In Teil 1 unserer Blogpost-Trilogie zur NIS2-Direktive und dem NIS2-Umsetzungsgesetz haben wir die grundlegenden, auf Prävention ausgerichteten Anforderungen betrachtet. Wir haben festgestellt, dass Prävention ganz praktische Grenzen hat – sei es durch unternehmensinterne Strukturen, technische Einschränkungen, externe Einflussfaktoren, auf die ein Unternehmen nur wenig Einfluss hat oder schlichtweg praktische Gründe.
Damit bleibt bei allen Präventivmaßnahmen ein nicht zu vernachlässigendes Restrisiko bestehen. In Industrieunternehmen wird das Restrisiko unter anderem von folgenden Faktoren bestimmt:
Ein Unternehmen hat nur bedingt Einfluss auf:
Wie relevant und realistisch diese Faktoren sind, zeigen Supply-Chain-Compromise-Vorfälle wie Solarwinds (2020), Log4Shell (2021) und ViaSat SATCOM (2022) sowie die täglichen Security Advisories für ICS-Komponenten, die durch die Cyber & Information Security Agency (CISA) veröffentlicht werden. Supply-Chain-Compromise bezeichnen Cyberangriffe, bei denen Zuliefer- oder Dienstleistungsunternehmen attackiert werden, um an die eigentlichen Zielunternehmen zu gelangen.
OT-Sicherheit basiert auf der Sichtbarkeit aller Assets im Netzwerk mit den dazugehörigen Eigenschaften
Wissen entsteht durch Sichtbarkeit
Die guten Nachrichten sind, dass Unternehmen auch dieses Restrisiko in den Griff bekommen können und dafür gar nicht so viel an ihren eigenen Strukturen ändern müssen.
Die NIS2-Direktive sieht dafür mehrere Anforderungen vor, die logisch ineinandergreifen:
Die blinden Flecken der Perimetersicherheit
Für das Vorfallmanagement nennt die NIS2 neben der Prävention explizit die Angriffserkennung (detection) und die Reaktion auf Störungen (mitigation). Letzteres hängt logisch und chronologisch von einer gut funktionierenden Angriffserkennung ab, wie sie bereits im IT-SIG 2.0 gefordert ist. Und diese muss heutzutage über eine Firewall am Perimeter hinausgehen. Auch ist ein SIEM (Security Information & Event Management) System allein nicht des Rätsels Lösung.
Ein OT-Netzwerk muss wie eine Stadtfestung gesichert sein. Dazu gehört auch die Innere Sicherheit.
Firewalls fehlt das Wissen über Zero-Day-Schwachstellen. Auch erkennen sie keine bösartigen Netzwerkzugriffe, die über authentische Zugangsdaten (credentials) erfolgen. Auswertungen der letzten Jahre zeigen einen Trend weg von Angriffen, die auf Schadsoftware basieren, zu Angriffen, die ohne diese auskommen. Zwischen 2018 und 2022 stieg der Anteil malware-freier (entdeckten) Angriffe von 39 % auf 71 %. Diese beruhen zu einem Großteil auf gestohlenen Zugriffsinformationen. Sind Angreifende erst einmal im Netzwerk, hilft keine Firewall mehr.
Ein SIEM wiederum benötigt Unmengen von Daten, um Angriffsmuster zu erkennen und zu melden. Mit dem blinden Fleck in der OT, bleibt selbst mit dem besten SIEM ein Angriff in der Steuerungstechnik ungesehen.
Firewalls und SIEM-Systeme stoßen an ihre Grenzen, wenn es um:
geht.
Restrisikolücken effektiv schließen
Dieses Restrisiko kann über eine Anomalieerkennung abgedeckt werden, wie sie im OT-Monitoring Rhebo Industrial Protector integriert ist. Die Anomalieerkennung untersucht die OT-Kommunikation nicht auf bekannte schadhafte Signaturen (dafür sind Firewalls und SIEM-Systeme da), sondern auf Vorgänge, die vom bestehenden, etablierten Muster abweichen. Das ist in der OT möglich, da industrielle Anlagen durch sich wiederholende, vorhersehbare Kommunikation geprägt sind. Aktivitäten von Angreifenden sind deshalb leicht von der legitimen Kommunikation unterscheidbar.
Entscheidend ist zudem, dass das OT-Monitoring mit Anomalieerkennung innerhalb des Netzwerkes überwacht. Dadurch erkennt es auch Angreifende, die über eine der vier genannten Angriffstechniken in das Netzwerk gelangt sind, ohne die Firewalls und das SIEM-System in Alarm versetzt zu haben.
Da die Anomaliemeldung in Echtzeit erfolgt, können die Sicherheitsverantwortlichen umgehend reagieren. Im Durchschnitt benötigen Angreifende 84 Minuten zwischen Erstzugriff und lateraler Bewegung auf ein weiteres Gerät. So lange Sicherheitsteams der etablierten 1-10-60-Regel (1 Minute fürs Erkennen, 10 Minuten fürs Verstehen, 60 Minuten fürs Reagieren) folgen können, haben sie somit eine Chance.
Wer überwacht die Überwachung?
Schließlich stellt NIS2 die Frage, wie eigentlich die Effektivität der eingesetzten Sicherheitssysteme nachgewiesen werden kann. Wie bereits oben gezeigt, sind Firewalls und SIEM wichtige Komponenten, haben aber auch ihre klaren Einschränkungen – insbesondere, wenn die OT betroffen ist.
Aufgrund der Zunahme erfolgreicher Phishing-Kampagnen und bekannt gewordener Schwachstellen im OT-Bereich wird somit ein blindes Vertrauen auf die bestehenden Sicherheitsmechanismen selbst zu einem relevanten Risiko.
Hierfür bedarf es eines Meldesystems, das selbst diese Vorfälle erkennt bzw. ableiten lässt, um im Anschluss das Sicherheitssystem zu verbessern.
Auch hier ist die Anomalieerkennung ein leistungsstarkes Tool. Anomaliemeldungen geben letztlich immer Hinweise darauf, dass etwas im Netzwerk nicht richtig läuft. Damit zeigen sie auch an, wenn die bestehende Sicherheitsarchitektur selbst Lücken aufweist und somit Angreifende in das Netzwerk eindringen konnten.
Ein OT-Monitoring mit Anomalieerkennung wird somit zu einem zentralen Werkzeug, um zum einen dediziert die OT abzusichern und zum anderen die vielen Restrisikolücken zu schließen. Wie das im Überblick aussieht, haben wir auf einem Poster festgehalten.
Und hier geht es zum dritten Teil unserer NIS2-Trilogie, in dem wir feststellen, dass die EU Cybersicherheit auch außerhalb kritischer oder wichtiger Sektoren weiter vorantreibt.