
Im Mai 2023 wurde der dänische Energiesektor von einer Reihe von Cyberangriffen heimgesucht. SektorCERT war in der Lage, die Angriffe frühzeitig zu erkennen und zu entschärfen, indem es sich auf sein netzwerkbasiertes Intrusion Detection System (NIDS) stützte.
Der 11. Mai 2023 war der arbeitsreichste Tag für SektorCERT, einer dänischen Non-Profit-Organisation, die sich für die Sicherheit der wirtschaftlichen und gesellschaftlichen Lebensgrundlage Dänemarks einsetzt: das Energieverteilungsnetz.
An diesem Tag und in den darauffolgenden Wochen war die dänische Kritische Infrastruktur mehreren Cyberangriffswellen ausgesetzt, die von gezielten, orchestrierten Angriffen über APT-Aktivitäten bis hin zu opportunistischen Mitläufern reichten, die auf einen schnellen Gewinn aus waren. Selbst der berüchtigte Advanced Persistent Threat (APT) Sandworm scheint für kurzzeitig aufgetaucht zu sein.
Alles begann mit einer neuen Schwachstelle in einem Firewall-Produkt (von Zyxel), das häufig von dänischen Kritischen Infrastrukturen verwendet wird, um das externe vom internen Netz zu trennen. Typischerweise ging das Patchen der Firewalls langsam voran. Daher war das SektorCERT bereits in höchster Bereitschaft, als am 11. Mai die Alarme der landesweiten Sicherheitsüberwachung losgingen. Natürlich bemerkten die Firewalls selbst nicht, dass sie kompromittiert worden waren, sondern übergaben den Angreifern bereitwillig ihre Zugangsdaten.
11 Unternehmen wurden sofort kompromittiert. Im Laufe der Wochen erhöhte sich diese Zahl auf 22 Unternehmen, die Teile der dänischen Energieinfrastruktur betreiben. Vor allem die ersten gezielten Angriffe waren überraschend erfolgreich. Wie SektorCERT in seinem Bericht schreibt: "Die Angreifer wussten im Voraus, wen sie treffen wollten. Nicht ein einziges Mal verfehlte ein Schuss sein Ziel. Alle Angriffe trafen genau dort, wo die Schwachstellen waren. Nach unserer Einschätzung handelte es sich um Angreifende, die nicht zu viel Lärm machen, sondern 'unter dem Radar' fliegen wollte. Sie wollten nicht entdeckt werden, auch wenn jemand den Datenverkehr beobachtete."
Dennoch gelang es SektorCERT, die meisten Angriffe zu entschärfen und die schlimmsten Folgen zu verhindern. Einige Unternehmen gingen offline, um eine Ausbreitung der Bedrohung zu verhindern. Eine Kritische Infrastruktur schaltete sogar alle Verbindungen zu ihrer Infrastruktur ab. Mitarbeitende mussten zu allen abgelegenen Standorten fahren, um den Betrieb dort manuell fortzusetzen. Abgesehen davon war die Stromversorgung der dänischen Bevölkerung ungestört. Und das ist dem Fachwissen, dem Engagement und dem intelligenten Erkennungssystem von SektorCERT zu verdanken.
Wie konnte SektorCERT so schnell reagieren?
Natürlich ergibt die ausführliche Antwort ein etwas komplexeres Bild, welches ein großes Expert:innenteam, eine noch größere Datenbank für Bedrohungen, eine direkte Verbindung zu den Behörden sowie einen gut funktionierenden Prozess umfasst.
Aber um auf das Wesentliche zu kommen, lautet die kurze Antwort: NIDS - ein netzwerkbasiertes Intrusion Detection System (Angriffserkennungssystem), das es ihnen ermöglicht, die Kommunikation zu, von und innerhalb der Netzwerke ihrer Mitglieder, einschließlich der IT- und OT-Netzwerke, zu überwachen.
Dem Bericht zufolge hat SektorCERT 270 Sensoren an dänischen Standorten mit Kritischer Infrastruktur installiert (Stand: Mai 2023). SektorCERT bietet zwei Stufen der Netzwerküberwachung an. Die Basisüberwachung zapft das externe Netzwerk kurz vor dem Eintritt in die Infrastruktur eines Mitglieds an, während die erweiterte Überwachung Sensoren an kritischen Knotenpunkten in den internen Netzwerken eines Mitglieds hinzufügt. Sowohl OT als auch IT können einbezogen werden. Die Sensoren zeichnen passiv den gesamten Datenverkehr auf, der an ihnen vorbeigeht. Dieser wird auf sicherem Weg zur Analyse an SektorCERT gesendet, um Anomalien im Verhalten der Assets zu erkennen.
Kurz gesagt, SektorCERT betreibt eine riesige Netzwerküberwachung mit Anomalieerkennung, die Rhebos eigenem NIDS Rhebo Industrial Protector nicht unähnlich ist. Und wir feiern, was SektorCERT damit erreicht hat.
Denn die wichtigste Erkenntnis aus dem Bericht von SektorCERT ist: Die gemeinnützige Organisation wäre ohne ihr NIDS nicht in der Lage gewesen, die Angriffe zu erkennen. Die Firewalls hätten ihnen sicherlich nicht geholfen. Oder wie SektorCERT in ihrem Bericht schreibt: "Wir befanden uns also in einer Situation, in der die Angreifenden über eine öffentlich bekannte Schwachstelle verfügten, die sie zum Eindringen in die industriellen Steuerungssysteme nutzen konnten. Und der primäre Schutz dagegen war genau die Ausrüstung, die verwundbar war [Anm.: die Firewalls]. Es war ein sogenanntes Worst-Case-Szenario – das schlimmste vorstellbare Szenario."
Ein NIDS bildet die dringend benötigte 2. Verteidigungslinie
Nur durch die kontinuierliche Überwachung des gesamten Kommunikationsstroms von, zu und innerhalb der Datennetze seiner Mitglieder war SektorCERT in der Lage, die verschiedenen Aktivitäten der Angreifenden in Echtzeit zu verfolgen. Nur durch die Suche nach anomalem Netzwerkverhalten, das nicht in das erwartete Muster passte, konnte SektorCERT die Angriffe (einige davon 0-Day-Exploits) in ihren frühen Stadien erkennen und schnell reagieren, um sie erfolgreich zu entschärfen.
Der Fall verdeutlicht einmal mehr die Notwendigkeit eines Defense-in-Depth-Ansatzes, insbesondere in hochvolatilen, begehrten und kritischen Infrastrukturen. Der Ansatz deckt genau den Fall ab, den SektorCERT im Mai 2023 erlebte. Wenn die erste Verteidigungslinie (d.h. Firewalls) kompromittiert oder z. B. mithilfe gestohlener Zugangsdaten umgangen wird, muss es eine zweite Verteidigungslinie innerhalb des Netzwerks geben. Diese ermöglicht es, die Sicherheitsverletzung zu erkennen, zu lokalisieren und zu spezifizieren. Genau hier setzt eine OT-Überwachung mit Anomalieerkennung an.
Defense-in-Depth umfasst sowohl die Perimetersicherheit als auch die Innere Sicherheit und funktioniert somit wie die Sicherheitsarchitektur eines Staates.
Dies gilt nicht nur für die IT-Umgebung kritischer oder wichtiger Unternehmen, sondern auch für die OT-Netzwerke, die von jeher unsicher sind und in Bezug auf das Risiko und die Cybersicherheitslage oft vernachlässigt werden.
Glücklicherweise müssen (Kritische Infrastruktur-)Unternehmen nicht warten, bis eine landesweite, gemeinnützige Organisation wie SektorCERT in ihrem Land gegründet wird. Sie können bereits heute ihre industriellen Anlagen mit OT-Überwachung und Anomalieerkennung schützen. Rhebo Industrial Protector ist für jedes Industrieunternehmen verfügbar und kann leicht in das OT-Netzwerk sowie in SIEM-Systeme wie Splunk oder IBM QRadar integriert werden.
Es ist höchste Zeit, sich um seine OT-Netzwerke zu kümmern.
Header-Foto: Nils Jepsen (user:Nico-dk, CC BY-SA 3.0 <http://creativecommons.org/licenses/by-sa/3.0/>, via Wikimedia Commons