Schutz kritischer Infrastrukturen
Wie Energieversorger Cyber-Angriffe erkennen können
Fortsetzung des Artikels von Teil 2
Große Unterschiede zu Büro-Netzwerken
Die gute Nachricht ist: Prozessnetzwerke unterscheiden sich erheblich von den Netzwerkumgebungen einer Büro-IT. Hier finden sich oft hunderte von PCs, Druckern und sonstigen Geräten, die ständig ein- und ausgesteckt, ausgetauscht oder erneuert werden, und damit einen unüberschaubaren Traffic erzeugen. Prozessnetzwerke sind im Vergleich dazu starre Systeme mit wenig Datenverkehr und ausschließlich gültigen Kommunikationsbeziehungen. Dadurch fällt es beispielsweise sofort auf, wenn an irgendeiner Stelle ein neues Gerät hinzukommt. Außerdem machen Gateway-Spezialisten wie Insys Icom ihre Netzwerkkomponenten zunehmend „sprechend“. Router etwa können so immer mehr Informationen an Log-, Monitoring- und Reporting-Tools übermitteln, die als Plattform für eine SIEM-Lösung dienen.
Diese sollten die Informationen so aufbereiten, dass die Verantwortlichen einschätzen können, ob es sich wirklich um einen Sicherheitsvorfall handelt, oder ob lediglich eine Betriebsstörung vorliegt. Außerdem müssen sich auch Wartungsfenster im System hinterlegen lassen, damit sofort erkennbar ist, ob vermeintlich ungewöhnliche Ereignisse im Netzwerk ihre Ursache lediglich in Instandhaltungs- oder Pflegearbeiten haben. Legen die Informationen einen Sicherheitsvorfall nahe, erzeugt das System idealerweise automatisch ein entsprechendes Formular zur Qualifizierung durch die intern Verantwortlichen. Kommen diese zu dem Ergebnis, dass es sich tatsächlich um einen schwerwiegenden Fall handelt, können sie es direkt an das BSI senden, ohne dass dafür weitere manuelle Tätigkeiten nötig sind. Das BSI bewertet diese Informationen dann und gibt die Erkenntnisse daraus gegebenenfalls an alle Betreiber weiter – so zumindest ist es vom Gesetzentwurf vorgesehen.
Doch die Vorteile einer solchen SIEM-Lösung gehen weit über die bloße Erfüllung der Meldepflicht hinaus. Indem es einen Cyber-Angriff frühzeitig „lautstark“ werden lässt, gewinnen die Betreiber des Prozessnetzwerks Zeit, um ihn einzudämmen. Wirklichen Schaden kann ein Hacker erst dann anrichten, wenn er sich Zugriff auf die Systeme verschafft hat. Wird sein Angriff aber bereits auf dem Weg dorthin entdeckt – weil die Kombination der Meldungen offenbart, dass er versucht ins Netzwerk einzudringen – lässt sich dies rechtzeitig verhindern.
Durch ihre forensischen Möglichkeiten macht sie außerdem ein hartes Abschalten von Kommunikationsbeziehungen – wie dies etwa Intrusion Prevention Systeme im Fall ungewöhnlicher Vorgänge sofort tun – überflüssig. So wird verhindert, dass bei Störungen unnötigerweise ganze Sicherheitszonen vom Netz genommen werden. Außerdem kann solch ein hartes Abschalten Saboteure geradezu einladen: Wissen sie, dass das System so empfindlich ist, fühlen sie sich vielleicht versucht, durch das bloße Einspielen einer falschen MAC-Adresse große Ausfälle zu provozieren.
Mitarbeiter genauso wichtig wie die Technik
Soviel zu den technischen Möglichkeiten. Wie immer beim Thema IT-Sicherheit gilt aber auch beim Schutz von Prozessnetzwerken: Die Technik ist nur die halbe Miete, denn genauso wichtig sind die Mitarbeiter. Ein Sicherheitskonzept steht und fällt mit seiner Umsetzung durch alle Beteiligten. Vor allem wenn die Anwender einbezogen werden, erhöht sich der Schutz vor Angriffen um ein Vielfaches. Deshalb sollten Energieversorger ihre Mitarbeiter unbedingt dafür sensibilisieren, mögliche Bedrohungen zu erkennen und den Folgen von Angriffen vorzubeugen.
- Wie Energieversorger Cyber-Angriffe erkennen können
- Relevante Informationen an zentraler Stelle sammeln und auswerten
- Große Unterschiede zu Büro-Netzwerken
Lesen Sie mehr zum Thema
