In dieser Folge begrüßen wir Alexander Harsch, den Leiter der Cybersecurity Consulting Practice der E.ON-Netzgesellschaften, der das Cyberrange-e Schulungszentrum leitet. Wir besprechen, wie sich das Bewusstsein für OT-Sicherheit in den letzten vier Jahren verändert hat, warum KI nicht der Universalschlüssel zum Erfolg ist, wie man die Komplexität der OT-Sicherheitsherausforderung reduzieren kann und was Elektrounternehmen heute als die größten Cyber-Bedrohungen wahrnehmen.
Hören Sie uns auf:
Transkript
Klaus Mochalski
Hallo und willkommen zu einer neuen Folge des OT Security Made Simple Podcasts. Ich sitze heute hier mit Alexander Harsch von Cyberrange-e.
Alexander Harsch
Hallo, Klaus.
Klaus Mochalski
Wir sitzen hier auf der E-World in Essen, einer der wichtigsten Messen hier in Deutschland für die Versorgungs- und Energiebranche. Bevor wir beginnen und über das Thema OT Security Made Simple diskutieren, ein paar einleitende Worte von dir, Alex.
Alexander Harsch
Vielen Dank, Klaus. Ich bin Alexander Harsch. Ich arbeite für [den Energieversorgerungskonzern] E.ON. Ich bin der Leiter der Cybersecurity Consulting Practice der E.ON-Netzunternehmen. Cybersecurity im Netz ist mein Hauptthema. Ich bin auch für die Cyberrange-e verantwortlich, einem Schulungszentrum für Cybersicherheit bei E.ON.
Klaus Mochalski
Dort haben wir uns auch kennengelernt. Rhebo ist einer der Anbieter, die ihre Lösung [für Trainingszwecke] bei Cyberrange-e zur Verfügung stellen. Kannst du unseren Zuhörern ein wenig mehr darüber erzählen, was Cyberrange-e ist und was du tust, was ihr dort anbietet?
Alexander Harsch
Mit dem IT-Sicherheitsgesetz in Deutschland müssen alle Netzbetreiber sicherer werden und einen höheren Reifegrad bei der Cybersicherheit aufweisen. Sie haben viel getan, sowohl im Bereich der präventiven Sicherheit als auch der reaktiven Sicherheit. Aber wir haben festgestellt, dass sie bei der präventiven Sicherheit, dem Risikomanagement, dem Patch-Management und Change Management erfolgreicher waren. All diese Dinge liefen sehr gut.
Aber der reaktive Teil – das Analysieren von Protokolldateien, das Erkennen von Dingen, die nicht gut sind, die nicht dem Normalzustand entsprechen – das war nicht ausgereift, um es mal so zu sagen. Die Leute sahen sich die Ereignisprotokolle an, ohne wirklich darauf zu schauen. Sie entdeckten nie etwas und wussten nicht, wie sie reagieren sollten. Das war der Punkt, an dem wir sagten, dass wir ihre Arbeit verbessern wollen. Wir haben lange darüber nachgedacht, wie man das eigentlich erreichen kann.
Wir dachten, dass es das Richtige ist, das in der Praxis zu tun. Cyberrange-e ist eine Simulationsplattform für die sofortige Reaktion, auf der die Teilnehmer mit den Systemen arbeiten können. Sie arbeiten im täglichen Leben, werden angegriffen und müssen wie in der realen Welt reagieren.
Klaus Mochalski
Okay. Es ist ein Cyber-Trainingsgelände, auf dem ihr das typische rote Team versus das blaue Team habt und auf dem ihr echte Angriffe und deren Abwehr üben könnt.
Alexander Harsch
Das ist genau das. Rote Mannschaft vs. blaue Mannschaft Aktivitäten.
Klaus Mochalski
Du hast einige der Herausforderungen beschrieben, die ihr anfangs gesehen habt. Wie würdest du das Bewusstsein der Personengruppen beschreiben, die zu den Schulungen kommen? Glaubst du, dass sie das Problem verstehen? Ist das Bewusstsein hoch? Hat es in den letzten Jahren zugenommen?
Alexander Harsch
Ja, da ist definitiv eine Menge Bewegung drin. Ich erinnere mich, dass die Leute 2019, also vor vier Jahren, nicht verstanden haben, warum wir uns so viel Mühe geben. Sie hielten das Eichhörnchen oder den Bulldozer für die größte Bedrohung des Netzes. Heute haben wir das überhaupt nicht mehr. Alle reden von Cyber-Bedrohungen.
Die Sensibilisierung ist immer noch sehr wichtig, aber es geht eher darum, wie es tatsächlich passieren könnte. Jeder weiß, dass eine technische Workstation [z.B. ein Wartungs-Laptop] ein potenzieller Angriffsvektor sein könnte, aber sie wissen nicht wie. Für uns in der IT-Welt bedeutet Sensibilisierung heute im Grunde, dass man nicht auf den Link klicken sollte. Das ist es, was die Leute heute mit dem technischen Arbeitsplatz machen können.
Klaus Mochalski
Das ist sicherlich eine gute Entwicklung, die wir hier sehen. Bei der Vorbereitung dieses Podcasts haben wir ein wenig über die Komplexität der Aufgabe gesprochen. Das Thema dieses Podcasts ist OT Security Made Simple – OT-Sicherheit leicht gemacht – was einfach klingt, aber wir beide wissen, dass es das nicht ist.
Kannst du mit deinen Cyberrange-e Aktivitäten dazu beitragen, die OT-Sicherheit einfacher zu machen oder ist es umgekehrt? Denn wir alle kennen das Paradigma, dass, wenn man ein komplexes Problem versteht, wird es tendenziell komplexer und nicht einfacher. Wie ist deine Beobachtung hier?
Alexander Harsch
Nun, du hast Recht. Die meisten Menschen, die zum ersten Mal mit der Situation konfrontiert werden, sagen, dass sie viel komplexer ist, als sie erwartet haben. Aber wenn sie es dann zum ersten Mal durchlebt haben, wissen sie natürlich genau, was passiert ist und was gut funktioniert hat und was nicht. Sie können sich vorbereiten. Sie können sich in ihren Berichtstools vorbereiten. Sie können vielleicht ein Reaktionstool oder ein Dokumentationstool wählen, das besser zu ihren Bedürfnissen passt. In diesem Moment wird es natürlich einfacher, leichter zu handhaben und vertrauter. Ich würde sagen, die Komplexität nimmt zu, aber sie können sie wieder auf ein Niveau reduzieren, mit dem sie umgehen können.
Klaus Mochalski
Was ist das Geheimnis, um die Komplexität zu reduzieren? Ist es die Routine? Sind es die richtigen Arbeitsabläufe? Sind es die richtigen Tools? Ist es eine Mischung aus all diesen Dingen? Wenn du dies nach Prioritäten sortieren müsstest, was wäre der wichtigste Ratschlag, um dieses ganze Problem für die Verantwortlichen weniger komplex erscheinen zu lassen?
Alexander Harsch
Nun, überraschenderweise würde ich heute sagen, dass es die Dinge erleichtert, wenn man Menschen zusammenbringt und sie ihr Netzwerk aufbauen lässt. Mit wem werde ich [bei oder nach einem Vorfall] sprechen? Wer wird auf mich zukommen? Welche Art von Fragen werden mir gestellt? Was wollen sie wissen? Was sind die Werkzeuge? Was sind die Schnittstellen, an die sie gelangen? Menschen zusammenzubringen, sie zusammenarbeiten zu lassen, eine Aufgabe gemeinsam zu lösen, das hilft ihnen in diesem Sinne wirklich. Das ist es, was wirklich funktioniert.
Klaus Mochalski
Manchmal ist das Netzwerk der Menschen wichtiger als das Kommunikationsnetzwerk.
Alexander Harsch
Richtig. Die Menschen sind der wichtigste Teil. Aber dann müssen sie ihre Handlungen natürlich auch wiederholen. Sie müssen es immer und immer wieder tun und lernen, mit den Werkzeugen umzugehen. Das ist der zweite Teil.
Klaus Mochalski
Das ist etwas, das wir bei unseren Dienstleistungen für unsere Kunden beobachten können: Die Einführung von Routine ist etwas, das wirklich hilft. Wenn sie einen Cybervorfall wie ein einmaliges Ereignis behandeln, ist das natürlich eine große Herausforderung. Es ist immer ein Feuergefecht. Aber wenn sie es üben und es sie nicht mehr überrascht und sie genau wissen, was zu tun ist – wen sie anrufen müssen, welche Knöpfe sie drücken müssen – dann ist es viel weniger aufregend, aber auch viel effizienter. Das ist etwas, das wir anstreben sollten.
Wenn du dir einige Trainingseinheiten der letzten Zeit ansiehst, was waren typische Übungen, die du mit dem Team durchgeführt hast? Was ist eine typische, sagen wir mal, Cyberangriffsübung, die du normalerweise trainierst und übst?
Alexander Harsch
Nun, typisch würde ich nicht sagen, denn jeder hat eine andere Vorstellung davon, wie es aussehen würde.
Klaus Mochalski
Heißt das, dass die Teams ihre eigenen Ideen einbringen? Gibt es keinen festen Lehrplan?
Alexander Harsch
In der Regel beginnen wir nicht mit "Was ist Ihre Idee?”. Wir fragen lieber, was ihnen am meisten Angst macht. Vor ein paar Jahren hieß es noch, dass jemand durch Spear-Phishing in ihr Netzwerk eindringen und sich dann lateral durch ihr Unternehmen bewegen könnte, wie es in der Ukraine geschehen ist. Aber das hat sich in den letzten Jahren geändert.
Heute – ich habe bereits über die technische Workstation gesprochen – gehen die Leute mit der technischen Workstation ins Feld. Sie haben sie im Auto, sie gehen in ein Restaurant. Sie haben sie bei sich. Sie ist direkt mit der OT verbunden, so dass die Leute sich darüber Sorgen machen. Was ist, wenn jemand in mein Umspannwerk einbricht? Das ist ein Bedrohungsvektor. Was ist, wenn meine Dienstanbieter oder Dritte in irgendeiner Weise gefährdet sind? Das ändert sich. Jeder hat ein großes Risiko im Hinterkopf und spricht mit uns darüber. Und wir haben typischerweise ein Szenario, das genau diese Art von Risiko ausnutzt. Und das ist es, was wir dann tun.
Klaus Mochalski
Wahrscheinlich auch Ransomware, denn das ist etwas, von dem wir oft hören, das wir aber nicht als typischen OT-Angriff gesehen haben. Sie sind sicherlich nicht gegen OT gerichtet, aber im Moment scheinen sie aus quantitativer Sicht die wichtigsten Angriffe zu sein. Wie geht ihr damit um? Trainiert ihr auch für Ransomware-Angriffe?
Alexander Harsch
Ja, wir können Ransomware-Angriffe üben. Ich stimme dir vollkommen zu. Ich habe Ransomware nie als Bedrohung für OT angesehen, denn, nun ja, es ist vielleicht ein bisschen riskant. Aber wenn es den Angreifenden nur ums Geld geht und sie einen Betreiber kritischer Infrastrukturen vor sich haben, ist das vielleicht nicht die beste Idee für Angreifende. Andererseits habe ich mit einem Mitarbeiter der US-Behörden gesprochen, der sagte: "Wir rechnen damit, dass dies passieren wird. Denn wenn sie etwas im OT-Bereich verschlüsseln, werden sie auf jeden Fall eine Menge Geld bekommen.” Dazu gibt es unterschiedliche Meinungen. Wir haben das einmal gemacht.
Aber für mich ist das schlimmste Szenario, das passieren könnte, wenn jemand das Licht ausmacht. Natürlich könnten Angreifende Dinge verschlüsseln und das könnte dazu führen, dass die Betreibenden später bestimmte Dateien, die sie benötigen, nicht mehr haben und es vielleicht zu einer Serviceunterbrechung kommt. Aber weitaus größere Auswirkungen hat es, wenn Angreifende Befehle in Stationen senden, den Schutzschalter ausschalten. Das ist eine Auswirkung. Das ist im Grunde das, wovon ich jeden überzeugen würde, dass es tatsächlich passieren könnte. Viele Kommunikationsleitungen, die Festnetzleitungen, sind nicht verschlüsselt. Die Protokolle an sich sind in Bezug auf die Cybersicherheit nicht robust.
Klaus Mochalski
Sie gehen wirklich von einem, nennen wir es einen echten OT-Vorfall aus bei dem ein menschlicher Angreifender das Wissen über die Geräte nutzt, die typischerweise z.B. in Umspannwerken verwendet werden, um zu versuchen, Befehle zu erteilen und die Infrastruktur zum Absturz zu bringen.
Alexander Harsch
Ganz genau. Ich denke, die Netzbetreiber sind heute so sensibel und so gut in Sachen Sicherheit. Ein Script-Kiddie könnte wahrscheinlich die OT nicht kompromittieren oder in irgendeiner Weise verletzen. Aber eine Person, die sich mit den Protokollen und den Geräten vor Ort auskennt – sie vielleicht kaufen und in einem Labor damit herumspielen kann – die könnte es sicherlich.
Klaus Mochalski
Eine der wichtigsten Herausforderungen für viele Unternehmen, die verschiedene Arten von Tools einsetzen, sind das Fachwissen und die Zeit, die für die Bedienung dieser Tools erforderlich sind. Vor allem Tools wie Angriffserkennungssysteme, die durch das deutsche IT-Sicherheitsgesetz vorgeschrieben sind. Sie erfordern in der Regel eine erhebliche menschliche Interaktion. Sie können nicht alles mit künstlicher Intelligenz machen. Es ist immer eine menschliche Entscheidung erforderlich.
Viele Kunden sind besorgt über [zu viele] Vorfallbenachrichtigungen oder Anomaliemeldungen. Ist das etwas, das ihr während der Trainings übt? Eine Situation, in der ein scheinbar einfacher Angriff die Überwachungsinfrastruktur überflutet, aber in dieser riesigen Menge von Low-Level-Benachrichtigungen gibt es dieses eine Ereignis, das sie zuvor beschrieben haben und das ein Problem im Umspannwerk auslösen kann. Wie löst ihr dieses Problem und welche Erkenntnisse nehmen die Teams daraus mit? Wie hoch ist der Aufwand? Wie viel müssen sie investieren?
Alexander Harsch
Ein gute Frage. Was ich von vielen CIRTs [Computer Incident Response Teams] weiß – sogar von CIRTs mit einem hohen Reifegrad, in denen viele Analysten arbeiten – ist die Situation nicht ungewöhnlich, dass sie zu Ihrem SIEM [Security Information & Event Management] oder Ihrer Überwachungslösung kommen und Dutzende von Alarmen, vielleicht Hunderte von Alarmen haben.
Was passiert mit den Leuten, die jeden Morgen ins Büro kommen und sehen, dass es 100 Alarme gibt? Es muss einen Mechanismus geben, bei dem die Analyst:innen den Alarm sehen und erkennen können, ob es sich um einen guten Alarm oder einen Fehlalarm handelt, und ihn dann wieder in das System einspeisen.
Bei einem normalen SIEM würde das Feedback von Erkenntnissen in das System darin bestehen, die Regeln zu ändern und sie an ihre Umgebung anzupassen. Dazu müssen die Verantwortlichen die Art des Alarms und die Programmiersprache zur Beschreibung der Art des Alarms gut verstehen. Das Schöne an selbstlernenden Systemen oder intelligenten Systemen ist natürlich, dass man ihnen einfach sagt, was gut ist und was nicht. Du musst nicht auf sehr komplexe Weise Feedback geben, sondern auf eine sehr menschliche, natürliche Weise. Eine Rückmeldung ist notwendig, egal welche Art von System du verwendest. Aber mit KI [Künstliche Intelligenz] ist es natürlich viel einfacher.
Klaus Mochalski
KI ist hier ein guter Punkt. Wie sehr vertraust du persönlich den KI-Algorithmen, wenn es darum geht, wichtige von unwichtigen Ereignissen zu unterscheiden, die von einem System gemeldet werden? Wir wissen, dass es in der IT eine Menge Daten gibt, und man muss sich auf einen KI-Mechanismus verlassen können, dass es die riesige Menge an Daten priorisieren kann. In der OT ist die Menge nicht ganz so groß, aber wie sehr vertraust du der KI, um die wirklich wichtigen Dinge in OT-Sicherheitsmeldungen zu finden?
Alexander Harsch
Nun, ich denke, ich persönlich bin in dieser Hinsicht ein sehr konservativer Mensch. Was ich wirklich mag, ist, meine Art von Alarm zu verstehen und am Ende erklären zu können, warum es bei diesem speziellen Angriff nicht funktioniert hat. Aber ich meine, das ist die gleiche Frage: Was ist besser, ein Schraubenzieher oder ein Hammer? Wenn du einen Nagel hast, ist der Hammer ganz sicher das bessere Werkzeug. Eine künstliche Intelligenz, die das gleiche Problem analysiert, ist für mich ergänzend. Ich denke, das wäre perfekt. Du erhältst deinen Alarm, erkennst Dinge, die du erkennen willst. Und dann hast du noch ein zweites System, das Dinge erkennt, an die du vielleicht noch gar nicht gedacht hast.
Klaus Mochalski
Im Grunde genommen kann die Bewertung durch die KI – die Information und der Algorithmus – eine zusätzliche Information darstellen, die dir hilft, das, was du beobachtest, zu erklären oder zu qualifizieren. Aber du hast immer noch die Möglichkeit, dir die ursprünglichen Daten anzusehen.
Alexander Harsch
Das stimmt. Das würde ich gerne tun. Ich würde gerne beide Möglichkeiten haben.
Klaus Mochalski
Es ist wahrscheinlich ein ähnlicher Ansatz wie bei der KI in der Medizin. Wo auch jeder sicherstellen möchte, dass ein Algorithmus niemals Entscheidungen über die Gesundheit eines Menschen trifft, sondern zusätzliche Daten liefert, die einem Arzt, einem echten Arzt, helfen, eine bessere Analyse durchzuführen. Wahrscheinlich ist das hier auch so.
Wir haben bereits über die Warnmeldungen gesprochen, die diese Überwachungssysteme generieren, und wir haben über die Verwendung von CSIRTs oder SIEM-Systemen, Security Operations Centers [SOC], gesprochen. Es gibt seit geraumer Zeit eine Debatte über die richtige Einrichtung eines – nennen wir es – Sicherheits-Dashboards, also eines SOC oder eines SIEM, wenn wir uns das taktische System ansehen. Viele meinen, das ideale System wäre ein vollständig integriertes OT- und IT-SOC mit einem zentralen Dashboard, das alle sicherheitsrelevanten Daten, die von der IT- und der OT-Seite kommen, miteinander in Beziehung setzt.
Theoretisch ist das sehr sinnvoll, denn viele OT-Vorfälle haben ihren Ursprung im öffentlichen IT-Netz und stammen nicht selten aus diesem. In der Praxis haben wir nur sehr wenige gezielte OT-Angriffe gesehen. In der Regel handelt es sich um IT-Angriffe, die durch eine schlechte Netzwerksegmentierung oder den von dir beschriebenen Wartungslaptop ausgelöst werden.
Siehst du dies als ideales Szenario für heute oder was ist notwendig, um dorthin zu gelangen? Denn ich weiß, dass viele dieser Projekte derzeit laufen und viele Unternehmen und Organisationen mit der Komplexität dieses Unterfangens zu kämpfen haben.
Alexander Harsch
Ich meine, diese großen Vorfälle, die es gegeben hat – Black Energy, Crashoverride, und auch die Ukraine im letzten Jahr – waren immer IT mit seitlicher Bewegung zur OT. Ein integriertes CSIRT gibt dir genau diese Transparenz. Es gibt eine eingehende Verbindung von der IT zur OT. Wenn du ein integriertes CSIRT hast, bringst du es in einen Kontext. Wer ist es, der da kommt? Gab es etwas Verdächtiges vor dem Sprung von der IT zur OT?
Ich stimme voll und ganz zu, dass ein integriertes CSIRT eine gute Sache ist. Aber wenn du dir die OT selbst ansiehst, gibt es viele Bereiche, verschiedene Abteilungen, und ein übergeordnetes Dach. Das ist schon kompliziert genug. Wenn wir Software entwickeln, wenn wir neue Lösungen, neue Tools entwickeln, sprechen wir immer von agilem Vorgehen, von einem Minimum Viable Product, und ich würde sagen, warum sollten wir nicht auch beim CSIRT so vorgehen. Baue dein CSIRT für die OT, baue ein CSIRT vielleicht nur für das Prozessdatennetzwerk. Mach es größer, mach es besser. Gleiche die Prozesse ab, gleiche die Daten, die du sammelst, ab. Führe sie vielleicht zusammen und integriere sie in der Zukunft. Das könnte ein guter Weg sein, dem man folgen sollte.
Klaus Mochalski
Das ist ein interessanter Ansatz. Vielleicht ist das eine wichtige Erkenntnis aus der heutigen Diskussion: Nicht zu versuchen, alle Probleme auf einmal zu lösen, denn dann hast du es in der Regel mit einer enormen Komplexität zu tun. Sondern schrittweise vorgehen, wenn ich dich richtig verstehe.
Betrachte zuerst die OT, baue ein OT-Sicherheits-Dashboard auf, wie auch immer das aussehen mag, ob du dabei ein SIEM verwendest oder nicht, ob du ein separates SOC als operatives Team einrichtest oder nicht. Und erst wenn das im OT-Bereich richtig funktioniert, solltest du darüber nachdenken, es mit IT-Daten zu verknüpfen und die Arbeitsabläufe im IT- und im OT-Teil sowie im IT- und im OT-SOC abzustimmen. Und erst dann als weiterer Folgeschritt wirklich damit beginnen, diese Vorgänge technisch zu integrieren. Ist das richtig?
Alexander Harsch
Das habe ich definitiv gesagt. Um ehrlich zu sein, ist das auch der Weg, den wir bei E.ON gehen. Vielleicht haben die Leute eine Vision davon, wie es in der Zukunft aussehen wird, aber heute arbeiten die Leute daran, die Überwachung, Protokollierung und OT zum Laufen zu bringen. Das ist es, worauf sie sich konzentrieren müssen. Das ist es, womit sie wirklich erfolgreich sind. Sobald sie es zum Laufen gebracht haben, können sie sich neuen Problemen zuwenden.
Klaus Mochalski
Okay, das ist großartig. Lass uns dies als letzte wichtige Erkenntnis dieser Folge betrachten. Das gefällt mir sehr gut. Gehe Schritt für Schritt vor. Versuche es so einfach wie möglich und komplex wie nötig zu machen. Und gehe dann den nächsten Schritt, wenn du einen ausgereiften Betrieb in deiner OT-Umgebung hast.
Vielen Dank, Alex, für das tolle Gespräch. Es hat mir wirklich Spaß gemacht, mit dir zu sprechen und wir sehen uns beim nächsten Mal.
Alexander Harsch
Es war mir ein Vergnügen, Klaus. Danke!