Hackerangriff oder IT-Fehler?

Spezial

Datensicherheit - ›Security-Information-and-Event-Management‹-Lösungen sammeln außergewöhnliche Ereignisse. Ist es eine Betriebsstörung? Oder ein Sicherheitsvorfall? Ist es tatsächlich eine Attacke, sendet das System eine Meldung an die Behörden. Der Gesetzgeber plant die Einführung dieser Meldefunktion.

27. Januar 2015

Informationstechnologie auf IP-Basis hält zunehmend Einzug in die Energiebranche. So nutzen beispielsweise viele Netzbetreiber das Internet, um die Einspeisung von EEG-Anlagen zu steuern, da diese Verbindung aus Kostengründen für sie sehr attraktiv ist. Für die Prozessnetzwerke der Energieversorger bringt diese Öffnung nach außen aber ganz neue Bedrohungen mit sich.

Die vom BSI als kritische Infrastrukturen eingestuften Netzwerke sind der Gefahr von Cyber-Angriffen ausgesetzt. Und dass Energieversorger ganz besonders im Visier von Hackern sind, zeigt eine aktuelle Untersuchung des Ponemon Institute. Die Studie Cost of Cyber Crime kommt zu dem Ergebnis, dass Energie und Versorgung der Bereich ist, dem in Deutschland im Jahr 2013 gemessen an den Kosten der höchste Schaden durch Cyber-Kriminalität entstanden ist.

Schutzmaßnahmen

Diese Bedrohungen schlagen sich in zahlreichen Sicherheitsnormen, -gesetzen und -empfehlungen nieder, die in jüngster Vergangenheit entstanden sind und derzeit noch entstehen. Zentrale Leitlinie für den Schutz von Prozessnetzwerken in der Energiebranche ist derzeit das BDEW-Whitepaper »Anforderungen an sichere Steuerungs- und Telekommunikationssysteme«. Es fasst die aktuellen Notwendigkeiten zusammen und leitet daraus konkrete Vorgaben ab. Auf dieser Basis lässt sich ein passgenaues Security-Design ableiten, das gezielte Schutzmaßnahmen in das Prozessnetzwerk einbaut. Dazu zählen etwa eine zentrale Überwachung, physikalischer Schutz, eine Whitelist, Vorkehrungen für Authentifizierung, Autorisierung und Accounting, Intrusion-Detection-Systeme, Verschlüsselungsmethoden oder ein Patch-Management. Dabei sollte die Netzwerk-Architektur in verschiedene Zonen eingeteilt werden, die jeweils eigene Sicherheitsmaßnahmen aufweisen und durch Gateways getrennt sind.

Sammeln und Auswerten

Zu den Gesetzesauflagen für EVU könnte aber auch bald eine erweiterte Meldepflicht zählen. So enthält das neue IT-Sicherheitsgesetz, das derzeit als Referentenentwurf vorliegt und dessen Inkrafttreten für das zweite Quartal 2015 erwartet wird, Regelungen für Unternehmen, die von einem Cyber-Angriff betroffen sind – darunter die Vorschrift, schwerwiegende Vorfälle an das BSI zu melden, damit das Bundesamt sie auswerten und gegebenenfalls andere potenzielle Opfer warnen kann. Zu den Branchen, für die diese Pflicht bindend sein soll, zählt unter anderem das Energiewesen. Angesichts der Bedeutung dieses Themas entwickeln spezialisierte IT-Dienstleister wie Prego Services derzeit sogenannte SIEM-Lösungen. Das Kürzel steht für Security Information and Event Management.

Ernst oder harmlos?

Ihre Aufgabe wird es sein, relevante Informationen von den Komponenten des Prozessnetzwerks wie Gateways, Switches, Firewalls oder Intrusion-Detection-Systeme an zentraler Stelle zu erfassen und auszuwerten, um so mögliche Sicherheitsvorfälle zu erkennen.

Der entscheidende Knackpunkt ist dabei die intelligente Verknüpfung dieser Informationen. Ein ungewöhnliches Netzwerk-Ereignis ist für sich allein noch kein Hinweis auf einen Sicherheitsvorfall.

Treten aber mehrere solcher ungewöhnlicher Ereignisse auf, die sich in einen Zusammenhang bringen lassen, und laufen diese innerhalb eines bestimmten Zeitraums ab, steigt die Wahrscheinlichkeit, dass etwas nicht mit rechten Dingen zugeht.

Hilfe für die Fachleute

Diese Zusammenhänge muss ein SIEM aufzeigen und es damit den Sicherheitsverantwortlichen ermöglichen, einen schwerwiegenden Vorfall zu erkennen.

Folgendes stark vereinfachte Beispiel soll das Grundprinzip veranschaulichen, ohne dabei zu viele Security-relevante Details zu verraten: Meldet der Router eines im Feld stehenden Anlagenschranks einen Link-up, muss das noch nichts Besorgniserregendes bedeuten; schließlich könnte eine Störung dahinterstecken. Meldet der Port aber dann zusätzliche eine fremde MAC-Adresse und es wird wiederholt versucht, ein Passwort einzugeben, um sich an einem Gerät anzumelden, sollte man misstrauisch werden. Finden viele solcher Versuche innerhalb kürzester Zeit statt, könnte dies ein Hinweis auf einen Angriff sein, der von innen oder außen kommt.

Büro- oder Prozessnetz

Die gute Nachricht ist: Prozessnetzwerke unterscheiden sich erheblich von den Netzwerkumgebungen einer Büro-IT. Hier finden sich oft Hunderte von PC, Druckern und sonstigen Geräten, die ständig ein- und ausgesteckt, ausgetauscht oder erneuert werden und damit einen unüberschaubaren Traffic erzeugen. Prozessnetzwerke sind im Vergleich dazu starre Systeme mit wenig Datenverkehr und ausschließlich gültigen Kommunikationsbeziehungen. Dadurch fällt es beispielsweise sofort auf, wenn an irgendeiner Stelle ein neues Gerät hinzukommt. Außerdem machen Gateway-Spezialisten wie Insys Icom ihre Netzwerkkomponenten zunehmend ›sprechend‹. Router etwa können so immer mehr Informationen an Log-, Monitoring- und Reporting-Tools übermitteln, die als Plattform für eine SIEM-Lösung dienen.

Wartungsfenster

Diese sollten die Informationen so aufbereiten, dass die Verantwortlichen einschätzen können, ob es sich wirklich um einen Sicherheitsvorfall handelt, oder ob lediglich eine Betriebsstörung vorliegt. Außerdem müssen sich auch Wartungsfenster im System hinterlegen lassen, damit sofort erkennbar ist, ob vermeintlich ungewöhnliche Ereignisse im Netzwerk ihre Ursache lediglich in Instandhaltungs- oder Pflegearbeiten haben. Legen die Informationen einen Sicherheitsvorfall nahe, erzeugt das System idealerweise automatisch ein entsprechendes Formular zur Qualifizierung durch die intern Verantwortlichen. Kommen diese zu dem Ergebnis, dass es sich tatsächlich um einen schwerwiegenden Fall handelt, können sie es direkt an das BSI senden, ohne dass dafür weitere manuelle Tätigkeiten nötig sind.

BSI wird informiert

Das BSI bewertet diese Informationen dann und gibt die Erkenntnisse daraus gegebenenfalls an alle Betreiber weiter; so ist es vom Gesetzentwurf vorgesehen. Doch die Vorteile einer solchen SIEM-Lösung gehen weit über die bloße Erfüllung der Meldepflicht hinaus. Indem es einen Cyber-Angriff frühzeitig ›lautstark‹ werden lässt, gewinnen die Betreiber des Prozessnetzwerks Zeit, um ihn einzudämmen.

Wirklichen Schaden kann ein Hacker erst dann anrichten, wenn er sich Zugriff auf die Systeme verschafft hat. Wird sein Angriff aber bereits auf dem Weg dorthin entdeckt – weil die Kombination der Meldungen offenbart, dass er versucht ins Netzwerk einzudringen –, lässt sich dies rechtzeitig verhindern. Durch ihre forensischen Möglichkeiten macht sie außerdem ein hartes Abschalten von Kommunikationsbeziehungen, wie dies etwa Intrusion-Prevention-Systeme im Fall ungewöhnlicher Vorgänge sofort tun, überflüssig. So wird verhindert, dass bei Störungen unnötigerweise ganze Sicherheitszonen vom Netz genommen werden. Außerdem kann solch ein hartes Abschalten Saboteure geradezu einladen: Wissen sie, dass das System so empfindlich ist, fühlen sie sich vielleicht versucht, durch das bloße Einspielen einer falschen MAC-Adresse große Ausfälle zu provozieren.

Mitarbeiter plus Technik

Wie immer beim Thema IT-Sicherheit gilt aber auch beim Schutz von Prozessnetzwerken: Die Technik ist nur die halbe Miete, denn genauso wichtig sind die Mitarbeiter. Ein Sicherheitskonzept steht und fällt mit seiner Umsetzung durch alle Beteiligten. Vor allem wenn die Anwender einbezogen werden, erhöht sich der Schutz vor Angriffen um ein Vielfaches. Deshalb sollten Energieversorger Mitarbeiter dafür sensibilisieren, mögliche Bedrohungen zu erkennen und den Folgen von Angriffen vorzubeugen.

Peter Schreieck

Erschienen in Ausgabe: 01/2015