Schutz kritischer Infrastrukturen
Wie Energieversorger Cyber-Angriffe erkennen können
Fortsetzung des Artikels von Teil 1
Relevante Informationen an zentraler Stelle sammeln und auswerten
Zu den gesetzlichen Auflagen für Energieversorger könnte aber auch bald eine erweiterte Meldepflicht zählen. So enthält das geplante neue IT-Sicherheitsgesetz Regelungen für Unternehmen, die von einem Cyber-Angriff betroffen sind – darunter die Vorschrift, schwerwiegende Vorfälle an das BSI zu melden, damit das Bundesamt sie auswerten und gegebenenfalls andere potenzielle Opfer warnen kann. Zu den Branchen, für die diese Pflicht bindend sein soll, zählt unter anderem das Energiewesen. Angesichts der Bedeutung dieses Themas entwickeln spezialisierte IT-Dienstleister derzeit so genannte SIEM-Lösungen (Security-Information-and-Event-Management) für Energiedienstleister. Ihre Aufgabe wird es sein, relevante Informationen von den Komponenten des Prozessnetzwerks wie Gateways, Switches, Firewalls oder Intrusion-Detection-Systemen an zentraler Stelle zu erfassen und auszuwerten, um so mögliche Sicherheitsvorfälle zu erkennen.
Der entscheidende Knackpunkt ist dabei die intelligente Verknüpfung dieser Informationen. Ein ungewöhnliches Netzwerk-Ereignis ist für sich allein noch kein Hinweis auf einen Sicherheitsvorfall. Treten aber mehrere solcher ungewöhnlicher Ereignisse auf, die sich in einen Zusammenhang bringen lassen, und laufen diese innerhalb eines bestimmten Zeitraums ab, steigt die Wahrscheinlichkeit, dass etwas nicht mit rechten Dingen zugeht. Diese Zusammenhänge muss ein SIEM aufzeigen und es damit den Sicherheitsverantwortlichen ermöglichen, einen schwerwiegenden Vorfall zu erkennen.
Folgendes stark vereinfachtes Beispiel soll das Grundprinzip veranschaulichen, ohne dabei zu viele Security-relevante Details zu verraten: Meldet der Router eines im Feld stehenden Anlagenschranks einen Link-Up, muss das noch nichts Besorgniserregendes bedeuten – schließlich könnte eine Störung dahinter stecken. Meldet der Port aber dann zusätzlich eine fremde MAC-Adresse und es wird wiederholt versucht, ein Passwort einzugeben, um sich an einem Gerät anzumelden, sollte man misstrauisch werden. Finden viele solcher Versuche innerhalb kürzester Zeit statt, könnte dies unter anderem eine Brute-Force-Attacke sein, bei der ein Angreifer versucht ein Passwort zu knacken, indem er von einem speziell dafür geschriebenen Computer-Programm alle möglichen Kombinationen von Buchstaben und Zahlen ausprobiert.
- Wie Energieversorger Cyber-Angriffe erkennen können
- Relevante Informationen an zentraler Stelle sammeln und auswerten
- Große Unterschiede zu Büro-Netzwerken
Lesen Sie mehr zum Thema
