Alle Beiträge von Klaus Mochalski

Anomalieerkennung im Steuernetz Kritischer Infrastrukturen

Die Erpressersoftware hat bewiesen, wie blind die gängigen Sicherheitslösungen eigentlich sind. Anstelle sich auf eine vordefinierte Gefahrenabwehr zu beschränken, muss die Antwort eine lückenlose Sicherheitsstrategie sein. Eine Möglichkeit ist die Anomalieerkennung.

Kritische Infrastrukturen (Kritis) und Industrieunternehmen mit vernetzter automatisierter Produktion stehen bei der Realisierung der Netzwerksicherheit vor vier grundlegenden Dilemmas:

  1. Verzögerte Reaktionszeiten der IT-Sicherheitslösungen
    Gängige Sicherheitslösungen für Netzwerke wie Virenscanner, Firewalls und Intrusion-Detection-Systeme haben ein grundlegendes Problem: sie erkennen ausschließlich Gefahren, die vom jeweiligen Sicherheitsdienstleister (z. B. Kaspersky oder Symantec) im Vorfeld als solche definiert wurden. Sind die Gefährdungen noch unbekannt, erkennen auch die IT-Sicherheitslösungen diese nicht. Eine Infektion ist damit unvermeidbar.
  2. Programmierlücken in eingesetzten Softwares
    Hinzu kommen Sicherheitslücken – sogenannte Backdoors – in Betriebssystemen oder anderer Software, die selbst dem Hersteller entweder unbekannt sind oder von diesem aus verschiedenen Gründen offen gehalten werden. Im Fall von WannaCry wurde bekanntermaßen eine Hintertür im Windows-Betriebssystem genutzt, die verschiedenen Akteuren – u.a. der US-amerikanischen National Security Agency NSA – lange bekannt waren. Microsoft erfuhr sehr verspätet von dieser Sicherheitslücke und veröffentliche erst im März dieses Jahr das Sicherheits-Patch, um diese zu schließen.
  3. Sicherheitslücken durch verzögerte Updates
    Doch selbst wenn der Software-Hersteller alle Sicherheits-Patches veröffentlicht hat und der IT-Sicherheitsdienstleister mit seiner Gefahrenliste up-to-date ist, bleibt das gängige Problem verzögerter oder ausgelassener Aktualisierungen bei den Unternehmen. Das Credo »Never change a running system« ist aus guten Gründen noch immer weit verbreitet. So lange Programm-Updates zu Störungen im eigenen Netzwerk führen können und eine Prüfung auf Kompatibilität aufwendig ist, werden Softwareaktualisierung so weit hinausgezögert, bis es zu spät ist.
  4. Risikosteigerung durch Industrie 4.0 und Industry of Things (IoT)
    Bei allen Vorteilen der fortschreitenden Vernetzung von Netzwerken und der Abflachung der Automatisierungspyramide, steigt auch die Anfälligkeit der Steuertechnik in Kritis und Industrie. Die Steuernetze werden zum einen komplexer. Zum anderen werden sie nach außen geöffnet – durch VPN-Zugänge, den Zugriff über WLAN und die Anbindung an weitere Netzwerke oder das Internet. Die Effizienzsteigerung des industriellen IoT lässt auch eine offene Flanke in der Steuernetzsicherheit entstehen.

Was also tun, wenn sowohl IT-Sicherheitslösungen als auch Softwarehersteller nicht wissen, welche Gefahren sie übersehen und die eigene IT-Infrastruktur ohnehin anfällig auf ständige Sicherheitsupdates reagiert?

Eine selbstlernende Anomalieerkennung ist lückenlos

Anstelle sich auf die Abwehr bekannter Gefahren zu fokussieren, braucht es eine Lösung, die grundsätzlich Anomalien in Netzwerken meldet. Anomalien beschreiben hierbei jede Veränderung der erlaubten und bekannten Standardkommunikation in Steuernetzen. Dieser Ansatz ist insbesondere in industriellen Steuernetzen möglich.

Diese sind durch eine sich wiederholende und vorhersagbare Kommunikationsstruktur geprägt. Fertigungsprozesse und die Leitwartensteuerung Kritischer Infrastrukturen folgen klar definierten Befehlsstrukturen und Kommunikationsmustern. Im Gegensatz zur Office-IT ist somit die Definition einer Standardkommunikation viel leichter möglich. Über einen kontinuierlichen Abgleich der aktuell ablaufenden Kommunikation mit diesem Standardmuster können Veränderungen lückenlos erkannt und für die Überprüfung an den Betreiber gemeldet werden.

Grundlage dieser Funktion ist eine detaillierte Analyse der Datenpakete auf Inhaltsbasis. Für die Anomalieerkennung reicht das Auslesen der Sender, Empfänger und ggf. noch einer URL nicht aus. Vielmehr müssen die Datenpakete selbst komplett transparent gemacht werden. Hierfür kommt die sogenannte Deep-Packet-Inspection-Technologie zum Einsatz. Diese liest auch die eigentlichen Befehle aus, welche in den Datenpaketen »versteckt« sind. So haben Steuernetzadministratoren stets 100 % Transparenz.

Weiterhin darf die Sicherheitslösung nicht ausschließlich an den Peripherien des Netzwerkes sitzen. Anstelle nur die Grenzen zu schützen, wird ausnahmslos jede Kommunikation innerhalb des Netzwerkes überwacht, analysiert und mit der Standardkommunikation abgeglichen. Nur so wird eine lückenlose Meldung von Anomalien gewährleistet.

Dieser Ansatz garantiert, dass ganz unabhängig vom Gefährdungsvektor (Hintertür, Fremdzugriff, Schadsoftware, schleichende Manipulation) jede verdächtige Handlung im Steuernetz gemeldet wird – unabhängig davon, ob diese bereits als Gefahr bekannt ist oder nicht. Ein Zugriff über eine Hintertür im System wird sofort als neuer Kommunikationspfad erkannt und dem Administrator angezeigt. Ein Schadprogramm wird z. B. als bisher unbekanntes Protokoll wahrgenommen und gemeldet. Eine Manipulation der Steuerbefehle identifiziert die Lösung als veränderte und somit verdächtige Kommunikationsmuster.

Anomalieerkennung in der Praxis

Die Sicherheitslösung » Anomalieerkennung« wirkt dabei minimal-invasiv und rückwirkungsfrei. Eine Installation auf Steuernetzkomponenten ist nicht erforderlich. Die Anomalieerkennungssoftware wird sicher auf einem separaten, autonomen Server installiert, der keinerlei Rückwirkung auf das Steuernetz zulässt. Die Installation und der Betrieb erfolgen dabei immer nach demselben Ablauf:

  1. Verbindung des Anomalieerkennungsservers mit dem Steuernetz über passive Mirror Taps oder Switches.
  2. Analyse der Netzwerk- und Kommunikationsstruktur. Dabei werden sowohl alle aktuell laufenden Datenpakete als auch alle Teilnehmer im System und deren Abhängigkeiten visualisiert.
  3. Initiale Bereinigung des Netzwerkes auf Basis der Erstanalyse. Hierbei werden unbekannte Teilnehmer entfernt, nicht sinnvolle oder gefährdende Verbindungen zwischen Komponenten getrennt und verdächtige Kommunikationsmuster analysiert und bei Bedarf beendet.
  4. Die Anomalieerkennung definiert über maschinelles Lernen binnen weniger Minuten die Standardkommunikation im Steuernetz. Diesem Basismuster kann der Administrator bei Prozessänderungen später selbstständig neue Muster hinzufügen oder alte Muster entfernen.
  5. Die Anomalieerkennung überwacht in Echtzeit und lückenlos den gesamten Kommunikationsverkehr innerhalb des Steuernetzes und meldet alle nicht erlaubten bzw. verdächtigen Kommunikationen, Zugriffe und Handlungen im Steuernetz.
  6. Der Administrator kann auf einem übersichtlichen Dashboard alle Meldungen in Echtzeit einsehen, Details abfragen und eine Entscheidung über die weitere Handhabung einer verdächtigen Kommunikation fällen.

Das Monitoring des Steuernetzes erfolgt somit ganzheitlich, lückenlos und in Echtzeit. Die Administratoren haben zu jedem Zeitpunkt volle Transparenz über alle Vorgänge im Steuernetze und können schnell und effektiv reagieren.

Anforderungen an industrielle Steuernetze in automatisierten Produktionen für 2017

Die Vernetzung von Fertigungslinien und Kritis-Anlagen durch Ethernet & Co. ist noch nicht die Verwirklichung eines effektiven, sinnvoll strukturierten IIoT. Mit der zunehmenden Digitalisierung und der Ablösung von Punkt-zu-Punkt-Verbindungen durch visuelle Netzwerke entstehen auch neue Herausforderungen in Bezug auf Netzwerkstabilität, -sicherheit und Big-Data-Nutzung.

IIoT-Lösungen müssen den Unternehmenszielen folgen

Diese Herausforderungen entstehen aus den konkreten Anwendungen für die Unternehmen zukünftig IIoT-Lösungen in ihre Infrastruktur integrieren wollen:

  1. Umsetzung agiler Produktionsprozesse und eines flexibleren Zugriffs auf das Steuernetz;
  2. Realisierung präventiver und planbarer Instandhaltung;
  3. Nutzung von (Industrial) Big Data für Produktentwicklung, Prozessoptimierung und Qualitätsmanagement.

In Summe geht es Unternehmen dabei um die Steigerung ihrer Produktivität, Qualität und Anlagenverfügbarkeit sowie der Reduktion ihrer Kosten durch Wartung, Reparaturen, Störungen und Ausfälle.

Das bestätigt neben der aktuellen Überarbeitung der Norm IEC 62443 auch der »Industrial Analytics 2016/2017 Report« der Digital Analytics Association (DAA). Die Studie befragte 151 Analyseexperten und Entscheidungsträger aus Industrieunternehmen zu den Chancen und Herausforderungen von Industrie 4.0 sowie des industriellen Internet of Things.

Zusätzlich wird durch die visuelle Vernetzung der Anlagen und die dadurch bedingte Durchdringung verschiedener Netzwerklevel die Cybersicherheit der Steuernetze immer wichtiger. Dies ist sowohl für Industrie- wie auch Sicherheitsunternehmen ein neues Feld. Wo früher autarke Steuernetze und IT-Netzwerksicherheit vorrangig im Officebereich vorherrschten, bedarf es nun neuer Monitoring- und Sicherheitslösungen für Produktionsnetzwerke. Diese unterscheiden sich jedoch stark von Officenetzwerken – in Bezug sowohl auf die vorherrschenden Protokolle und Kommunikationsstrukturen, als auch die Risiken und Auswirkungen bereits geringster Störungen.

Anforderungen an IIoT-fähige Steuernetze

Aus den Zielsetzungen und Anwendungen des IIoT in automatisierten Fertigungen und Kritis ergeben sich konkrete Anforderungen an das Management industrieller Steuernetze, die in den kommenden Jahren gelöst werden müssen.

  1. Vollständige Transparenz

Vielen Unternehmen fehlt noch immer die Übersicht, welche Komponenten in ihrem Steuernetz miteinander und in welcher Form kommunizieren. Dieses Wissen nimmt jedoch eine Schlüsselposition ein, wenn es um die Steuerung und Absicherung der Steuernetze geht.

  1. Anomalieerkennung in Echtzeit

Mit der vollständigen Transparenz wird auch eine lückenlose Anomalieerkennung möglich. Diese meldet jede Abweichung von der im Steuernetz stattfindenden Standardkommunikation in Echtzeit.

  1. Visualisierung und Schnittstellenmanagement der Daten

Ein Monitoringsystem ist nur so effektiv, wie es im Alltag auch produktiv genutzt werden kann.

Unternehmen sollten frühzeitig beginnen, die Anforderungen an ein IIoT-fähiges Steuernetz in ihre digitale Strategie aufzunehmen. So können sie gewährleisten, von Anfang an eine effektiv funktionierende Produktion umzusetzen.

Weitere Details zu den Anforderungen an IIoT-fähige Steuernetze finden Sie auf der Webseite von Rhebo.

Digitale Transparenz und Beweiswert bei Cyber-Angriffen in der Produktion

Die Absicherung vernetzter Produktionsanlagen ist unerlässlich. Im Umfeld von Industrie 4.0 und dem Industriellen Internet of Things (IIoT) geht es nicht nur um die Sicherstellung von Qualität und Anlagenverfügbarkeit. Im Fall des Falles müssen erkannte Anomalien und Zwischenfälle auch vor Gericht glaubhaft dargelegt werden, um Schadensersatzforderungen geltend zu machen.

Die Vernetzung automatisierter Produktionsanlagen sowie die Integration der Produktions-IT in die Office-IT stellt Unternehmen vor neue Herausforderungen:

  1. Digitale Transparenz schaffen: Beim Übergang serieller Technologien zu Ethernet und TCP/IP gilt es, die Übersicht zu behalten. Welche Anlagen kommunizieren miteinander im Steuernetz? Welche Kommunikation findet statt? Welche Kommunikation beeinflusst welche Anlage?
  2. Anlagenverfügbarkeit und Produktionskontinuität sicherstellen: Die zunehmende Vernetzung bedeutet auch komplexe Konfigurationen und hohe Ansprüche an die Netzwerkkapazität. Das Steuernetz muss kontinuierlich überwacht werden. Nur so können Kapazitätsschwankungen und Netzwerkwerkprobleme, die zu Betriebsstörungen führen können, rechtzeitig erkannt werden.
  3. Sabotage und Cyberangriffe verhindern: Mit der Integration der Produktions-IT in die Office-IT wird das Steuernetz auch anfällig für Angriffe aus dem Internet. Die Vernetzung begünstigt zudem eine schnelle Verbreitung von Viren und Malware durch Cyberangriffe oder auch externe Datenträger wie USB-Sticks. Verdächtige Aktionen im Steuernetz müssen in Echtzeit erkannt und gemeldet werden.
  4. Beweiskraft der Daten gewährleisten: Kommt es dennoch zu einem Vorfall, müssen alle Daten zu Akteuren sowie Inhalten der Kommunikation vorliegen. Wird eine Schadensersatzklage angestrebt, müssen diese Daten zudem zertifiziert sein, um als Beweis Bestand zu haben.

Es fehlt an digitaler Transparenz

Um den ersten drei Herausforderungen in der Produktion Herr zu werden, bedarf es einer kontinuierlichen Überwachung des Steuernetzes. Im Kontext von Industrie 4.0 spricht man hier von kontinuierlichem Network Condition Monitoring.

Die Betreiber der Produktionsanlagen benötigen einen detaillierten Einblick in das Steuernetz und die dort ablaufende Kommunikation. Durch die zunehmende Komplexität der Steuernetze wird das in Zukunft eine der größten Herausforderungen. Oft wissen die Betreiber von Steuernetzen nicht, wer in ihrem Netz mit wem kommuniziert. Noch weniger wissen sie, was dort genau kommuniziert wird. Kommt es dann zu Vorfällen, kann niemand nachvollziehen, wie der Störungsweg verlief. Bislang sind Produktionsumgebungen noch nicht auf die Herausforderungen des IIoT vorbereitet.

Die gängigen Sicherheitslösungen reichen nicht aus

Um jedoch die komplette Kontrolle über sein Steuernetz zu behalten, benötigen Unternehmen adäquate Monitoring-Technologien. Diese müssen sowohl eine lückenlose Überwachung auf Inhaltsebene erlauben, als auch alle Daten für eine detaillierte Analyse bereitstellen. Firewalls fehlt der Einblick in das Steuernetz und sind bei Netzwerkproblemen oder Fehlkonfigurationen machtlos. Die auf Mustern basierenden Intrusion-Detection-Systeme (IDS) sind nur mit hohem Aufwand zu betreiben und erkennen im Allgemeinen nur bereits bekannte Gefahren. Mit Security Information and Event Management-Systemen (SIEM) wiederum erhält man einen Überblick über alle gemeldeten Ereignisse eines überwachten Netzwerkes. Die Bedienung erfordert jedoch Experten und einen hohen Konfigurationsaufwand. Zudem sind sie bislang nicht für industrielle Steuernetze, sondern ausschließlich für Büro-IT-Umgebungen ausgelegt.

Digitale Transparenz und lückenlose Überwachung sicherstellen

Einen neuen Lösungsansatz bietet die industrielle Deep-Packet-Inspection-Technologie (DPI). Diese Technologie ist ideal für industrielle Steuernetze. Denn sie erlaubt, jegliche Kommunikation innerhalb eines Steuernetzes zu überwachen. Die Sicherheits- und Monitoringlösung wird dafür rückwirkungsfrei und ohne Produktionsunterbrechung an das Steuernetz angebunden. Sie identifiziert binnen weniger Minuten durch maschinelles Lernen die autorisierte Standardkommunikation im Steuernetz und macht damit die gesamte Konfiguration des Steuernetzes transparent. Die Überwachung erfolgt auf Inhaltsebene.

Damit wird in einem Produktionssteuernetz maximale Transparenz und eine lückenlose Überwachung in Echtzeit sichergestellt.

Digitale Informationen sind leicht manipulierbar

Unternehmen, die Schaden durch Manipulation der Steuerkommunikation aufgrund von Cyber-Angriffen, Sabotage oder fahrlässigen Verhaltens genommen haben, möchten diesen gegebenenfalls auch vor Gericht geltend machen. Immerhin kann eine Störung des Steuernetzes zu kostspieligen Produktionsausfällen, Qualitätsverlusten oder im Bereich der Kritischen Infrastrukturen zu gesamtgesellschaftlichen Schäden führen.

Digitale Daten haben jedoch die Eigenschaft, leicht und vielfältig bearbeitet bzw. manipuliert werden zu können. Vor Gericht ist der Beweiswert digitaler Informationen nach wie vor umstritten. Stellt ein Angeklagter die Echtheit und Originalität digitaler Informationen in Frage, muss der Kläger die Echtheit nachweisen. Dies ist äußerst schwierig bis unmöglich.

Die deutsche Gesetzgebung hat dafür jedoch eine Lösung parat. In der Zivilprozessordnung sind mit dem §371a »Beweiskraft elektronischer Dokumente« elementare Bestimmungen zur Sicherung des Beweiswertes festgelegt. Demnach geht ein Gericht automatisch von der Echtheit eines Datensatzes aus, wenn dieser mit einer qualifizierten elektronischen Signatur eines Vertrauensdiensteanbieters versehen ist. Daraus ergibt sich rechtlich eine Umkehr der Beweislast: Stellt ein Angeklagter die Echtheit und Originalität digitaler Informationen in Frage, muss er selbst diesen Vorwurf beweisen.

Störungsinformationen benötigen eine qualifizierte Signatur

Welche Bedingungen für diese Beweiswertsicherung erfüllt werden müssen, definiert seit Juli 2014 die »EU-Verordnung über elektronische Identifizierung für elektronische Transaktionen im Binnenmarkt«. Demnach benötigt ein Datensatz einen Zeitstempel eines Vertrauensdiensteanbieters, um als echt deklariert werden zu können. Solche qualifizierten Zeitstempel bieten zum Beispiel die Bundesnotarkammer oder die Bundesdruckerei.

In der Praxis verläuft ein Vorfall im Steuernetz dann folgendermaßen:

  1. Die industrielle DPI detektiert eine Abweichung bzw. Anomalie in der Steuerkommunikation.
  2. Für den gespeicherten Datensatz wird eine eindeutige Kennnummer (Hash-Wert) erstellt.
  3. Dieser Hash-Wert wird über eine sichere Verbindung an den Vertrauensdiensteanbieter geschickt.
  4. Der Vertrauensdiensteanbieter weist dem Hash-Wert einen einzigartigen Zeitstempel zu und sendet diese Stempelung wieder zurück zum Urheber.

Am Ende liegt dem Unternehmen mit diesem Zeitstempel quasi eine notarielle Beglaubigung für den entsprechenden Datensatz vor.

Fazit: Vernetzte Produktion benötigt lückenloses Monitoring und Beweiswert-Erhalt

Für ein tiefgreifendes und kontinuierliches Network Condition Monitoring bieten industrielle DPI-Lösungen einen umfassenden Ansatz, um Anlagenverfügbarkeit, Cyber-Sicherheit und Produktionskontinuität gleichermaßen zu gewährleisten. Die Technologie stellt sowohl die Transparenz des Steuernetzes als auch die lückenlose Detektion von Störfällen in Echtzeit sicher. Im Fall des Falles sollten Unternehmen darauf vorbereitet sein, Schäden am Steuernetz vor Gericht geltend zu machen. Hierbei kann zum einen die industrielle DPI bei der Sicherstellung vollständiger Datensätze bis auf Inhaltsebene mitwirken. Zum anderen benötigen Unternehmen eine Zertifizierung der Echtheit der Datensätze. Diese kann durch eine Einbindung von Vertrauensdiensteanbietern erfolgen, die Datensätzen einen qualifizierten Zeitstempel zuordnen und somit den Beweiswert der Daten garantieren. 

Autor: Klaus Mochalski, Rhebo GmbH