Was sollten wir im Falle eines Cybersicherheitsvorfalls in einer industriellen Umgebung tun?

vPierre Compliance, DevOps, DevSecOps, Kommentar, Sicherheit / Security Leave a Comment

Die Unvermeidlichkeit von Cyberangriffen in der heutigen Zeit bedeutet, dass Industrieanlagen auf der ganzen Welt ihre Investitionen in die digitale industrielle Cybersicherheit neu priorisieren sollten. Da sich die Prioritäten verschieben, besteht die größte Notwendigkeit darin, die Ausgaben für Strategien und Instrumente zur Erkennung und Reaktion auf Vorfälle im Vergleich zu traditionellen Schutz- und Präventionsmethoden zu verbessern.

Mit anderen Worten: Es ist klar, dass es nicht mehr ausreicht, einen typischen Netzsicherheitsperimeter aufzubauen und zu hoffen, dass er den Angreifer fernhält. Die Verfahren müssen so konzipiert sein, dass sie Angriffe bewältigen können. Zudem müssen sie in der Lage sein, jeden Schaden zu mildern und zu reparieren, sobald jemand eingedrungen ist.

Diese Botschaft scheint bereits in die Welt der Unternehmens-IT durchzudringen, wo das Ausmaß des Problems durch die neue Gesetzesgrundlage und das öffentliche Bewusstsein für neue Vorschriften deutlich geworden ist. Wenn es jedoch um die Steuerungstechnik (Industrial Control System, abgekürzt ICS [1]) geht, haben viele Unternehmen immer noch Schwierigkeiten, sich anzupassen. Die alte Ausgabenregel 80/20, die besagt, dass 80 % der Ausgaben für Prävention und Schutz und nur 20 % für Erkennung und Reaktion getätigt werden, gilt nach wie vor.

Es gibt bereits Anzeichen dafür, dass sich das ändern wird. Für die Anbieter kritischer Infrastrukturen in den Bereichen Banken, Versicherungen, Wasser, Fertigung, Energie, Transport und Gesundheit könnte die unzureichende Vorbereitung auf einen möglichen Vorfall bedeuten, dass neue Vorschriften, wie die Richtlinie der Europäischen Union (EU) über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie) [3], in Kraft treten. Compliance ist jedoch nur ein Motivationsfaktor. Ein methodischer und gut strukturierter Plan zur Bewältigung von Vorfällen kann die Sicherheit verbessern und dazu beitragen, finanzielle oder Reputationsschäden zu vermeiden.

 

Verständnis der Reaktion

Ein erfolgreicher Angriff auf Steuerungstechnik [2] könnte sich auf zahlreiche verschiedene Systeme verschiedener Hersteller auswirken und das Verständnis der richtigen Antwort angesichts dieser Komplexität erfordert hochspezialisierte Fähigkeiten und die Beteiligung verschiedener Parteien, einschließlich Engineering, Lieferanten, Systemintegratoren und weiterer. Da Steuerungstechnik-Systeme in der Regel nicht für die umfassenden Ebenen der Protokollierung oder Speicherung von Daten im Langzeitspeicher konfiguriert sind, ist das forensische Toolkit zur Problemisolierung ganz anders als in der IT-Welt und manchmal unmöglich.

Hinzu kommt, dass Steuerungstechnik-Umgebungen sowohl von generalisierter Schadsoftware als auch von sehr ausgeklügelten, spezifischen Gefährdungen bedroht sind. Das Versäumnis, entsprechende Maßnahmen zu ergreifen, könnte zu verheerenden Ergebnissen führen, die sich möglicherweise auch auf physikalische Prozesse auswirken. Die Triton-Schadsoftware zum Beispiel wurde – mit großem offensichtlichem Aufwand – für ein Safety Instrument System (SIS) entwickelt, wie es in Kraftwerken auf der ganzen Welt eingesetzt wird. Wenn sie nicht versehentlich dieses SIS (Safety Instrument System) ausgelöst hätte, wäre es vielleicht unentdeckt geblieben, bis es seine endgültige Nutzlast geliefert hätte. Während wir vielleicht nie erfahren werden, was das Ziel seiner Erschaffer war, hatte es sicherlich das Potenzial, Massenstörungen in einer sehr sensiblen Umgebung zu verursachen, was möglicherweise zum Verlust vieler Menschenleben geführt hätte.

Vorbereitung (Schritt 1)

Eine gute Vorbereitung ist das A und O und dazu gehört eine gründliche Risikobewertung. Diese beginnt bei der Schulung des Personals und endet bei der Erstellung von Kontaktlisten mit den notwendigen Ansprechpartnern. Hier sollten auch Schwierigkeitn bei der Erreichbarkeit berücksichtigt werden.

Worst-Case-Szenarios, die eine Kommunikation stören, eine gefährliche Umgebung erschaffen, vielleicht sogar an einem abgelegenen Ort wie einer Ölplattform, müssen durchgeprobt und regelmäßig aktualisiert werden. Das Einbeziehen externer Parteien in die Planungsphase ist ebenso wichtig wie die Einhaltung der vertraglichen Verpflichtungen.

Identifizieren von Ereignissen (Schritt 2)

Der zweite Schritt besteht in der Identifizierung von Beschädigungen im System und genau hier kämpfen viele Unternehmen. Die Fähigkeit, ungewöhnliche Verhaltensweisen zu erkennen und richtig zu klassifizieren, ist entscheidend für das Ergreifen geeigneter Maßnahmen. Viele der von uns durchgeführten Penetrationstests sind erfolgreich und zeigen, dass in diesem Bereich noch viel Arbeit zu leisten ist. Die gute Nachricht ist, dass es Instrumente gibt, die eine heuristische Überwachung und Frühwarnungen vor möglichen Angriffen bieten.

Sobald ein Problem erkannt wird, ist es wichtig, die Art eines Ereignisses zu verstehen und das  Potenzial zu erkennen, das die Schäden verursacht. Das Herausfiltern von Fehlalarmen erfordert Erfahrung und ein hohes Maß an technischem Geschick.

Eindämmung (Schritt 3)

Als Nächstes kommt die Eindämmung und dazu bedarf es wiederum Protokollen, in denen geeignete Vorgehensweisen festgelegt werden, die entscheidend sein können, um in einer Krise den Kopf frei zu halten. Ein vorschnelles Handeln kann für den Betrieb genauso schädlich sein wie zu spätes Eingreifen. Kann die Bedrohung durch einfaches Trennen des Netz-Hosts oder durch Isolation eines Teils der Produktionslinie eingedämmt werden? Gibt es einen Plan zur Trennung des Steuerungstechnik-Netzes, wenn Schadsoftware im Unternehmensnetz entdeckt wird? Die richtige Strategie verhindert unnötige Ausfallzeiten und erleichtert forensische Untersuchungen, wenn Daten über Systemzustände erhalten bleiben.

Es versteht sich von selbst, dass die Kontrolle von Reputationsschäden wichtig ist. Die Fähigkeit, in Krisenzeiten mit Wissen und Transparenz zu kommunizieren, ist entscheidend bei der Entschärfung eines Problems.

Beseitigung (Schritt 4) und Wiederherstellung (Schritt 5)

Der vierte und fünfte Schritt besteht darin, die Bedrohung zu beseitigen und die Umwelt so schnell wie möglich wieder online zu bringen, in eine ideale Welt mit einem gut dokumentierten Prozess zur Wiederherstellung aus vertrauenswürdigen „goldenen Images“.

Datensicherung und Wiederherstellung stellen jedoch gewisse Schwierigkeiten dar: Ein zentrales Thema ist die Herausforderung, diese Fähigkeit und die Datenwiederherstellungen regelmäßig zu testen. Der Stillstand einer Produktionslinie für umfassende Bedrohungen ist schwierig, während die Aufrechterhaltung einer Replikationsumgebung für Tests für die meisten unerschwinglich ist. Technologien wie die Virtualisierung, die in der Branche weit verbreitet ist, können die erforderliche Flexibilität und Sicherheit bieten.

Lernen (Schritt 6 ) und Wiederholen (Schritt 7)

Und schließlich betonen die Schritte sechs und sieben die Notwendigkeit, jedes Ereignis zu dokumentieren, Schwachstellen zu identifizieren und ein Wiederauftreten zu verhindern. Als nächsten Schritt optimieren und testen Sie Ihre Prozesse und schulen Ihre Mitarbeiter mit Hilfe von Angriffssimulationen und verschiedenen Übungen und wiederholen dies regelmäßig.

Das Stichwort, auf das wir immer wieder zurückkommen, sind jedoch die Fähigkeiten zu handeln. Ein Vorfallsreaktionsplan kann nur so effektiv sein wie die Menschen, die ihn erstellen und auch umsetzen. Diese Fähigkeiten müssen vor dem Hintergrund einer chronischen Unterinvestition in der Vergangenheit gepflegt werden. Unternehmen müssen die Dienste externer Stellen in Anspruch nehmen, die in der Lage sind, branchenübergreifende Steuerungstechnik-Erfahrung in die Herausforderungen einzubringen. Es ist immer besser, Probleme als Partner zu antizipieren als später als Opfer nach einem Angriff.

 

Links

[1] Industrial Control System (ICS)
[2] Steuerungstechnik
[3] Vgl. ABl. der Europäischen Union Nr. L 194/1 v. 19.07.2016, abrufbar unter: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016L1148&from=DE.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.