Menschen

Strikte Trennung

Deutschland ist zum Glück nicht mehr geteilt. In der IT-Sicherheit spielen Zonen aber eine wichtige Rolle. Wir sprachen mit Christian Bruns von BTC über Informationssicherheits-Managementsysteme, kurz ISMS.

21. Juli 2018

Das ISMS ist ein Management-Rahmen. Dort liegt der Fokus nicht nur auf technischen Maßnahmen, sondern es hat auch mit Organisation zu tun. Nehmen Sie zum Beispiel das Thema Protokollierung: Alle IT-Systeme stellen heutzutage Möglichkeiten dazu bereit. Es lässt sich im Nachhinein feststellen, wer auf das System zugegriffen hat und ob etwas Kritisches verändert wurde. Oft liegen diese Informationen allerdings brach und erst, wenn etwas passiert, überprüft man diese.

Aber ein Hacker geht in der Regel so vor, dass er nicht sofort auffällt, er agiert im Hintergrund und verwischt seine Spuren. Also ist es sinnvoll, organisatorisch festzulegen: Einmal in der Woche kontrolliert jemand die Protokollinformationen. Je nachdem, wie aufwendig dies wird, kann es sinnvoll sein, das automatisiert zu analysieren.

Das geht dann Richtung SIEM, Security and Incident Event Management?

Genau, das wäre die gehobene Ausprägung. Insbesondere wenn automatisierte Alarmierung und automatisierte Aussperrung von Nutzern in ein Quarantäne-Netzwerk hinzukommen.

Ein Hacker kann sich länger im System aufhalten, bevor er angreift. Hinweis auf ein Eindringen kann ungewöhnliche Kommunikation zwischen Geräten sein, etwa der Drucker tauscht Daten mit der Produktionsmaschine aus. Fällt das auch unter SIEM?

Ja, das würde auch in diese Kategorie gehören, bei der Systeme automatisiert den Datenverkehr analysieren und Anomalien erkennen. Die fortgeschrittenen Systeme arbeiten auf Basis selbst erlernter Muster. Das heißt: sie lernen, wer kommuniziert mit wem im Netzwerk, was ist normal und was nicht.

Wie lässt sich denn grundsätzlich schnell erkennen und gegensteuern?

Basis ist eine restriktive Infrastruktur, also es ist definiert, was erlaubt ist. Wir müssen zum Beispiel mit einer Anlage im Feld kommunizieren, mit ihr über eine Schnittstelle genau definierte Daten austauschen. Alles andere verbieten wir erst einmal. Über automatisierte Erkennungsmechanismen lässt sich dann feststellen: Da ist trotzdem eine Kommunikationsbeziehung, die hatten wir so vorher nie. Ein weiterer Punkt ist das Sichten der Protokollinformationen. Was außerdem dazugehört: Es dem Hacker möglichst schwer zu machen. Ihn aussperren aus dem System, indem man etwa eine Mehrfaktor-Authentifizierung nutzt, nicht nur Benutzername und Passwort, sondern zum Beispiel noch eine Smart Card. Physik ist für den Hacker schwierig zu überbrücken.

Aber es gibt ja auch die Möglichkeit, dass er direkt an den Mitarbeiter herantritt …

Ja, Awareness ist ein wichtiges Thema im ISMS und wird dort ganz stark betont. Zum Beispiel muss sich der Mitarbeiter bewusst sein, dass die IT-Abteilung niemals anruft und nach dem Passwort fragt. Oder das Thema Social Engineering: Es ist wichtig, dass man am Telefon keine kritischen Informationen herausgibt, wie etwa weitere Ansprechpartner. Auch im privaten Umfeld kommt es mittlerweile häufiger vor, dass jemand anruft und sich etwa als Microsoft-Support ausgibt. Er versucht, durch technische Aussagen Vertrauen aufzubauen – weil das System so ist, wie er es gerade beschrieben hat – und dann tut man das, was der andere gerade sagt. Solch ein Angriffsszenario kann einen im privaten aber auch im beruflichen Umfeld treffen.

Wo stellen Sie bei ihrer Beratungstätigkeit denn noch die größten Lücken im Bereich Sicherheit fest?

Pauschal ist das schwierig zu beantworten. Jedes Unternehmen unterscheidet sich vom anderen. Ein grundsätzliches Thema ist schon die Awareness: Dass die Kollegen und Kolleginnen vor Ort nicht unbedingt immer wissen, wie sind denn gerade aktuelle Angriffsmechanismen. Und sie können oft die mittlerweile automatisierten Werkzeuge der Angreifer nur schwer einschätzen. Die Zeiträume, um zu reagieren, sind heute extrem eng. Das betrifft nicht nur Passwörter, sondern auch Sicherheitspatches, die Schwachstellen schließen. Früher waren es teils Tage, bis man in den gängigen Bereichen des Internets Werkzeuge angeboten bekommen hat, um diese Schwachstelle auszunutzen. Aus den Tagen sind zum Teil nur noch Stunden geworden. Hier braucht es daher neben Technik sicherheitsbewusste Mitarbeiter, um kurzfristig handlungsfähig zu bleiben.

Welche Möglichkeiten gibt es, damit sich ein Angriff nicht über das ganze Verteilnetz ausbreitet, zum Beispiel von den Haushalten aufs Netz zugreift?

Strikte Trennung. Man spricht gerne, insbesondere bei Feldgeräten, von Medienbruch. Es gilt also, eine weitere Komponente dazwischenzuschalten, die die Signale noch mal annimmt, weitergibt und überprüft, ob etwas enthalten ist, das nicht reingehört.

Zudem muss man sich bewusst machen, wo sind meine Risikoschwerpunkte, was muss ich denn schützen? Ist es wirklich nur das Leitsystem? Hat man so etwas wie ein Verzeichnisdienst, ist das gegebenenfalls ein Angriffspunkt? Wenn jemand hier angreift, ist es dann noch möglich, mich am System anzumelden? Nein, ist es nicht. Grundsätzlich ist in Deutschland aber das Thema Smart Meter durch die technische Richtlinie des BSI noch einmal anders gelagert. Außerdem muss man sich die Frage stellen, wenn ich das Stromnetz an sich angreifen würde würde ich wirklich den Weg über die einzelnen Smart Meter nehmen oder würde ich nicht versuchen direkt in die Leitstellen über Social Engineering oder ähnliche Angriffsvektoren einzudringen. Trotzdem kann man das Schadensszenario nicht ganz ausschließen.

Erschienen in Ausgabe: 06/2017

Schlagworte