Angriffserkennung auf allen Ebenen

03.05.2021 – Das neue IT-Sicherheitsgesetz verschärft die Anforderungen an Kritische Infrastrukturen, während die Zahl an Cyber­angriffen stetig zunimmt. Eine ganzheitliche Betrachtung scheint dringend geboten.

Wenn Mitte dieses Jahres die Novellierung des IT-Sicherheitsgesetzes verabschiedet wird, bleiben den als Kritische Infrastruktur eingestuften Energieversorgungsunternehmen (EVU) nur zwölf Monate, um ein System zur Angriffserkennung umzusetzen. Die Betreiber stehen damit vor einigen Herausforderungen. Konkret ist im aktuellen Entwurf unter Artikel 3 zur Änderung des EnWG die Ergänzung eines Absatzes in §11 vorgesehen. Darin werden die fraglichen Unternehmen aufgefordert, „in ihren informationstechnischen Systemen, Komponenten oder Prozessen, die für die Funktionsfähigkeit der von ihnen betriebenen Energieversorgungsnetze oder Energieanlagen maßgeblich sind, in angemessener Weise Systeme zur Angriffserkennung einzusetzen“.

Klaus Mochalski, CEO des OT-Sicherheitsanbieters Rhebo GmbH, erläutert, weshalb das geforderte System zur Angriffserkennung nach seiner Einschätzung ganzheitlich gedacht werden muss. „Digitalisierung, Vernetzung, Fernsteuerung und die Konvergenz von IT, Fernwirk- und Netzleittechnik haben zur Öffnung der industriellen IT (oder auch OT) geführt. Unternehmens-IT und Netzleittechnik teilen sich heute unzählige Schnittstellen. Klassische IT-Komponenten wie Windows-PCs halten in der Netzleittechnik Einzug. Industrielle Anlagen sind zwecks Datenaustausch und Fernwartung aus der Ferne erreichbar und werden in der Regel aus der zentralen Leitwarte ferngesteuert.“ Sein Unternehmen untersucht industrielle Netzwerke von Energieversorgern auf Schwachstellen und überwacht mittels Netzwerkmonitoring und Anomalieerkennung die darin stattfindende Kommunikation kontinuierlich auf verdächtige und abweichende Vorgänge. „Der Stand heute ist, dass viele EVU sich auf die IT-Sicherheit konzentrieren“, beschreibt Mochalski seine Erfahrungen. „Die Netzleittechnik wird zwar von der IT als eigenes Segment getrennt geführt. In der Regel kommen auch klassische Firewalls zur Perimetersicherung zum Einsatz. Darüber hinaus wissen die Unternehmen aber nicht, was konkret in der Netzleit- und Fernwirktechnik passiert.“

John-Samsock_Shutterstock-com_-Grafik--pixabay_OpenClipart-Vector
Foto: John Samsock / Shutterstock.com; Grafik: pixabay (OpenClipart-Vector)

Nach eigenen Angaben stellen die Experten von Rhebo bei initialen Risiko- und Schwachstellenanalysen, die sie unter anderem bei Mitnetz Strom, Thüringer Energienetze und Stromnetz Hamburg durchgeführt haben, durchschnittlich zwei Dutzend verdächtige Vorgänge oder Anomalien fest. Diese reichen von nicht gepatchten Schwachstellen und unbekannten Geräten über ungesicherte Verbindungen ins Internet und neue Protokolle bis zu Netzwerkscans und der Nutzung von WhatsApp über die Betriebssysteme.

Cybersicherheit über alle Systeme

Noch gravierender sei dieser Zustand in den dezentral geführten Anlagen wie Umschaltstationen, EE-Anlagen und Umspannwerken, deren informationstechnische Systeme, Komponenten und Prozesse eindeutig unter die neuen gesetzlichen Vorgaben fallen. „Die Betreiber von EVUs haben eigentlich null Sichtbarkeit in die Fernwirk- und Netzleittechnik ihrer dezentralen Anlagen“, so Mochalski weiter. „Anomalien – ob durch Cyberangriffe, Manipulation oder technische Fehlerzustände – können eigentlich erst erkannt werden, wenn sie auf die Leitwarte überspringen oder der Schaden vor Ort eingetreten ist.“

Das Gegenargument, die dezentralen Anlagen hätten selten eine Schnittstelle zum Internet und seien deshalb wenig relevant bei der Betrachtung der Cybersicherheit, greife laut Mochalski zu kurz. Medienwirksame Vorfälle wie Industroyer oder SolarWinds zeigten, dass den Angreifern ausreichend Möglichkeiten zur Verfügung stünden, um die Netzleittechnik zu kompromittieren. Beim Industroyer-Vorfall hatten sich 2016 staatlich gestützte Angreifer über Monate von der Unternehmens-IT des Energieversorgers Ukrenergo bis zu einem 330-kV-Umspannwerk vorgearbeitet und dieses zum Ausfall gebracht. Der Ende 2020 öffentlich gewordene Skandal um SolarWinds zeigt eine weitere Angriffstechnik, die in Zukunft nach Mochalskis Einschätzung häufiger zu sehen sein wird: der Supply Chain Compromise. „Angreifer suchen sich immer den schwächsten Punkt im System“, erklärt Mochalski. „Und da heute in Netzwerken ein komplexes Zusammenwirken von Fremdkomponenten, Dienstleistern und Automatisierungsprozessen besteht, muss dieser schwächste Punkt nicht einmal beim Zielunternehmen liegen. Stattdessen erfolgt der Erstangriff über die Lieferkette. Das kann ein Komponentenhersteller sein, aber auch ein Serviceunternehmen, das beispielsweise die Wartung und Konfiguration der Anlagen übernimmt.“

Im Falle SolarWind hatten die Angreifer die Netzwerkmanagementplattform Orion des IT-Dienstleisters SolarWind kompromittiert, um von dort in die Kundennetzwerke einzudringen. Die Angreifer erhielten dadurch teils sehr weitreichenden Zugriff auf die Systeme unter anderem von Microsoft und einer Vielzahl von Regierungsbehörden. „Dieser Vorfall verdeutlicht vor allem, dass die Grenzen der eigenen Netzwerke nie absolut sicher sind“, warnt Mochalski. Die Angreifer hätten zudem meist alle Mittel für ausgiebige Vorabanalysen, Reverse Engineering von Komponenten und das Verschleiern von Aktionen. Auch verfügen sie über Ressourcen, um sich mehrstufig von einem oder mehreren Dienstleistern zum Zielsystem vorzuarbeiten.“ Damit rücken bei der Angriffserkennung neben der Leitwarte auch die unzähligen Unterstationen in den Fokus. Bei einem EVU hat Rhebo in diesem Zusammenhang über 1.600 Geräte von zwei Dutzend Herstellern identifiziert, die über 50 Unterstationen verteilt und über Schnittstellen vernetzt waren.

Maskierte Cyber-Angriffe erkennen

Deshalb müsse die Kommunikationsüberwachung von den Netzwerkgrenzen in die Netzwerke hinein erweitert werden. „Eine Firewall und die gängigen Intrusion Detection Systeme haben ihre Berechtigung. Jedoch sind sie den oben genannten Vorgängen gegenüber blind – auch aufgrund ihrer Funktionalität“, so Mochalski. Diese folge in der Regel noch immer dem Prinzip der Blocklists. Die Kommunikation wird auf bekannte Schadsignaturen untersucht, die anschließend geblockt werden. Bei laut BSI täglich über 400.000 neuen Schadsoftware-Varianten wird die Aktualisierung der Blocklists zur echten Herausforderung – zumal die Angreifer gelernt haben, ihre Kommunikation zu verschleiern. Häufig werden auch Zugänge und Nutzerkonten mit Administratorrechten übernommen, wodurch die Kommunikation, oberflächlich betrachtet, legitim erscheint. Vor diesem Hintergrund bezweifeln Sicherheitsexperten, ob solche Lösungen einer weiteren Anforderung des IT-Sicherheitsgesetzes genügen: Laut des §8a muss ein System zur Angriffserkennung geeignete Parameter beziehungsweise Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Es sollte dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden.

Um dies zu gewährleisten, plädiert Mochalski für ein industrielles Netzwerkmonitoring mit Anomalieerkennung: „Das Netzwerkmonitoring hat den Vorteil, dass es den Innenblick auf die Netzleit- und Fernwirktechnik gibt.“ Die ­Anomalieerkennung bewirke, dass jegliche Kommunikation, die im Netzwerk vom zu erwartenden Verhalten abweicht, gemeldet wird. „Dadurch wird nicht nur Sichtbarkeit von der Leitwarte bis zur Unterstation hergestellt. Es wird auch verdächtige Kommunikation erkannt, die sich maskiert oder über autorisierte Kanäle läuft.“

Energieversorgungsunternehmen wie die BayWa r.e. AG, e-netz Südhessen und EWR Worms hätten damit Schwachstellen, technische Fehlerzustände und verdächtige Vorgänge in ihrer Netzleittechnik beseitigt, die sonst übersehen worden wären. Wer aktiv Schwachstellen und Abweichungen erkennen kann, brauche dann auch keine Sorge mehr zu haben, wenn das BSI nach §7b zukünftig selbstständig Penetrationstests und Schwachstellen-Screenings bei den EVU vornehmen darf. (pq)

Rhebo GmbH
Klaus Mochalski
klaus.mochalski@rhebo.com
www.rhebo.com

Share