Cyber-Angriffe: Gefahren erkennen und Systeme effektiv schützen
KAS-44 bietet Leitsätze für den Schutz von industriellen Anlagen + Früher endete für Unternehmen der Schutz vor unbefugtem Zutritt sprichwörtlich am Werktor. Doch zu physischen Bedrohungen kommt in Zeiten der Digitalisierung weitere Gefahren hinzu: ortsunabhängige Cyberangriffe, die von überall auf der Welt lanciert werden können. Gerade für Unternehmen, die unter die Störfallverordnung fallen, ist der Schutz vor Hackern und Co. von größter Bedeutung. Die Kommission für Anlagensicherheit (KAS) weiß um diese neue Dimension und hat deshalb Leitsätze zur Prävention von Cyber-Angriffen formuliert. Allerdings können daraus resultierende Anforderungen zur Umsetzung Unternehmen vor große Herausforderungen stellen. Bei der Implementierung geeigneter und effizienter Maßnahmen können Unternehmen jedoch auf Hilfe bauen.
Standen beim Leitfaden der KAS gegen Eingriffe Unbefugter aus dem Jahr 2002 noch physische Gefahren und Barrieren für technische Anlagen im Fokus, hat die Kommission diesen inzwischen überholten Sicherheitsbegriff deutlich erweitert. Das Merkblatt KAS-44 vom November 2017 konkretisiert die Anforderungen der IT-Security für jene Betriebe, die unter die Störfallverordnung fallen.
Ob Chemiewerke mit mehreren Produktionsstätten, Biogasanlagen oder Lager von großen Mengen gefährlicher Stoffe: Sie alle sind von der KAS-44 direkt betroffen. Industrielle Produktionsanlagen erfordern einen besonderen Schutz und stellen deswegen spezielle Anforderungen an die IT-Sicherheit. Denn Betriebe werden im Zuge der Digitalisierung zunehmend vernetzt, etwa mit autonomen Produktionsanlagen, digitalisierten Prozessen oder Fernwartung. Diese Systeme stellen potenzielle Angriffspunkte dar. Hat dann ein Hacker Erfolg, kann er den gesamten Betrieb lahmlegen – mit schwerwiegenden Folgen.
Die IT-Sicherheit muss neu gedacht werden
Die KAS-44 beinhaltet Leitsätze, keine Vorschriften. Diese sollen ein Bewusstsein für die Bedrohungen schaffen und Unternehmen auf potenzielle Sicherheitslücken hinweisen. Vor allem das Management soll sensibilisiert werden. Während sich Großkonzerne zumeist über die Gefahrenlage im Klaren sind, fehlt gerade in mittelständischen Unternehmen die Awareness. Doch gerade für diese Firmen kann das Eindringen eines Hackers nicht nur einen enormen Reputationsschaden darstellen. Sondern ein erfolgreicher Angriff kann schnell zu einem businesskritischen Faktor werden.
Und das Gefahrenpotenzial steigt: Es muss nicht nur mit Attacken aus jeder Richtung gerechnet werden. Die gesamte IT eines Unternehmens wird zur Angriffsoberfläche: Äußere Parameter, normale Unternehmens-Firewalls oder andere IT-Schutzmechaniken. Auch Schnittstellen stehen oft im Visier von Hackern.
Die Aufgabenstellung für Unternehmen lautet daher, die IT-Sicherheit komplett neu zu überdenken. Der Fokus auf autonome Anlagen und Prozesse der Industrie 4.0 allein reicht nicht. Stattdessen müssen die optimalen Sicherheitsmaßnahmen definiert und im gesamten Unternehmen angewendet werden, da ansonsten die Schnittstellenproblematik erhalten bleibt.
Was die Anforderungen für Firewalls und Perimetersicherheit angeht, gab es bisher wenige regulatorische Verfahren. Unternehmen oder Organisationen, die zu den kritischen Infrastrukturen gehören, wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ein ISMS (Information Security Management System) empfohlen. Doch gerade solche Betriebe, die unter die Störfallverordnung fallen, benötigen heute sogar ein erweitertes ISMS.
In der Realität sind viele Unternehmen dagegen mit der Basis-IT-Sicherheit beschäftigt und haben Maßnahmen, die der aktuellen Bedrohungslage angemessen sind, noch gar nicht ins Auge gefasst.
Vorgehen und Tools eines KAS-44-konformen Risikomanagements
Ein KAS-44-konformes Risikomanagement besteht aus Identifizierung, Analyse und Bewertung. Als einer der ersten Schritte gilt es, den Status Quo zu ermitteln: die Erfassung aller relevan-ten IT-Assets und der Netzwerkarchitektur des Unternehmens. Die KAS-44 empfiehlt ein Asset Register mit allen für die Sicherheit relevanten Komponenten. Doch die dafür benötigten Standardtools sind bei vielen Unternehmen nicht im Einsatz oder erfassen nicht segmentübergreifend alle Assets. Dabei unterstützt eine externe Beratung.
Sie analysiert die Basis-Dokumentation im Unternehmen und macht sich ein objektives Bild der Lage. Tools helfen, im Netzwerk Angriffsflächen herauszufinden. Dem schließt sich eine Gefährdungsanalyse, die Ermittlung des Schutzbedarfs und eine Gap-Analyse an. Daraus wird schließlich der anzustrebende Sicherheitsstandard festgelegt.
Danach wird das Risikomanagement analysiert, die Vollständigkeit geprüft und die Risiken bewertet. Im weiteren Vorgehen folgen Attacken auf die IT-Strukturen unter Einsatz entsprechender Tools wie einer Angriffssimulation. Das Ergebnis ist eine Maßnahmen-Liste, um die Sicherheit der Infrastruktur zu optimieren.
Für das Unternehmen kann das schmerzhafte Eingriffe bedeuten, da gewachsene Strukturen verändert, Standards neu gedacht werden müssen und bequeme Abläufe, etwa der Remotezugriff von diversen Devices, unter Umständen nicht mehr ohne erweiterte Sicherheitsmaßnahmen möglich sein werden.
Cyber-Angriffen vorbeugen
Eines der größten Probleme bei der Prävention von Cyber-Angriffen ist es zu erkennen, dass man unter Beschuss steht oder die Infrastruktur eventuell bereits korrumpiert ist. Dafür benötigt man ein Incident Management, die konsistente Aufzeichnung der Vorfälle, als Teil des ISMS. Die Herausforderung besteht darin, Sensoren an den richtigen Stellen zu positionieren und die wichtigen von den unwichtigen Meldungen zu separieren. Wie bei einem IPS/IDS-System (Intrusion Detection und Intrusion Prevention) laufen hier so viele Daten auf, dass in den meisten Fällen gängiges Know-how nicht ausreicht, um sie zu filtern.Deswegen ist ein SIEM (Security Information and Event Management) notwendig: Darüber können alle relevanten Daten aus Security-Instanzen geordnet, gesammelt und mit Zeitstempel versehen ausgewertet werden. Damit können aus Ereignissen, die für sich genommen nicht kritisch erscheinen, aber in Kombination mit anderen kumulierten Prozessen und Veränderungen, Angriffsmuster erfasst, ausgewertet und entschärft werden.
Wichtig ist außerdem, von Anfang an Szenarien zu antizipieren und Prozesse vorbereitet zu haben, die im Worst Case eingesetzt werden können: eine Art Cyber-Notfall-Kit. Ein Unternehmen sollte zudem in der Lage sein, zu entscheiden, ob es bei einem Angriff weiter online bleibt oder offline geht und eine Betriebsunterbrechung in Kauf nimmt. Hat ein Unternehmen zu wenig Erfahrung im Umgang mit Angriffen, wird es die Systeme lieber komplett abschalten und die damit verbundenen Ausfälle im Hinblick auf Verfügbarkeit in Kauf nehmen.
Dann muss das Ziel sein, schnell wieder auf einer sauberen Grundlage online zu gehen, ohne die Infrastruktur zu gefährden. Dafür ist ein nicht korrumpierter Zugang nach außen notwendig. Hier ist eine vorbereitete Konfiguration sinnvoll, die schlicht aus einem Router, einer SIM-Karte mit LTE-Volumen und einer Handvoll Tools auf einem USB-Stick bestehen kann, um die Infrastruktur wieder online zu bringen.
Unternehmen brauchen eine gute Sourcing-Strategie
Für Unternehmen stellen diese Sicherheitsmaßnahmen hohe Hürden dar: Sie installieren teure und aufwändige Technologien, müssen Prozesse aufsetzen, die bis zur Automatisierung viel Manpower verschlingen und sind dann oft immer noch nicht in der Lage, Bedrohungen realistisch einzuschätzen. Um den Anforderungen gerecht zu werden, brauchen Unternehmen deswegen eine gute Sourcing-Strategie und Klarheit darüber, was sie inhouse selbst übernehmen und welche Tasks sie outsourcen wollen. Das Incident Management ist zum Beispiel oft so aufwändig, dass es – wenigstens teilweise – empfehlenswert ist, es extern zu vergeben. Da Scheuklappendenken und Betriebsblindheit oft stark verbreitet sind, ist es wichtig, eng mit einem Dienstleister zusammenzuarbeiten, der sich eine breite Expertise und Erfahrung vorweisen kann. Hier ist die Kombination verschiedener Kenntnisse gefragt: Zum einen fundiertes Know-how zur Anlagensicherheit, zum anderen tiefes Verständnis für aktuelle Cyber-Bedrohungen.
Darüber hinaus müssen Dienstleister mit den entsprechenden Berechtigungen ausgestattet sein. Denn Störfälle beschränken sich nicht auf IoT-Anwendungen, sondern umfassen auch das OT-Umfeld. Zur Sourcing-Strategie gehört deshalb ein Service Level Agreement (SSA). Unternehmen brauchen die juristische wie technische Expertise für den Fall, dass der Dienstleister nicht in der Lage ist, zu leisten. Gerade im Cyber-Bereich kommt es häufig zu Kumulschäden, die breitflächig auftreten. Das ist dann der Fall, wenn eine Vielzahl von Infrastrukturen von ein und demselben Cyber-Angriff betroffen ist. So kann es passieren, dass der Dienstleister verschiedene Kunden hat, die alle von einem Schaden betroffen sind, womit auch ein großes Haus überlastet ist.
Ausblick
Um die Empfehlungen der KAS-44 umzusetzen, bietet sich eine externe Beratung für Unternehmen an – gerade für jene, die mit den Maßnahmen der IT-Sicherheit noch am Anfang stehen und auch nicht über die personellen Ressourcen verfügen, um dieser Aufgabe gerecht zu werden. Externe Anbieter können Schwachstellen schnell ausmachen und bei den umfänglichen Aufgaben wie der Erstellung von Asset Register, dem Risiko- und Incident Management sowie der Erkennung von Security-Vorfällen zur Seite stehen und die Sicherheit der IT-Anlagen systematisch verbessern. Unternehmen erhöhen damit ihre Produktionssicherheit und minimieren ihr Ausfallrisiko. So hilft externes Know-how aus Anlagen- und Cyber-Sicherheit dabei, gleichzeitig Kosten und Zeit zu sparen und die Wirtschaftlichkeit zu verbessern.
Autorien: Nadja Müller, IT-Journalistin für Wordfinder, Jürgen Bruder, CSO/Leiter Cyber- & Informationssi-cherheit, TÜV Hessen
Cyberangriffen vorbeugen und Schwachstellen erkennen
Viele Unternehmen sind sich der Schwachstellen in ihren IT-Anwendungen nicht bewusst. Wenn es jedoch an kritischer Transparenz an den Endpunkten mangelt, haben Cyberkriminelle leichtes Spiel.
Am Ende bleibt häufig nur, Malware-Infektionen zu bereinigen und die Mitarbeiter im Nachhinein über Patches aufzuklären. Was wäre aber, wenn Firmen ihre Mitarbeiter anweisen könnten, die richtigen Anwendungen zu patchen, bevor eine der Schwachstellen einem Angriff zum Opfer fällt?
Um das Risiko von Cyberangriffen zu reduzieren und sie im Ernstfall abzuwehren, müssen Unternehmen zuerst kritische Schwachstellen in ihrer IT-Landschaft erkennen. Hierfür eigenen sich Sandbox-Lösungen besonders gut: In isolierten Systemumgebungen können so Anwendungen getestet, auf Schwachstellen untersucht und die Auswirkungen von Malware geprüft werden.
Moderne Plattformen wie SonicWalls Capture Advanced Threat Protection (ATP) nutzen hierbei Virtualisierungstechniken, um verdächtiges Code-Verhalten zu analysieren. Die Lösung scannt den Datenverkehr, extrahiert verdächtigen Code zur Analyse und deckt einen breiten Bereich von Dateigrößen und -typen ab.
Im Speicher versteckte Bedrohungen aufdecken
Netzwerk-Sandbox-Engines führen Dateien aus, protokollieren die resultierende Aktivität und suchen daraufhin nach bösartigem Verhalten. Die Bewertung dieser Aktivitäten und Verhaltensweisen sind in der Praxis anfällig für Fehleinschätzungen. Althergebrachte Sandbox-Systeme zogen häufig Verzögerungen im Arbeitsablauf, eine unbefriedigende Endnutzererfahrung und unzählige IT-Tickets nach sich.
Damit bösartiges Verhalten verborgen bleiben kann, setzen Malware-Autoren ortschrittliche Techniken ein, darunter benutzerdefinierte Verschlüsselungen und Verschleierungstaktiken, die gegenüber der Sandbox gutartiges Verhalten vortäuschen. Diese Techniken verbergen oft ausgefeilte Waffen, die nur bei der dynamischen Ausführung der Malware sichtbar werden. In den meisten Fällen ist es unmöglich, diese Vorgänge in Echtzeit mit statischen Erkennungstechniken zu analysieren. Eine aktuelle Multi-Engine-Sandbox verfügt über die Fähigkeit, Dateien am Gateway zu blockieren, bis ein Urteil über sie gefällt wurde. Das Multi-Engine-Design ist darauf ausgelegt, ausweichende Malware zu erkennen und zu stoppen. Unbekannte Dateien können so in isolierten parallelen Umgebungen verarbeitet werden, um zu sehen, was verdächtiger Code zu tun beabsichtigt – von der Anwendung über das Betriebssystem bis hin zur Software, die sich auf der Hardware befindet
Aktuelle Cybersecurity-Technologie erkennt und blockiert Malware, die kein bösartiges Verhalten zeigt und ihr schadhaftes Potential durch Verschlüsselung versteckt. Um gepackten und komprimierten Malware-Code zu entdecken wird dieser in einer sicheren Sandbox-Umgebung entpackt. Die Sandbox-Engine macht ersichtlich, welche Code-Sequenzen sich in den gepackten Dateien verbergen und vergleicht sie mit vertrauenswürdigen Code-Sequenzen. Die Identifizierung von bösartigem Code im Speicher ist dabei präziser als der gängige Ansatz, das Systemverhalten von Malware dem Verhalten von sauberen Programmen gegenüberzustellen.
Echtzeitanalyse von Malware
Um die eigenen Systeme effektiv abzusichern, muss bösartiger Code im Speicher in Echtzeit während der Ausführung erkannt werden. SonicWalls Capture Advanced Threat Protection bietet hierfür die Technologie Real-Time Deep Memory (RTDMI). RTDMI-Engine erkennt und blockiert proaktiv Zero-Day-Bedrohungen und unbekannte Malware durch Inspektionen direkt im Speicher. Die Echtzeit-Architektur der Technologie macht diese präzise, minimiert Fehlalarme und identifiziert und entschärft anspruchsvolle Angriffe.
Dabei ist es besonders wichtig, dass die Sicherheitslösung die Analyse eines breiten Spektrums von Dateitypen und -größen unterstützt. Einschließlich ausführbarer Programme, PDFs, MS-Office-Dokumenten, Archiven, JAR- und APK-Dateien. Auch unterschiedliche Betriebssysteme, einschließlich Windows und Android, müssen unterstütz werden. Administratoren müssen die Option haben, den Schutz individuell anzupassen: So sollten sie Dateien auswählen beziehungsweise ausschließen und diese zur Analyse an einen Cloud-Dienst senden können. Um zu verhindern, dass potenziell bösartige Dateien in das Netzwerk gelangen, werden dabei die Dateien, die zur Analyse an den CloudDienst gesendet werden, am Gateway zurückgehalten, bis sie final bewertet werden konnten.
Wenn eine Datei als schädlich identifiziert wird stellen zeitgemäße Cybersecurity-Plattformen eine Signatur für Firewalls zur Verfügung, um Folgeangriffe zu verhindern. Darüber hinaus wird die Malware in der Regel an den Security-Anbieter zur weiteren Analyse und Aufnahme in eine Datenbank weitergeleitet.
Jetzt die smarten News aus der IT-Welt abonnieren!