Das neue IT-Sicherheitsgesetz verlangt von Energiedienstleistern, ihre kritischen Infrastrukturen gegen Cyber-Attacken abzusichern. Gefragt ist deshalb eine gut konzipierte Sicherheitsarchitektur, die laufend überwacht wird. Damit können Energieversorger auch ihrer gesetzlichen Meldepflicht nachkommen.
Die mittelalterliche Burganlage macht es vor: Mit mehreren nacheinander angeordneten Hindernissen wie Wassergraben, Toranlage und einigen Mauerringen schützt sie die innere Burg vor Angreifern und Eindringlingen. Analog dazu sollten auch Energieversorger ihre kritischen IT-Netzwerke schützen und beispielsweise den Weg von einem im freien Feld stehenden Anlagenschrank über die Infrastruktur der Anlage, das WAN (Wide Area Networ, Weitverkehrsnetz) und die zentrale Infrastruktur bis zur Leitstelle durchgehend mit Sicherheitsgliedern schützen. Hat ein Angreifer eines dieser Glieder überwunden, erhält er dadurch nicht automatisch Zugang zur Leitstelle, sondern steht vor weiteren Hindernissen.
Aufmerksamer Wächter
Um Einbruchsversuche in das Prozessnetzwerk sofort zu bemerken und reagieren zu können, bevor größere Schäden entstehen, empfiehlt sich der Einsatz eines so genannten Security Information and Event Management (SIEM). Ein SIEM zeichnet Informationen und Ereignisse aus den Netzwerken auf, setzt sie in Bezug zueinander und macht so sicherheitsrelevante Vorgänge wie Angriffsversuche sichtbar.
Die Voraussetzung dafür sind allerdings „sprechende“ Systeme. E sollten daher in den Prozessnetzwerken bevorzugt Aktivkomponenten eingesetzt werden, die dem SIEM möglichst viele Informationen strukturiert liefern können. Hilfreich sind vor allem Meldungen, die zusammengesetzt ein logischen Bild ergeben. Schaltet sich beispielsweise jemand auf die Management-Oberfläche eines Gateways auf, muss diese Netzwerkkomponente mitteilen können, wer sich dort angemeldet hat. Werden bei einem Anmeldeversuch falsche Passwörter eingegeben, muss das Gateway auch darüber informieren. Bei einer Verletzung von Firewall-Regeln genügt es nicht, wenn lediglich diese Verletzung gemeldet wird. Das Gateway sollte darüber hinaus beispielsweise auch in der Lage sein mitzuteilen, von welcher IP-Adresse die Regelverletzung ausgeht. Nur dann lässt sich etwa feststellen, ob die Verletzung von einem unbekannten Gerät aus begangen wurde.
Auch die Überwachung der sogenannten Baseline kann wertvolle Hinweise liefern. Sie beschreibt das in einem Netzwerk vorhandene Logging-Aufkommen, also gewissermaßen sein Grundrauschen. In Prozessnetzwerken gibt es eine weitgehend konstante Anzahl an Meldungen von Routern, Firewalls und Komponenten zur Steuerung von Anlagen. Diese Eigenschaft lässt sich nutzen, indem man jeweils eine 24-Stunden-Baseline auswertet und sie mit den Baselines der vergangenen Tage vergleicht. Kommt es zu ungewöhnlichem Logging-Aufkommen, wird das sofort offensichtlich. Anomalitäten können dann vom SIEM mit Meldungen in Verbindung gebracht werden, die die Aktivkomponenten des Netzwerks zum selben Zeitpunkt versendet haben.
Auf die Verbindung kommt es an
Die Leistungsfähigkeit eines SIEM steht und fällt mit der Verbindung der Meldungen. Ein ungewöhnliches Netzwerkereignis ist für sich allein meist noch kein Hinweis auf einen Sicherheitsvorfall. Treten aber mehrere solcher ungewöhnlicher Ereignisse auf, ist es wahrscheinlich, dass etwas nicht mit rechten Dingen zugeht. Meldet beispielsweise der Router eines im freien Feld stehenden Anlagenschranks einen Port Up beziehungsweise Port Down, muss das noch nichts bedeuten – schließlich könnte eine Störung oder eine Wartung dahinterstecken. Meldet der Port aber dann zusätzlich eine fremde MAC-Adresse und werden darüber hinaus innerhalb kürzester Zeit mehrere falsche Passwörter eingegeben, besteht durchaus die Möglichkeit eines Einbruchs.
Je nach Anzahl und Korrelation der Meldungen sollte das SIEM die Ergebnisse seiner Verknüpfungen in verschiedene Sicherheitsstufen einteilen. Liegen mehrere Verletzungen vor, die einen zeitlichen und räumlichen Zusammenhang aufweisen und deshalb auf einen möglichen Sicherheitsvorfall hindeuten, sollte das System die höchste Sicherheitsstufe auslösen.
Meldung an Sicherheitsbeauftragten
Erzeugt das SIEM im Fall der höchsten Sicherheitsstufe automatisch ein Sicherheitsformular, kann es den Verantwortlichen im Network Operations Center (NOC) der Energieversorger die Arbeit erheblich erleichtern. Dies dadurch, dass das Formular direkt an ein übergeordnetes ISMS (Information Security Management System) beziehungsweise den vom IT-Sicherheitsgesetz geforderten Informationssicherheits-Beauftragten weitergeleitet wird. Dieser muss dann einschätzen, wie schwerwiegend der Vorfall ist und das Formular dann gegebenenfalls an das BSI übermitteln. Der Meldepflicht, die den Energieversorgern vom IT-Sicherheitsgesetz auferlegt ist, kann so einfacher nachgekommen werden.
Peter Schreieck
Der Autor
Peter Schreieck ist Leiter Communication & Network beim IT-Dienstleister Prego Services in Saarbrücken; er plant, installiert und betreibt mit seinem Team Prozessnetzwerke und kritische Infrastrukturen und arbeitet eng mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen