Das Mai 2018 in zweiter Fassung veröffentlichte Whitepaper »Anforderungen an sichere Steuerungs- und Telekommunikationssysteme« übersetzt die Highlevel-Forderungen aus dem deutschen IT-Sicherheitsgesetz und dem »Österreichische Programm zum Schutz Kritischer Infrastrukturen« (APCIP) in technische Anforderungen. Trotz des vergleichsmäßig hohen Detailgrades, auf den sich der deutsche Bundesverband der Energie- und Wasserwirtschaft (BDEW) und Österreichs Energie (OE) geeinigt haben, bleiben die Maßnahmen vage in der konkreten Umsetzung.
Das Whitepaper beschreibt auf 80 Seiten und in acht Maßnahmengruppen, wie die Prozess- und Netzleittechnik (PNLT) von Energie-, Wasserwirtschafts- und Öl/Gas-Unternehmen vor Störungen geschützt werden soll. Die Gruppen umfassen:
- Allgemeine Anforderungen (Sichere Systemarchitektur, definierte Verwaltungsprozesse, Sicherstellung der Datensicherheit und -integrität)
- Projektorganisation (Ansprechpartner, Tests, Datenspeicherung und -übertragung, Übergabeprozesse)
- Basissystem (Systemhärtung, Schadsoftware-Schutz, Authentifizierung, Virtualisierung)
- Netzwerk und Kommunikation (Protokolle, Segmentierung, Fernzugänge, Dokumentation)
- Anwendung (Rollen, Authentifizierung, Autorisierung, Umgang mit Webapplikationen, Integritätsprüfung, Logging)
- Entwicklung (Standards, Freigabe, Integrität)
- Wartung (Updates, Konfigurations- und Change Management, Sicherheitslücken)
- Datensicherung und Notfallplanung (Backup, Wiederanlauf)
Am Tagesgeschäft vorbei gedacht
Die Maßnahmengruppen des Whitepapers folgen damit der Architektur und Struktur der PNLT. Das Whitepaper verfehlt damit jedoch die Day-to-Day-Workflows und Zusammenhänge zwischen einzelnen Maßnahmen. Die Prozess- und Organisationslogik der IT/OT-Sicherheit wird nicht abgebildet. Insbesondere fehlt die Eingliederung in die etablierten Managementsysteme (wie QMS oder ISMS), die der Logik des kontinuierlichen Verbesserungsprozesses (Plan, Do, Check, Act) folgen. In der IEC 62443 wird dies zumindest in Teilen mit der Beschreibung der Risikoanalyse begonnen. In der Schweiz orientiert sich das »Handbuch Grundschutz für «Operational Technology» in der Stromversorgung« des VSE explizit am US-amerikanischen NIST-Standard. Dieser bricht die Cybersicherheit in Kritischen Infrastrukturen auf fünf logische Ebenen eines Defense-In-Depth-Konzepts herunter, die in einem Verbesserungsprozess münden:
- Identifizieren (Identify)
- Schützen (Protect)
- Erkennen (Detect)
- Reagieren (Respond)
- Wiederherstellen (Recover)
Abb. 1: Der kontinuierliche Verbesserungsprozess für die Verfügbarkeit und Sicherheit der Steuerungsnetze hängt maßgeblich von der Transparenz und Sichtbarkeit durch eine Monitoring- und Anomalieerkennungslösung ab (Quelle: Rhebo)
BDEW-Whitepaper im Prozesskontext
Es ergibt daher Sinn, die Anforderungen des BDEW-/OE-Whitepapers auf die fünf Schritte des NIST-Frameworks zu beziehen.
Schritt 1: Identifizieren
Hinter dem Identifizieren verbergen sich alle Aspekte einer detaillierten Risikoanalyse. Der erste Schritt ist hierbei die Herstellung vollständiger Transparenz in Bezug auf:
- Netzwerkstruktur
- Komponenten, ihre Eigenschaften, Prozesse und Services
- Bestehende Sicherheitslücken
- Kommunikationsverbindungen (intern und mit externen Netzen)
- Kommunikationsverhalten der einzelnen Komponenten
- Kommunikationsprotokolle
- Kommunikationsinhalte
- Unterliegende Prozesse
Letztlich verbirgt sich hierunter vor allem die Maßnahmengruppe 4 »Netzwerk und Kommunikation«. Aber auch Aspekte der Gruppen »Allgemeine Anforderungen« (bestehende Sicherheits- und Monitoringstrukturen, Verwaltungsprozesse), »Projektorganisation« (Verantwortliche) und »Wartung« (Updates, Konfigurationen, Sicherheitslücken) fallen hierunter.
Grundsätzlich geht es darum, eine ganzheitliche Istanalyse der PNLT, organisatorischen Struktur und Gefährdungslage durchzuführen. Sie bildet die Basis, um festzulegen, worüber überhaupt gesprochen werden muss. Damit die nachfolgenden Schritte der Sicherung weder im Gießkannenprinzip ausgeführt werden, noch zu kurz gedacht werden, muss zwingend vollständige Transparenz hergestellt werden. Technologisch sollte hierbei über diesen Zeitraum der Istanalyse hinaus gedacht werden, denn auch im laufenden Betrieb der Sicherung, Erkennung und Reaktion steht und fällt die Handlungsfähigkeit der Verantwortlichen mit der Transparenz.
Abb. 2: Im ersten Schritt müssen allen Komponenten, deren Verbindungen und die Verbindungsqualität analysiert werden. Rechts oben wird der Gesamtqualitäts-Score für das jeweilige Netzwerk auf einer Skala von 0-10 errechnet (Quelle: Rhebo Industrial Protector)
Die Istanalyse ist auch nicht nur relevant, um die eigene PNLT besser zu verstehen. Sie offenbart in der Regel auch bestehende Engpässe, Gefährdungen und Fehlerzustände. In Stabilitäts- und Sicherheitsaudits, die wir regelmäßig in Kritischen Infrastrukturen im Rahmen der Erst- und Wiederholungsanalyse durchführen, finden sich im Schnitt rund 22 Gefährdungskategorien, die bislang den Verantwortlichen unbekannt waren. Die Analyse erfolgt hierbei mittels der industriellen Anomalieerkennung Rhebo Industrial Protector, die jegliche Kommunikation und Komponenteneigenschaften innerhalb der PNLT bis auf Inhaltsebene analysiert.
Schritte 2 und 3: Sichern und Erkennen
Diese Systemlösung bildet im Anschluss des Schrittes »Identifizieren« als Monitoring- und Detektionswerkzeug auch das Rückgrat der Sicherung der PNLT und des Erkennens von Störungen. Hierbei lernt die Anomalieerkennung das zu erwartende Verhaltensmuster der PNLT und analysiert die Kommunikation im Normalbetrieb auf Abweichungen (Anomalien). Wie vielfältig diese Anomalien ausfallen können, skizziert ein im März 2019 von der Allianz für Cyber-Sicherheit des BSI veröffentlichte Empfehlung zu Monitoring und Anomalieerkennung in industriellen Netzen. Die Anomalien werden in Echtzeit gemeldet und für die forensische Analyse inklusive der Rohdaten gespeichert.
Abb. 3: Die Anomalieerkennung meldet jede abweichende Kommunikation im Steuerungsnetz und weist dieser eine Risikobewertung zu (1). Weiterhin können Details mit Handlungsempfehlungen nachgeschaut werden (2) und die Anomaliemeldung für die forensische Analyse als PCAP herunterladen werden (3). (Quelle: Rhebo Industrial Protector)
Bei der Sicherung kommen hierbei die bekannten Mechanismen wie Segmentierung, Rollenkonzepte, Authentifizierung, Autorisierung, Prüfung der Datensicherheit und -integrität, Veränderungsmanagement, aktive Schadsoftware-Werkzeuge zum Einsatz. Diese sind im BDEW-/OE-Whitepaper über fast alle Kategorien verteilt. Im Sinne des Defense-in-Depth-Ansatzes, nach dem »Es gibt keine 100 prozentige Sicherheit.« die Basis aller Erkenntnis ist, übernimmt die Anomalieerkennung hier die Instanz eines durchgängigen Überwachungs-, Analyse- und Frühwarnsystems. Der Schutz der PNLT geht somit Hand in Hand mit der Fähigkeit, jedwede Veränderung zu detektieren. Denn nur was gesehen wird, kann auch abgewehrt werden. Das ist umso wichtiger in Infrastrukturen, die aus pragmatischen Gründen nicht auf Fernzugänge oder Webapplikationen verzichten können. Veränderungen betreffen hierbei nicht nur Vorfälle, die eindeutig als Sicherheitsgefährdung identifiziert werden können. Insbesondere wird auf die Fähigkeit hingewiesen, Vorgänge zu erkennen, die nicht durch die gängigen Blacklisting- oder Whitelisting-Konzepte abgedeckt werden. Diese Anomalien oder Abweichungen vom zu erwartenden Netzverhalten bergen bei täglich rund 400.000 neuen Schadprogrammen die eigentliche Gefahr.
Schritte 4 und 5: Reagieren und wiederherstellen
Diese Schritte werden im BDEW-/OE-Whitepaper nur sehr abstrakt behandelt, auch wenn sie im Tagesgeschäft die eigentliche Herausforderung darstellen. Über alle Kategorien wird auf die Notwendigkeit einer Notfallkonzeption verwiesen, konkrete Ansätze hierfür fehlen jedoch auch im eigentlichen Kapitel »Datensicherung und Notfallplanung«.
Eine sinnvolle Reaktion auf einen Vorfall im Sinne der Abwehr sowie internen und externen Kommunikation kann nur erfolgen, wenn alle Daten zum jeweiligen Vorfall vorliegen. Dazu gehören sowohl Details zu den Kommunikationsinhalten als auch Informationen zum Verlauf und den beteiligten Komponenten und Systemen. Die notwendige Vorfallsanalyse ist letztlich nur so gut, wie die Vorfallsdaten vollständig sind. Entsprechend hängen sowohl Effektivität der Reaktion als auch die Geschwindigkeit der Wiederherstellung und die kontinuierliche Verbesserung zur Steigerung der Resilienz maßgeblich von einer stichhaltigen und schnellen Analyse ab. Nicht zuletzt ist die Fähigkeit zur Analyse und Dokumentation auch für die Meldepflicht maßgeblich.
Verantwortliche in Kritischen Infrastrukturen sollten deshalb Überwachungssysteme auch danach bewerten, ob diese die Reaktion auf Vorfälle und die Wiederherstellung unterstützen. Dazu gehören:
- Detailspeicherung von Anomalien mit Metadaten und Rohdaten;
- Speicherung in universellem Format (z. B. PCAP), um Daten leicht teilen und programmunabhängig analysieren zu können;
- universelle Schnittstellen (REST-API, Syslog u.a.) zur schnellen, verlustfreien Weiterleitung an andere Sicherheitssysteme (z. B. aktiv blockende Firewalls oder SIEM)
- automatisierte Weiterleitungsregeln zur Unterstützung der unternehmensinternen Prozesse.
Auch diese Anforderungen können von einigen industriellen Anomalieerkennungen vollumfänglich abgebildet werden.
Abb. 4: In Steuerungsnetzen kann es zu plötzlichen und schleichenden Störungen (Stillstand oder Blackout) sowie Effizienzverlusten kommen. Eine Monitoring- und Anomalieerkennungslösung minimiert die Wahrscheinlichkeit des Auftretens und unterstützt umgehend bei der Wiederherstellung (Quelle: Rhebo)
Fazit
Wer das BDEW-/OE-Whitepaper umsetzen möchte, sollte auch weitere Empfehlungen (z. B. des VSE und des BSI) berücksichtigen, um gezielt und strukturiert die Anforderungen umsetzen zu können. Grundsätzlich sollte das Konzept der Defense-in-Depth verfolgt werden. Zu dieser gehört neben aktiven Absicherungswerkzeugen (Firewalls, Virenscanner, Datendioden) auch eine passive Monitoringkomponente in Form einer industriellen Anomalieerkennung. Die Chief Information Security Officers und IT-Leiter Kritischer Infrastrukturen erhalten die bislang fehlende Sichtbarkeit in ihre Netzwerke, ein proaktives Frühwarnsystem und schaffen eine fundierte Basis für das übergeordnete Netzwerk-Monitoring und die forensische Datenanalyse. Damit können sie ihre Prozess- und Netzleittechnik effektiv gegen Störungen wie Cyberattacken, Manipulation aber auch technische Fehlerzustände schützen und die Versorgungssicherheit gewährleisten.
