Laut dem aktuellen Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland werden täglich circa 380.000 neue Schadprogrammvarianten gesichtet. Diese gelangen oft über einzelne Rechner ins Unternehmensnetzwerk, denn zu den häufigsten Einfallstoren gehören schädliche E-Mail-Anhänge, Drive-by-Download-Infizierungen sowie Links auf Schadprogramme, die immer öfter in Werbebannern platziert sind (Malvertising). Der jüngste Ransomware-Vorfall (Not)Petya hat noch einen weiteren Infektionsweg offenbart: Die Übertragung von Schadsoftware aus dem Unternehmensnetzwerk über nicht ausreichend gesicherte Schnittstellen in industrielle Umgebungen. So waren bei der Angriffswelle im Juni 2017 weltweit auch Industrieunternehmen und Betreiber kritischer Infrastrukturen betroffen, die zum Teil schwerwiegende Störungen in Produktionszyklen und Ausfallzeiten innerhalb wichtiger Logistikprozesse hinnehmen mussten.
Derartigen Angriffsszenarien wirkt beispielsweise die Norm IEC 62443 (IT-Security für Anlagen der Steuer- und Leittechnik) entgegen. Der Sicherheitsstandard ist speziell auf die Anforderungen moderner Produktionsumgebungen zugeschnitten. Das zugrundeliegende Security-Konzept beruht im Wesentlichen auf dem Defense-in-Depth-Ansatz: Funktionseinheiten wie Internetübergangspunkt, vorgelagerte Sicherheitszonen, Office-IT und Feldbusebene werden dabei in Zonen zusammengefasst und durch industrietaugliche Firewalls segmentiert. Diese Vorgehensweise erschwert es Malware, sich horizontal in der Infrastruktur auszubreiten und in tiefere IT-Hierarchieebenen vorzudringen.
Externe Zugriffe automatisch sichern
Auch undokumentierte und unzureichend geschützte Direktverbindungen zum Internet sind ein grundlegendes Sicherheitsrisiko im Fertigungs- und Industriebereich. So listet das BSI in seinen Top 10 der Bedrohungen für Industrial Control Systems (ICS) mit dem Internet verbundene Steuerungskomponenten auf Platz 6. Zu den sicherheitskritischen Faktoren zählen ebenso der Einbruch über Fernwartungszugänge (Platz 4) sowie die Kompromittierung von Smartphones im Produktionsumfeld (Platz 10). Gefragt sind also Sicherheitsansätze, die sich nicht nur auf das lokale Netzwerk beschränken, sondern auch Fernzugriffe beispielsweise von Servicetechnikern absichern und kontrollieren. Denkbar sind hier zentrale Wartungsportale, die dem direkten Netzwerkzugang vorgeschaltet sind. Externe Zugriffe auf das Wartungsportal sind dann nur über eine verschlüsselte Verbindung möglich und erfordern eine Authentifizierung gegenüber einem zentralen Verzeichnisdienst. Das heißt: Soll ein bestimmter Wartungsauftrag ausgeführt werden, beantragt der externe Dienstleister zunächst einen Zugang über das Portal. Hier muss er seine Identität hinterlegen, das Zielsystem definieren sowie Angaben zur Dauer und Art des Servicevorgangs machen.
Anschließend wird der Wartungsauftrag durch einen Betriebsmitarbeiter explizit freigegeben. Erst dann erhält der Servicetechniker einen zeitlich begrenzten Zugang zu dem im Wartungsticket definierten System. Er kann sich also nicht frei im Produktionsnetz bewegen, sondern erhält ausschließlich Zugang auf die im Serviceticket hinterlegten Systeme. Nach Ablauf der ebenfalls im Ticket vermerkten Wartungsdauer wird die Verbindung automatisch getrennt und die Zugriffsberechtigung wieder entfernt. Ergänzen lässt sich ein solches Konzept durch ein entsprechendes Auditing der Netzwerkparameter.
Um sowohl die Absicherung von Remote-Aktivitäten als auch den Schutz des lokalen Netzwerks in Einklang zu bringen, ist ein umfassendes Sicherheitskonzept notwendig. An dessen Anfang steht bestenfalls immer ein detaillierter Security Check, der die individuelle Sicherheitslage eines Unternehmens untersucht. Hierbei können Administratoren auf externe Fachkräfte zurückgreifen, die zusätzlich eine objektive Außensicht beisteuern. Airbus CyberSecurity beispielsweise bewertet im Rahmen seines ICS Security Maturity Checks speziell die Cybersicherheit von Produktions- und Steuerungssystemen. Im ersten Schritt werden dafür relevante Dokumente zum ICS-Design, der Organisationsstruktur sowie zu Richtlinien und Prozessen evaluiert. Zudem wird eine Standortbesichtigung durchgeführt, der Netzwerkverkehr aufgezeichnet und das Active Directory analysiert. Die Ergebnisse werden dann zu Best-Practices und internationalen Standards (z. B. IEC 62443) in Relation gesetzt. Das Assessment liefert einen Überblick zum vorherrschenden Security-Niveau in der ICS-Architektur, validiert vorhandene Maßnahmen auf Wirksamkeit und gibt konkrete Handlungsempfehlungen, um bestehende Sicherheitsmängel zu beseitigen.
Für eine langfristige Überwachung der IT-Infrastruktur empfiehlt es sich, ein Security Operation Center (SOC) zu integrieren. Es stellt quasi die sicherheitsbezogene Kommandobrücke dar und koordiniert Technologien, Prozesse und menschliche Security-Expertise zu einem ganzheitlichen Sicherheitsansatz. Für Unternehmen, die aus Ressourcengründen kein eigenes SOC betreiben können, gibt es die Möglichkeit, ein solches auch als „As-a-Service“ zu nutzen.
So arbeitet das Airbus SOC
Die Konzeption eines SOC beginnt bei Airbus CyberSecurity mit dem Definieren von unternehmensspezifischen Prioritäten hinsichtlich IT-Infrastruktur, Informationsfluss und Geschäftsbereichen. Hier sind Fragen zu klären wie: Gibt es Netzwerksegmente mit unterschiedlichen Schutzbedarfen, sodass die Netzübergänge durch ein Security Exchange Gateway gesichert werden müssen? Darf der Datenaustausch bidirektional erfolgen? Ist eine Zonierung von Office-IT und industrieller Steuerungsumgebung zu beachten? Wird hier ein separates ICS SOC benötigt?
Diverse Monitorings sorgen anschließend für eine lückenlose Prüfung der Client-, Server- und DMZ-Layer. Dazu zählt die Kontrolle des Datenverkehrs zwischen Netzwerk und Internet (Web Traffic Monitoring) sowie der E-Mail-Kommunikation (Email Traffic Monitoring) mittels zwischengeschaltetem Proxy. Sicherheitsmaßnahmen wie das Sperren ausgewählter Domains, der Einsatz von AV-Technologie sowie Sandboxing helfen, Schadsoftware aufzuspüren, zu blockieren und sicherheitskritische Programme zu separieren. Zum Malware-Monitoring gehört auch die Geräteanalyse im Rahmen der Endpoint Protection. Für die Angriffserkennung führt das SOC-Team zudem Sicherheitsanalysen mithilfe von IDS-Tools durch. Je nach individueller Sicherheitsarchitektur ergänzen diese die Aktivitäten der Deep Inspection Firewall oder laufen direkt auf den zu schützenden Systemen. Erkannte Angriffe werden dem SOC-Admin mittels Log-Files mitgeteilt. Zusätzlich verhindern IPSs proaktiv und automatisiert potenzielle Bedrohungen. Komplexe, zielgerichtete und anhaltende Attacken (APT) lassen sich durch ein spezielles APT-Monitoring frühzeitig aufdecken und analysieren.
Das aktive Scannen des Datenverkehrs auf Clients und Server spürt mögliche Schwachstellen innerhalb des Netzwerks auf (Vulnerability Scanning). Zudem baut das SOC-Team an neuralgischen, aus Erfahrungswerten ermittelten Netzwerkpunkten passive Sensoren ein. Hierzu zählt auch die von Airbus eingesetzte KeelbackNET-Technologie. Als eine von mehreren passiven Sensoren überwacht sie den Netzwerkverkehr auf Auffälligkeiten im Verhalten von Systemen und Benutzern. Die in den Sensoren eingebrachten Regeln melden entsprechende Anomalien an ein Sicherheitsüberwachungssystem wie LMS (Log Management System) oder SIEM (Security Information and Event Management System). Auf diesem führen spezielle, meist eigenentwickelte Korrelationsregeln weitere Analysen durch, die die zuständigen Analysten im SOC dann auf eine sicherheitsrelevante Situation hinweisen.
Bei Standardvorfällen wird gleichzeitig automatisch ein entsprechendes Troubleticket erzeugt. In diesem ist ein Mehrpunkteplan für die Analysten enthalten. Sie setzen die vorgesehenen Vorfallreaktionen um und protokollieren die Ergebnisse wieder im Ticket. Bei Nicht-Standardvorfällen nutzen die Analysten Korrelationsregeln aus dem SIEM, die sich auf früher bereits erkannte Angriffsszenarien beziehen, und erstellen mithilfe ihrer Erfahrungswerte manuelle Tickets. Besitzt ein Unternehmen zu überwachende Infrastrukturen an mehreren Standorten, sind die Sensoren über eine VPN-Verbindung angebunden und berichten entweder in ein eigenes oder ein gemeinsam genutztes, aber mandantenfähiges SIEM- und Ticketsystem.
Ein Beispiel, um die Relationen zu verdeutlichen: Täglich fließen 50 Millionen Logzeilen durch ein System. Um diese Flut von Informationen zu verarbeiten, sind hochsensible Filter nötig, die die eigentlich wichtigen 1.000 Datensätze erkennen. Dabei muss gewährleistet sein, dass die ausgefilterten 49.999.000 Datensätze keine relevanten Informationen mehr enthalten. Die verbliebenen 1.000 Datensätze enthalten wiederum Indikatoren für circa 100 reale Probleme, von denen dann 10 letztendlich so relevant sind, dass sich daraus ein Ticket ableiten lässt.
Aufbau eines SOC
Das SOC bei Airbus gliedert sich in drei Ebenen, zwischen denen übergreifende Security-Prozesse stattfinden. Monitoring und Sicherheitsvorfall-Analyse gehören zur ersten Ebene, in der Echtzeitdaten und Log-Files aus Firewalls, AV, Servern, Clients und Applikationen zum SIEM und LMS gelangen und relevante Informationen an die Nachverfolgungs- und Dokumentationstools des SOC weitergegeben werden.
Das SOC-Team korreliert dann die erfassten Netzwerkdaten zu einem Gesamtbild der Bedrohungslage. Hier ist die tiefgreifende Expertise bei der Erstellung von Use Cases notwendig, um Auffälligkeiten (z. B. C&C-Kommunikation) zu erkennen, die richtigen Schlüsse aus den sicherheitsrelevanten Daten zu ziehen und Vorfallreaktionen abzuleiten. Im SOC erstellte, standardisierte Security-Abläufe unterstützen Administratoren bei der Prävention und Reaktion hinsichtlich künftiger Cyberangriffe.
Zentrales Aufgabenspektrum der zweiten SOC-Ebene ist das Management der Infrastruktur: Hier liegt das Augenmerk unter anderem darauf, IT-Systeme kontinuierlich zu überwachen, entdeckte Sicherheitsvorfälle zu analysieren und zu beheben (Equipment Infrastructure Incident Management) und gegebenenfalls die Infrastruktur zugunsten eines höheren Schutzlevels neu aufzustellen (Infrastructure Change Management). Die größtmögliche Effizienz aller Security-Maßnahmen ist dabei durch automatisierte Prozesse zu erreichen. Die Automatisierung lässt sich aber nur umsetzen, wenn ein vorab definiertes Regelwerk und programmierte Algorithmen vorhanden sind. An dieser Stelle greifen die SOC-Leistungen der dritten Ebene: Das Vertrags-/Lizenz-Management und die Aufstellung von Service Level Agreements (SLAs). Nur mit dem Wissen, wie man die Compliance-Vorgaben des jeweiligen Unternehmens richtig in automatisierte Abläufe einbettet, ist gewährleistet, dass es zu keinen Sicherheitsverletzungen kommt – ein entscheidender Faktor, gerade wenn personenbezogene Daten im Spiel sind.
Angesichts der sich ständig zuspitzenden Bedrohungslandschaft und der Schnelllebigkeit von IT-Architekturen und -Prozessen im Zeitalter der Digitalisierung sind Arbeitsschritte im SOC kein einmal definiertes und langfristig gültiges Konstrukt. Vielmehr fließen permanent neue Erkenntnisse ein. Nicht zuletzt dadurch, dass SOC-Experten meist in Computer Emergency Response Teams (CERTs) tätig sind und dort bei der Lösung von konkreten IT-Sicherheitsvorfällen mitwirken. So sind sie bei sicherheitskritischen Themen immer auf dem neuesten Stand und erlangen eine unternehmensübergreifende Rundumsicht, die das Know-how interner Admins effektiv ergänzen kann.