So schützen Sie OT-Netze in IoT-Umgebungen wirksam

Wenn es um Cyber-Angriffe, wie die von WannaCry, NotPetya und Industroyer geht, haben kriminelle Angreifer immer einen gewissen Vorteil gegenüber den angegriffenen Organisationen: Sie müssen nur einen einzigen Weg in das System finden, während das Sicherheits-Management immer alle potenziellen Einfallstore im Auge haben und schließen muss ( Eine genauere Beschreibung der verschiedenen Angriffsverfahren auf OT-Netze (Operational Technology) lesen Sie in unserem Artikel "So attackiert Malware die OT-Netze der Smart Factory").

Gleichzeitig gilt: Gute Sicherheitsvorkehrungen sind heute durchaus so robust und effektiv, dass sie die erwähnten Angriffe zumindest teilweise erkennen können. Unterschieden werden solche Sicherheitsmaßnahmen in der Regel nach ihrem Wirkungszeitpunkt. Dieser reicht von präventiven über detektiven und korrektiven bis hin zu responsiven Maßnahmen. Ohne Berücksichtigung aller Optionen bleibt das Sicherheits-Management nur eindimensional.

In der Regel sind einzelne Sicherheitslösungen nur für bestimmte Stadien innerhalb des Wirkungsbereichs geeignet. Einige wenige, besonders effektive Lösungen integrieren und automatisieren Sicherheitsmaßnahmen über mehrere dieser Phasen. Es werden allerdings immer auch etablierte Sicherheitsrichtlinien und -prozesse benötigt, damit die eingesetzten Technologien effektiv und nachhaltig arbeiten können. Allerdings: Die eine, beste Lösung gibt es nicht.

Mehr Sicherheit für das OT-Netz

In OT-Umgebungen kann jede aktive Sicherheitsmaßnahme als ein erhebliches Risiko für die Verfügbarkeit und Aktualität von Betriebsprozessen betrachtet werden. Jedes Sicherheits-Patchen stellt zudem eine zusätzliche Herausforderung dar: Denn jeder Patch muss vom Hersteller überprüft und genehmigt werden, um sicherzustellen, dass es keine ungewollten Nebeneffekte auf die Prozesssteuerung gibt. Werden Anlagen und Systeme ohne Hersteller-Freigabe verändert, führt das häufig zu einem Verlust des Supports und der Systemzertifizierung.

Dies geschieht nicht ohne Grund, denn es könnten systemrelevante Funktionen betroffen sein. Es gibt jedoch andere Wege, um OT-Umgebungen auf Angriffe vorzubereiten. Statt etablierte IT-Sicherheitsverfahren eins zu eins auf OT-Umgebungen zu übertragen, sollten sogenannte kompensierende Sicherheitsmaßnahmen berücksichtigt werden.

Präventive Sicherheitsmaßnahmen

Basierend auf den industriellen Sicherheitsstandards (ISA-99 und IEC 62443) dürfen innerhalb eines OT-Systems nur die nötigsten Anwendungen zur Kommunikation berechtigt sein. Zunächst sollte das Netzwerk deshalb in verschiedene Bereiche segmentiert werden. Im besten Fall sind die Sicherheits-Maßnahmen in Anlehnung an eine abgestimmte und regelmäßig aktualisierte IT- und OT-Sicherheitsstrategie auch schon festgelegt worden.

Alle Assets protokollieren

Zudem sollten verschiedene Sicherheitsstufen eingeführt werden und nur Systeme innerhalb einer bestimmten Sicherheitsstufe miteinander kommunizieren dürfen. Jegliche Kommunikation - insbesondere zwischen IT und OT - sowie der relevante Datenverkehr über die Grenzen einer Stufe hinaus müssen dabei überwacht werden. Für eine fundierte Risikoanalyse sollte zudem ein Archiv über alle IT- und OT-Bestände (Assets) geführt werden, in dem unter anderem auch die Eigentümer, Hersteller, Standorte und Konfigurations-Backup-Daten hinterlegt sind.

IT gefährdet OT-Netze

Alle bisher dokumentierten großen Angriffe auf Maschinen, wie die von WannaCry, NotPetya und Industroyer, gelangten über die mit der OT verbundenen IT- Infrastrukturen in das Anlagennetzwerk. Bereits schon durch angemessenes Patchen der IT-Komponenten hätten Unternehmen den erfolgreichen Attacken von WannaCry und NotPetya Einhalt gebieten können. Dabei ist der Aufwand überschaubar: Relevante Patches können in IT-Netzen von einer zentralen Plattform aus gesteuert werden. Bei OT-Beständen ist das jedoch mitunter nicht möglich. Erste Anbieter offerieren mittlerweile jedoch auch Patch-Management-Versionen für OT-Systeme. Diese lassen sich häufig auch mit zentralen Security-Lösungen kombinieren.

Detektive Sicherheitsmaßnahmen

Normalerweise sind zentrale SIEM-Systeme (SecuritySecurity Information and Event-Management) dafür zuständig, verschiedene sicherheitsrelevante Daten zu erfassen, diese zu analysieren, zu korrelieren und - basierend auf vordefinierten Regeln - Alarm auszulösen. Es gibt jedoch auch einige Punktlösungen und Netzwerkflussanalysen, die Cyber-Gefahren erkennen können. Alles zu Security auf CIO.de

Durch eine Kombination dieser Security-Lösungen wäre WannaCry womöglich einfacher zu identifizieren gewesen: Sie hätten die typischen Aktionen, die die Malware ergreifen muss, um die Daten-Wiederherstellung zu verhindern, wahrscheinlich schneller erkannt und Alarm geschlagen. Das Verhalten von NotPetya war ebenfalls verdächtig, da sich die Malware auffällig seitwärts durch die Netzwerkstruktur bewegte, Schwachstellen ausnutzte und mit nicht vertrauenswürdigen Internetquellen kommunizierte, um Passwörter zu knacken. Normalerweise löst ein derartiges Muster eine sofortige Warnung in jedem Standard-SIEM-System aus.

Auch bei Industroyer hätte das System wahrscheinlich Alarm geschlagen. Der installierte Proxy-Server, der auf Anfragen wartete, wäre womöglich erkannt worden. Jeder Test des Proxy-Servers, bei dem mit einer externen IP kommuniziert worden wäre, wäre verdächtig gewesen. Auch die lokale Kommunikation zwischen dem Malware-Backdoor-Modul und einem unbekannten internen Proxy, der Malware-Befehlsaustausch zwischen dem internen Proxy und der externen Befehls-Instanz sowie die Kommunikation mit einem TOR-Knoten, hätten in einem standardmäßigen SIEM-System eine Warnung ausgelöst. Und sowohl beim NotPetya als auch beim Industroyer-Angriff hätte eine Security-Lösung die Dateiintegrität geprüft und vermutlich Alarm ausgelöst, als Dateien verschoben, gespeichert oder überschrieben wurden.

Korrektive Maßnahmen

Aktuelle Patch-Anwendungen können Angriffe, die auf bereits bekannte Sicherheitslücken abzielen, erkennen und potenziell unterbrechen. In einem üblichen Szenario wären WannaCry und NotPetya vermutlich rechtzeitig identifiziert - wenn auch nicht verhindert - worden. Ein modernes SIEM-System hätte zusätzlich gewarnt, so dass laufende Aktionen gestoppt und weitere Zugriffsversuche verhindert worden wären.

Endpoint-Lösung können dabei Systemänderungen nahezu in Echtzeit erkennen und das System manuell in den ursprünglichen Zustand zurück versetzen. Korrektive Maßnahmen sollten in OT-Netzen nur dann eingesetzt werden, wenn der Sicherheitsprozess garantiert funktioniert - andernfalls ist das Risiko ungewünschter Nebeneffekte (etwa Prozessunterbrechungen) zu groß.

Incident Response: schnelle Reaktion auf Sicherheitsvorfälle

Incident Response zielt darauf ab, auf einen Vorfall möglichst schnell zu reagieren. Kann ein Schadcode nicht zeitnah erkannt werden, muss die Analyse gegebenenfalls nachträglich erfolgen. Das Potenzial, Angriffe nachträglich zu identifizieren, ihren Angriffsweg und -Zeitpunkt nachzuverfolgen und potenziell gefährdete Systeme zu verorten sowie eine schnelle Rückkehr in den Regelbetrieb aufzunehmen, trägt hier wesentlich zur Reduzierung von Kosten eines Angriffs bei. Insbesondere bei gezielten Angriffen kann die forensische Analyse die erste, letzte und einzige Möglichkeit sein, einen Sicherheitsverstoß überhaupt zu identifizieren.

Endpunkt-Lösungen unterstützen eine ganze Reihe von Response-Maßnahmen: Von der Geräte- und Dateiquarantäne (WannaCry, NotPetya) bis hin zum kompletten Prozessabbruch (im Fall von Industroyer). Aber auch hier gilt: Es sollten Reaktionspläne in der Schublade liegen, die regelmäßig überprüft werden. Die Verantwortlichen sollten damit umgehen können und in der Lage sein, schnell auf Zwischenfälle zu reagieren.

Die letzte mögliche Maßnahme: Wiederherstellung

Protokolle, Konfigurationen, Firmware und Daten sollten in jedem Fall gesichert werden. Das Backup sollte archiviert und die Mitarbeiter jederzeit in der Lage sein, Wiederherstellungsprozesse durchzuführen.

Die Grafik fasst die Wirkungsphasen von Sicherheitsmaßnahmen zum besseren Schutz industrieller Infrastrukturen vor Bedrohungen zusammen.

Für WannaCry und NotPetya gab und gibt es nur begrenzte Möglichkeiten, die Infektion und deren Verbreitung in OT-Umgebungen zu verhindern. Jedoch hätten Kommunikationsversuche des Schadcodes, egal wie selten sie auch waren, potenziell entdeckt werden können. Erst recht, wenn ein SIEM-System vorhanden gewesen und entsprechend gewartet worden wäre.

Bei Industroyer ist der Infektionspfad bis heute nicht geklärt. Allerdings hätte die Anzahl der Schritte nachvollzogen werden können, die notwendig sind, um den Schadcode in den Controller zu schleusen. Das wäre dann zwar keine präventive Aktion mehr gewesen, aber immerhin wären dadurch die Anzeichen für ein Eindringen in das System von außen früher erkannt worden, um schneller reagieren zu können.

Fazit

Natürlich sind nicht alle Angriffe immer vermeidbar, insbesondere wenn sie sehr intelligent und ausgeklügelt durchgeführt werden. Allerdings gibt es in jedem Fall Alarmzeichen, mit anhand derer Cyber-Attacken schneller erkannt und auch gestoppt werden können. Dazu müssen jedoch rechtzeitig entsprechende Sicherheitsmaßnahmen, zu denen auch automatische OT-System-Updates und der Einsatz von SIEM-Systemen gehören, getroffen werden.