Sicherheit in komplexen Netzwerken

23.03.2021 – Versorger wie die LEAG und die RheinEnergie AG haben mit Unterstützung des Cyber­security-Unternehmens secunet ein Informationssicherheitsmanagementsystem (ISMS) umgesetzt. Das System kann dabei als Ausgangspunkt für intelligentes Monitoring dienen.

Cyberangriffe auf kritische Infrastrukturen werden immer vielfältiger und professioneller. Sie bedrohen nicht nur Betriebsgeheimnisse, sondern können auch messbare, physische Schäden anrichten und zum Beispiel die Energieversorgung der Bevölkerung gefährden. Gemäß dem IT-Sicherheitsgesetz sowie den IT-Sicherheitskatalogen der Bundesnetzagentur müssen KRITIS-Betreiber wie etwa Energieversorger deshalb ein ISMS aufsetzen und betreiben. Das Cybersecurity-Unternehmen secunet hat unter anderen auch die LEAG und die Rhein­Energie AG bei der Umsetzung der gesetzlichen Vorgaben unterstützt und begleitet.

LEAG_deepadesigns_Shutterstock-com
Bild: LEAG; deepadesigns / Shutterstock.com

 

ISMS-Implementierung bei der LEAG

Die Lausitz Energie Kraftwerke AG (LEAG) mit Sitz in Cottbus ist einer der größten deutschen Energieversorger. Zur Implementierung eines Informationssicherheitsmanagementsystems (ISMS) startete die LEAG ein Projekt mit Unterstützung von secunet. Es sollte die bestehenden Konzepte für Arbeitsschutz, Umweltschutz und Qualitäts- und Energiemanagement sinnvoll ergänzen. „Des Weiteren wird das Personal im Bereich der Informationssicherheit stetig weiterqualifiziert“, erläutert Steffen Heyde, Division Industry, secunet Security Networks AG.

Höhere Sicherheitskultur bei der RheinEnergie AG etablieren

Der Kölner Regionalversorger RheinEnergie AG ging über die gesetzlichen Anforderungen hinaus: Obwohl lediglich einzelne Hauptabteilungen der RheinEnergie AG in den gesetzlichen Geltungsbereich für das ISMS fallen, entschied sich das Unternehmen, das System unternehmensweit auszurollen. „Dafür wurde zunächst ein übergeordnetes Rahmen- und Regelwerk gemeinsam mit secunet definiert, um anschließend die Prozesse in den einzelnen Hauptabteilungen zu etablieren“, berichtet Heyde. Darüber hinaus wurden Mitarbeiter und Führungskräfte für das Thema Informationssicherheit sensibilisiert und so eine Sicherheitskultur etabliert, die von der Belegschaft mitgetragen wird.

Informationssicherheitsmanagementsystem weitergedacht

Das IT-Sicherheitsgesetz fordert angemessene Maßnahmen nach dem „Stand der Technik“. Dazu gehört, die Cybersicherheitslage in den IT- und OT-Netzwerken einschätzen zu können. Auch für die unternehmensinterne Berichterstattung zur Gesamtsicherheitslage sind solche Maßnahmen wichtig: In dem Bericht des IT-Sicherheitsbeauftragten oder Chief Information Security Officer (CISO) an die Unternehmensleitung sollten neben Auswertungen aus dem (IT-)Risikomanagement auch erhobene Daten aus den operativen Bereichen berücksichtigt werden. „Dazu ist es sinnvoll, zentrale Kennzahlen (KPIs) auszuwerten, die unter anderem aus Beobachtungen der IT- und OT-Netzwerke resultieren“, sagt Steffen Heyde. Nicht zuletzt sind KRITIS-Betreiber verpflichtet, IT-Sicherheitsvorfälle an die zuständigen Aufsichtsbehörden wie das BSI zu übermitteln – auch deshalb ist es wichtig, sie frühzeitig zu erkennen.

Hier bietet das ISMS laut Steffen Heyde ausgezeichnete Ansatzpunkte: „Nach und nach lässt es sich um weitere sinnvolle Bausteine ergänzen. Ein IT-Sicherheitsmonitoring etwa liefert Real-Time-Analysen, mit denen der ISMS-Ansatz mit Daten unterfüttert werden kann. Damit lässt er sich quantifizieren und mit exakten Key Performance Indicators (KPIs) verbinden.“ Zudem unterstütze ein technisches Sicherheitsmonitoring die Verantwortlichen dabei, ein Lagebild zu erstellen und potenzielle Sicherheitsvorfälle schnell zu sichten, einzuordnen, einzudämmen oder zu unterbinden – auch, wenn noch kein Schaden eingetreten ist. Zusätzlich erleichtert es die Bewertung durch das Management und die zuständigen Behörden. Unternehmen werden damit auch in die Lage versetzt, Strategien und Maßnahmen sehr zielgerichtet zu entwickeln und umzusetzen.

Lagebild-Tool

Ein wirksames IT-Sicherheitsmonitoring sollte über ein Sicherheitslagebild-Tool verfügen. secunet hat deshalb die Lösung secunet monitor entwickelt, die modulare Tools für Netzwerkanalyse, Detektion, Compliance und Prävention bietet.

secunet Anomalien_20200625_anonym
Der secunet monitor. Bild: secunet Security Networks AG

Netzwerkanalyse

Durch die fortschreitende Integration von OT-Netzen in die IT stehen die IT-Verantwortlichen vor der Herausforderung, dass sie nun auch diese verstehen und verwalten müssen. Steffen Heyde: „Eine passende Monitoring-Lösung, die über eine automatisierte Real-Time-Analyse gängiger Protokolle aus der IT- und OT-Welt verfügt, bietet die Möglichkeit, ohne viel Mehraufwand und mittels der gewohnten Werkzeuge Transparenz in der OT zu erlangen.“ Im Gegensatz dazu könnten spezialisierte OT-Sicherheitsmonitoring-Lösungen oft nur die OT-Protokolle verstehen und seien den bekannten Gefahren aus der IT, die nun immer mehr in die OT übergreift, nicht gewachsen. „Wichtig ist ferner, dass die Netzwerkanalyse standardmäßig rein passiv durchgeführt wird und keinen Einfluss auf die Produktionsnetze nimmt. So wird die Funktionsfähigkeit der jeweiligen Anlage nicht gestört“, führt er aus. Da dabei alle kommunizierenden Komponenten (Assets) erkannt, identifiziert und inventarisiert werden, leistet die Software auch einen wesentlichen Beitrag zum Asset-Management im Rahmen des ISMS.

Angriffserkennung (Detektion)

IT-Sicherheitsmonitoring entdeckt Verhaltensauffälligkeiten (Anomalien) und erkennt Hinweise auf zielgerichtete Angriffe im Netzwerk. „Werden diese sichtbar, sind sie oft auch behandelbar. Die Unternehmen können schnell reagieren, Schäden reduzieren und eine weitere Ausbreitung oder gar eine Eskalation verhindern“, erläutert der secunet-Fachmann.

Schwachstellenanalyse (Compliance)

Viele Systeme und Protokolle weisen Schwachstellen auf – und oft ist nicht einmal bekannt, wo diese kompromittierten Systeme und Protokolle überall zum Einsatz kommen. Lösungen wie secunet monitor decken automatisiert Schwachstellen auf – etwa die Nutzung älterer SMB-Protokolle oder schwacher Verschlüsselungsalgorithmen – und erzeugen einen Bericht zu deren weiterer Behandlung. Zusätzlich identifizieren sie auch unbekannte Kommunikationsverbindungen und analysieren sie. Diese Informationen können in einen automatisiert erstellten Management-Report einfließen.

IDS/IPS (Prävention)

Wie Steffen Heyde berichtet, lässt sich das IT-/OT-Sicherheits­monitoring auch mit Industrie-4.0-Sicherheitslösungen kombinieren, um weitergehende Sicherheitsmaßnahmen aufzubauen. „Beispielsweise bietet die Lösung secunet edge zusammen mit secunet monitor ein Intrusion Detection & Prevention System (IDS/IPS). Diese Funktion verhindert die Ausbreitung von Angriffen und sichert die Funktionsfähigkeit des Netzwerks.“

Eine leistungsfähige Monitoringlösung erweist sich damit offenkundig als sinnvolle Ergänzung zum vorgeschriebenen Informationssicherheitsmanagementsystem. Anwender können Ereignisse, die sich zu Sicherheitsvorfällen entwickeln könnten, frühzeitig erkennen, schnell reagieren und ähnlichen Fällen vorbeugen. Das System bereitet Daten so auf, dass sie dem Management sofort zur Verfügung gestellt werden und im Rahmen der Governance-, Risikomanagement- und Compliance-Prozesse genutzt werden können. So lassen sich deutlich schneller und präziser Entscheidungen ableiten, Maßnahmen genehmigen und deren Erfolg prüfen – und damit letzten Endes eine sichere Energieversorgung gewährleisten. (pq)

secunet Security Networks AG
Steffen Heyde
steffen.heyde@secunet.com
www.secunet.com

Share