen einen unglaublichen Schatz an verwertbaren Security-Informationen dar. Leider wird dieser Schatz oftmals nicht gehoben, da der Umgang mit ihm äußerst schwierig ist. Zum einen ist bereits die zentrale Sammlung der Informationen von Hunderten Geräten ohne ein dafür geeignetes Verwaltungssystem (ein Log-Management-System) nicht leistbar. Zum anderen handelt es sich um Unmengen an kleinteiligen Informationen, aus denen Angriffe nicht einfach zu erkennen sind. Um im Bilde des Schatzes zu bleiben, handelt es sich also um Tonnen von 1-Cent-Münzen, unter denen sich auch noch ein erheblicher Teil an Falschgeld befindet. Das „Falschgeld“ sind in diesem Sinne Informationsfragmente, die zwar nicht zu einem Angriff gehören, jedoch trotzdem als solcher aufgefasst werden können. Normale Wartungsarbeiten an einer Anlage, die etwa das Starten neuer Programme, Software-Aktualisierungen und das Öffnen von Netzwerk-Ports erfordern, sind Beispiele für solche Aktivitäten. Es stellt sich also nicht nur das Problem, Cybersecurity-Bedrohungen in der Unmenge von Protokolleinträgen zu erkennen, sondern auch Falscherkennungen, sogenannte False Positives, zu vermeiden.
Neben der Möglichkeit zur Auswertung großer Log-Datenmengen bieten SIEM-Systeme auch Möglichkeiten zur automatischen Erkennung von Angreifern. Diese Systeme nennen sich dann Intrusion Detection-Systeme (IDS). Sie analysieren nicht nur Log-Einträge sondern auch Netzwerkverkehr zwischen den Geräten im industriellen Netzwerk.
Weitergedacht kann nach der Erkennung eines Angriffs auch automatisch eine Gegenmaßnahme getroffen werden. Diese sogenannten Intrusion Prevention Systeme (IPS) können viele teilweise erfolgreiche Angriffe unterbrechen und weiteren Schaden verhindern. Sie haben in industriellen Anlagen einen schlechten Ruf, da sie bei unbedachtem Einsatz zu Ausfällen, Standzeiten und schwer zu behebenden Funktionsfehlern führen können – selbst wenn kein Angriff vorliegt sondern nur eine harmlose Aktivität als Angriff fehlerkannt wurde (ein False Positive, also das Falschgeld). Dieser schlechte Ruf rührt davon, dass IPS Systeme in der Vergangenheit oftmals mit zu aggressiven Sperren in einem Angriffsfall reagiert haben. Ganze Netzwerkteile oder Geräte wurden pauschal bei einem (ggf. fehl-) erkannten Angriff zum Schutz vom Netzwerk getrennt. Die Folge sind weitreichende Funktionsausfälle. Heute ist es möglich, IDS Systeme zielgenauer zu verwenden. So kann auch im Angriffsfall ein Steuerungsgerät seine Steuerungsaufgaben fortsetzen, während die für den Angreifer interessante Konfigurations-Schnittstelle durch das IPS System vom Netzwerk getrennt werden kann. Durch eine solche Teil-Isolation kann auch im Angriffsfall der Betrieb von essentiellen Geräten fortgesetzt werden, während die Ausbreitung eines Angriffs trotzdem unterbunden werden kann.
Nach einem Angriff
Bei einem erkannten Vorfall muss schnell und effektiv reagiert werden. Um solch eine Reaktion vorzubereiten, müssen sowohl die für eine Analyse erforderlichen Daten umfassend und aussagekräftig im Log-Management-System vorliegen als auch qualifizierte Mitarbeiter vorhanden sein. Die Log-Management- und SIEM-Systeme leisten hier einen wichtigen Beitrag, da sie die Informationen in leicht und effizient durchsuchbarer Form bereithalten. Da bei einer umfassenden zentralen Protokollierung oft gigabyteweise Log-Daten anfallen, ist die Erkennung eines Angriffsweges (und damit die Feststellung, welche Systeme vom Angriff betroffen sind) wie die Suche nach der Nadel im Heuhaufen. Außerdem ist das Ganze aufgrund der extremen Datenmengen im höheren Gigabyte-Bereich auch technisch nicht einfach. Wer rechtzeitig ein effektives System für den Ernstfall aufbaut, kann im Falle eines Angriffs schnell reagieren. Ohne Vorsorge drohen im schlimmsten Fall eine langfristige Isolation vieler potenziell betroffener Systeme vom Netzwerk und ein manuelles Kopieren von Log-Dateien mit USB-Sticks zur Analyse. Dies führt zu langen Standzeiten und dementsprechend auch zu Lieferausfällen bzw. Vertragsverletzungen. Unter diesem Gesichtspunkt rentiert sich die Anschaffung eines geeigneten Systems oft schon dann, wenn dadurch nur ein Ransomware-Angriff erfolgreich abgewehrt werden konnte.
„Security Event and Information Management-Systeme (SIEM) unterstützen die Erkennung und Klassifizierung von Cyberangriffen.“
Neben den technischen Systemen spielen die Fähigkeiten der Mitarbeiter bei der aktiven Abwehr und Aufarbeitung eines Angriffs eine wichtige Rolle. Sorgfältig ausgearbeitete und kommunizierte Incident Response-Pläne sind wichtige Schritte, um im Ernstfall schnell und effektiv reagieren zu können. Auch Übungen für Ernstfallsituationen sind unerlässlich – nur dann kann gewährleistet werden, dass das Abwehrteam dem Angreifer voraus ist. Ein Learning-by-doing ist für den Bereich Incident Response stets die schlechteste Lösung, da sowohl die Verfügbarkeit der Produktion als auch Firmengeheimnisse und nicht zuletzt die persönlichen Daten und ggf. sogar die Unversehrtheit von Mitarbeitern und Kunden auf dem Spiel stehen.
Auch die gesetzlichen Anforderungen an die Reaktionszeiten sprechen für den Aufbau eines kompetenten Teams zum Umgang mit Cybervorfällen. Für Zwischenfälle, in denen persönliche Daten von Kunden oder Mitarbeitern betroffen sind, gilt eine Meldezeit von 72 Stunden. Für Betriebe, die als kritische Infrastruktur eingestuft sind, muss eine Meldung an das Bundesamt für Sicherheit (BSI) unverzüglich, also ohne schuldhafte Verzögerung erfolgen. In Anbetracht dieser sehr knappen Fristen und bei Beachtung der Arbeitszeiten der Mitarbeiter (ein Wochenende hat 56 Stunden) bleibt einem Unternehmen keine andere Wahl, als für den Ernstfall vorbereitetes Personal vor Ort zu haben.
Weitere Maßnahmen
Neben den beschriebenen Maßnahmen gibt es natürlich noch weitere Schutzmaßnahmen, die eher präventiv wirken, jedoch die Erfolgschancen eines Angreifers oder einer automatisierten Malware ebenfalls nachhaltig schmälern.
Darüber hinaus ist auch eine breite Sensibilisierung und umfassende Ausbildung der gesamten Belegschaft essentiell, um Angriffe, die Social-Engineering-Methoden wie Druck, Täuschung und Verlockung nutzen, zu verhindern. Hier ist es wichtig, auch weniger IT-affine Mitarbeiter aus der Verwaltung und der Produktion zu schulen, falls sie Zugriff auf Computersysteme haben. Denn Angreifer wählen oftmals weniger technisch versierte Mitarbeiter als Ziel einer ersten Attacke aus.
Die oben beschriebenen technischen Lösungen werden von verschiedenen Unternehmen angeboten. Belden ist durch seine industriegerechten Netzwerkgeräte wie die Firewalls, Switches, Router und Access Points von Hirschmann Automation & Control sowie die Security-Lösungen des Schwesterunternehmens Tripwire in der Lage, Netzwerk-, Log-Management- und SIEM-Systeme aus einer Hand bereitzustellen. Über die enge Kooperation mit Forescout Technologies, dem Marktführer bei Network Access Control-Lösungen, kann Belden zudem auch ein mächtiges NAC-System einschließlich umfassender Pre-Connect- und Post-Connect-Checks sowie Asset Management für Industrieanlagen aus einem Guss realisieren.
Kontakt
Belden EMEA
Edisonstr. 9
59285 PG Venlo
Niederlande
+31 77 3878 555
+31 77 3878 488