Wissen als Basis von Handlungsfähigkeit

In Teil 1 unserer Blogpost-Trilogie zur NIS2-Direktive und dem NIS2-Umsetzungsgesetz haben wir die grundlegenden, auf Prävention ausgerichteten Anforderungen betrachtet. Wir haben festgestellt, dass Prävention ganz praktische Grenzen hat – sei es durch unternehmensinterne Strukturen, technische Einschränkungen, externe Einflussfaktoren, auf die ein Unternehmen nur wenig Einfluss hat oder schlichtweg praktische Gründe.

Damit bleibt bei allen Präventivmaßnahmen ein nicht zu vernachlässigendes Restrisiko bestehen. In Industrieunternehmen wird das Restrisiko unter anderem von folgenden Faktoren bestimmt:

• In industriellen Umgebungen geht Verfügbarkeit – oft rund um die Uhr und für langfristig geplante Liefertermine – vor Informationssicherheit.
• Industrielle Komponenten mit digitalen Schnittstellen (Sensoren, Steuerungstechnik, Gateways, HMIs, SPSs etc.) haben meist standardmäßig keine integrierte Cybersicherheit, keine Kapazität für zusätzliche Sicherheitsfunktionen und fußen häufig auf mitunter sehr undurchsichtiger Legacy-Programmierung ohne Transparenz über Schwachstellen und Sicherheitslücken. Um genau zu sein, wurden (und werden immer noch) industrielle Komponenten mit einem einzigen Ziel entwickelt: die Anlagen am Laufen zu halten. Kurz, sie sind häufig “insecure by design”.

Ein Unternehmen hat nur bedingt Einfluss auf:

1. die Cybersicherheit der Lieferketten-Unternehmen.
2. die Cybersicherheit und Cyber-Awareness von Dienstleistungsunternehmen (z. B. Wartungsunternehmen, die in der Steuerungstechnik arbeiten)
3. die Produktentwicklung in Zulieferunternehmen.

Wie relevant und realistisch diese Faktoren sind, zeigen Supply-Chain-Compromise-Vorfälle wie Solarwinds (2020), Log4Shell (2021) und ViaSat SATCOM (2022) sowie die täglichen Security Advisories für ICS-Komponenten, die durch die Cyber & Information Security Agency (CISA) veröffentlicht werden. Supply-Chain-Compromise bezeichnen Cyberangriffe, bei denen Zuliefer- oder Dienstleistungsunternehmen attackiert werden, um an die eigentlichen Zielunternehmen zu gelangen.

OT-Sicherheit basiert auf der Sichtbarkeit aller Assets im Netzwerk mit den dazugehörigen Eigenschaften

Wissen entsteht durch Sichtbarkeit

Die guten Nachrichten sind, dass Unternehmen auch dieses Restrisiko in den Griff bekommen können und dafür gar nicht so viel an ihren eigenen Strukturen ändern müssen.

Die NIS2-Direktive sieht dafür mehrere Anforderungen vor, die logisch ineinandergreifen:

• Ein klares Asset Management gewährleistet, dass Unternehmen wissen, welche Geräte und Systeme wo und in welcher Art im Einsatz sind. Schließlich kann nur geschützt werden, was als schützenswert bekannt ist. Dazu gehört auch, nachvollziehen zu können, wie die Geräte und Systeme miteinander in Kommunikation und Wechselwirkung stehen. In der IT ist das ein alter Hut. In der OT (Operational Technology bzw. Steuerungstechnik) herrscht in vielen Unternehmen noch immer ein riesiges Nebelfeld.
  Ein OT-Monitoring wie Rhebo Industrial Protector schafft hier klare Sicht. Es liest passiv – also ohne die Steuerungstechnik in irgendeiner Form zu belasten – jegliche Kommunikation innerhalb der OT mit und erstellt daraus eine detaillierte Netzwerkkarte. In dieser werden alle Geräte und Systeme mit ihrem Kommunikationsverhalten, Metadaten und Verbindungen dargestellt und Hinweise gegeben, wenn für eine Komponente Schwachstellen bekannt sind.
• Eine Risikoanalyse schafft Klarheit darüber, welche Cybergefahren für ein Unternehmen bestehen und welche Gewichtung diesen jeweils zu geben ist. Zu diesem Wissen gehört nicht nur, welche Gefahren (z. B. aktuelle Schadsoftwaretypen) von Außen bestehen. Vielmehr beinhaltet es ein Verständnis darüber, welche Sicherheitslücken, Schwachstellen und internen Cyberrisiken (z. B. durch Konfigurationen, informelle Workarounds und Funktionsweisen von Drittanbieter-Systemen) bestehen. Auch hier bildet die OT in sehr vielen Unternehmen eine fest verschlossene Blackbox.
  Rhebo-Kunden starten deshalb immer mit einem Rhebo Industrial Security Assessment, bei dem die OT eingehend auf bestehende Schwachstellen und Sicherheitslücken untersucht und parallel das Asset Inventory erstellt wird.
• Cybersicherheit ist sowohl Katz- und Mausspiel mit den Angreifenden, als auch eine Erfolgsgeschichte des Wissenstransfers. Aus diesem Grund funktioniert sie nur mit der detaillierten Dokumentation und Analyse von Cyberangriffen sowie der Verbreitung der Informationen an gefährdete Unternehmen. Die NIS2 fordert deshalb Vorgaben zum Berichten von Angriffen, Vorfällen und Störungen. Das NIS2-Umsetzungsgesetz wird da bereits sehr konkret und setzt Unternehmen unter Druck, schnell Klarheit über Vorfälle zu erlangen. Erstmeldung innerhalb 24 Stunden. Nach 72 Stunden Bewertung des Vorfalls. Nach 1 Monat Abschlussmeldung mit detaillierter Auswertung der Ursachen. Das BSI hält sich dabei offen, auch zwischendrin gezielt nachzuhaken. Unternehmen müssen somit in der Lage sein, Cyberangriffe detailliert zu loggen und nachvollziehen zu können. Rhebo Industrial Protector speichert deshalb auch alle identifizierten Vorfälle als PCAP, um eine genaue forensische Analyse zu ermöglichen.

Die blinden Flecken der Perimetersicherheit

Für das Vorfallmanagement nennt die NIS2 neben der Prävention explizit die Angriffserkennung (detection) und die Reaktion auf Störungen (mitigation). Letzteres hängt logisch und chronologisch von einer gut funktionierenden Angriffserkennung ab, wie sie bereits im IT-SIG 2.0 gefordert ist. Und diese muss heutzutage über eine Firewall am Perimeter hinausgehen. Auch ist ein SIEM (Security Information & Event Management) System allein nicht des Rätsels Lösung.

Ein OT-Netzwerk muss wie eine Stadtfestung gesichert sein. Dazu gehört auch die Innere Sicherheit.

Firewalls fehlt das Wissen über Zero-Day-Schwachstellen. Auch erkennen sie keine bösartigen Netzwerkzugriffe, die über authentische Zugangsdaten (credentials) erfolgen. Auswertungen der letzten Jahre zeigen einen Trend weg von Angriffen, die auf Schadsoftware basieren, zu Angriffen, die ohne diese auskommen. Zwischen 2018 und 2022 stieg der Anteil malware-freier (entdeckten) Angriffe von 39 % auf 71 %. Diese beruhen zu einem Großteil auf gestohlenen Zugriffsinformationen. Sind Angreifende erst einmal im Netzwerk, hilft keine Firewall mehr.

Ein SIEM wiederum benötigt Unmengen von Daten, um Angriffsmuster zu erkennen und zu melden. Mit dem blinden Fleck in der OT, bleibt selbst mit dem besten SIEM ein Angriff in der Steuerungstechnik ungesehen.

Firewalls und SIEM-Systeme stoßen an ihre Grenzen, wenn es um:

1. neuartige Angriffsmuster,
2. die Ausnutzung nicht gepatchter oder bislang unbekannter Schwachstellen,
3. die Ausnutzung gestohlener Zugangsdaten oder
4. Cyberangriffe über eine Supply-Chain-Compromise

geht.

Restrisikolücken effektiv schließen

Dieses Restrisiko kann über eine Anomalieerkennung abgedeckt werden, wie sie im OT-Monitoring Rhebo Industrial Protector integriert ist. Die Anomalieerkennung untersucht die OT-Kommunikation nicht auf bekannte schadhafte Signaturen (dafür sind Firewalls und SIEM-Systeme da), sondern auf Vorgänge, die vom bestehenden, etablierten Muster abweichen. Das ist in der OT möglich, da industrielle Anlagen durch sich wiederholende, vorhersehbare Kommunikation geprägt sind. Aktivitäten von Angreifenden sind deshalb leicht von der legitimen Kommunikation unterscheidbar.

Entscheidend ist zudem, dass das OT-Monitoring mit Anomalieerkennung innerhalb des Netzwerkes überwacht. Dadurch erkennt es auch Angreifende, die über eine der vier genannten Angriffstechniken in das Netzwerk gelangt sind, ohne die Firewalls und das SIEM-System in Alarm versetzt zu haben.

Da die Anomaliemeldung in Echtzeit erfolgt, können die Sicherheitsverantwortlichen umgehend reagieren. Im Durchschnitt benötigen Angreifende 84 Minuten zwischen Erstzugriff und lateraler Bewegung auf ein weiteres Gerät. So lange Sicherheitsteams der etablierten 1-10-60-Regel (1 Minute fürs Erkennen, 10 Minuten fürs Verstehen, 60 Minuten fürs Reagieren) folgen können, haben sie somit eine Chance.

Wer überwacht die Überwachung?

Schließlich stellt NIS2 die Frage, wie eigentlich die Effektivität der eingesetzten Sicherheitssysteme nachgewiesen werden kann. Wie bereits oben gezeigt, sind Firewalls und SIEM wichtige Komponenten, haben aber auch ihre klaren Einschränkungen – insbesondere, wenn die OT betroffen ist.

Aufgrund der Zunahme erfolgreicher Phishing-Kampagnen und bekannt gewordener Schwachstellen im OT-Bereich wird somit ein blindes Vertrauen auf die bestehenden Sicherheitsmechanismen selbst zu einem relevanten Risiko.

Hierfür bedarf es eines Meldesystems, das selbst diese Vorfälle erkennt bzw. ableiten lässt, um im Anschluss das Sicherheitssystem zu verbessern.

Auch hier ist die Anomalieerkennung ein leistungsstarkes Tool. Anomaliemeldungen geben letztlich immer Hinweise darauf, dass etwas im Netzwerk nicht richtig läuft. Damit zeigen sie auch an, wenn die bestehende Sicherheitsarchitektur selbst Lücken aufweist und somit Angreifende in das Netzwerk eindringen konnten.

Ein OT-Monitoring mit Anomalieerkennung wird somit zu einem zentralen Werkzeug, um zum einen dediziert die OT abzusichern und zum anderen die vielen Restrisikolücken zu schließen. Wie das im Überblick aussieht, haben wir auf einem Poster festgehalten.

Und hier geht es zum dritten Teil unserer NIS2-Trilogie, in dem wir feststellen, dass die EU Cybersicherheit auch außerhalb kritischer oder wichtiger Sektoren weiter vorantreibt.

‍