Angriffserkennung beginnt am Endgerät
Mit dem Aufkommen von Smart Home, Smart Grid und Smart City entstehen stark verteilte und vernetzte Edge Devices, also Geräte am Rande des Netzwerks. Dies stellt sowohl eine Herausforderung für die Cybersicherheit als auch für den reibungslosen Betrieb dar. Eine schlanke endpunktbasierte Überwachung mit Angriffserkennung kann sowohl einzelne Geräte als auch ganze Flotten schützen.
In (Industrial)-Internet-of-Things-((I)IoT)-Netzwerken reicht die Vernetzung, Kommunikation und Steuerung häufig über den Sicherheitsperimeter der herstellenden und betreibenden Unternehmen hinaus. Dies bedeutet, dass die Cybersicherheit bis zu einem gewissen Grad der Kontrolle der Verantwortlichen entzogen ist. Neben den Schnittstellen und Zugängen zu Serviceunternehmen stellt auch die Nutzung öffentlicher Netzwerke ein Sicherheitsrisiko dar. Darüber hinaus greifen Nutzerinnen und Nutzer über ihre Endgeräte, die in das Heimnetz integriert sind, auf (I)IoT-Systeme zu, insbesondere im Fall von Smarthome-Anwendungen.
Cybersicherheit – zu häufig eine offene Flanke
Die Einbindung von (I)IoT-Anwendungen in private und öffentliche Ökosysteme erhöht die Angriffsflächen erheblich. Angreifende, von Cyberkriminellen bis hin zu staatlich unterstützten Advanced Persistent Threats, können beispielsweise das Handy, den privaten Router oder unsichere Smarthome-Geräte nutzen, um kritische (I)IoT-Systeme zu kompromittieren.
Dies birgt nicht nur das Risiko von Beschädigungen einzelner Anlagen, sondern aufgrund der Vernetzung der Systeme auch die Gefahr, dass über eine kompromittierte Anlage weitere Anlagen übernommen und für Botnets oder koordinierte Abschaltungen genutzt werden. Es besteht auch die Möglichkeit, auf die internen Steuerungs- und IT-Systeme des betreibenden Unternehmens zuzugreifen.
Die verantwortlichen Unternehmen, insbesondere bei kritischen, komplexen und kostenintensiven (I)IoT-Systemen, müssen daher einen Weg finden, ihre Anlagen umfassend abzusichern.
Fehlersuche: Die Nadel im Heuhaufen
Eine weitere Herausforderung in (I)IoT-Netzwerken besteht darin, Fehlkonfigurationen, Softwarefehler und technische Fehlerzustände zu erkennen, zu lokalisieren und einzugrenzen, die zu Betriebsstörungen führen können.
Die Ursachenforschung bei Betriebsstörungen ist oft zeitaufwendig und mühsam. Häufig ist unklar, ob der Fehler auf Software- oder Hardwareprobleme zurückzuführen ist oder sogar Auswirkungen eines Angriffs sind. Dieses Thema ist keineswegs irrelevant, wie aus Risikoanalysen, Schwachstellenbewertungen und Überwachungsprojekten industrieller Netzwerke bekannt ist. Fast die Hälfte der dort identifizierten Anomalien lässt sich auf technische Fehlerzustände zurückführen.
Risiken im Minutentakt
Die Risikolandschaft im Bereich IIoT-Anwendungen wird anhand von Ergebnissen eines Monitorings weltweit verteilter kritischer Edge Devices deutlich. Im Juni 2023 bestand das betreffende Netzwerk aus über 60.000 Geräten auf sieben Kontinenten, die mit einem zentralen Betriebsmanagement-und Monitoringsystem verbunden waren. Vor der Implementierung eines Sicherheitsmonitorings mit Angriffserkennung und -abwehr konnten zwar Leistungsparameter der hochwertigen Edge Devices zentral überwacht und gesteuert werden, jedoch fehlten bislang Sichtbarkeit und Schutzmechanismen gegen Cyberattacken und digitale Störungen.
Bereits während der initialen Risikoanalyse, die als Grundlage für die Entwicklung und Implementierung des kontinuierlichen Monitorings mit Sicherheitsautomatisierung dient, wurden verschiedene zuvor verborgene Cyberrisiken identifiziert. Beispielsweise hatten falsch konfigurierte Geräte unerlaubten Zugang zum Internet, was das Angriffspotenzial erheblich erhöhte. Zudem wurden unsichere Kommunikationsverfahren festgestellt, die von einem kritischen Drittanbieter genutzt wurden.
Es wurden auch Hardware-Defekte und Softwarefehler an einigen Geräten entdeckt, die zu Sicherheits- und Verfügbarkeitsproblemen führten. Basierend auf der Analyse der Risikolandschaft, Hardware- und Softwareparameter wurde eine effektive und sinnvolle Sicherheitsstrategie entwickelt, welche die Definition der Baseline-Kommunikation und kritischer abzuwehrender Vorgänge umfasste. Das industrielle Sicherheitsmonitoring wurde nachfolgend speziell auf die Edge Devices zugeschnitten und konzentrierte sich auf drei Aspekte:
- Die schlanke Programmierung und Containerisierung der Sicherheitslösung ermöglichte eine Ressourcenschonung der Edge Devices sowie eine zentrale, ferngesteuerte Bereitstellung und Verwaltung auf allen Geräten.
- Das Sicherheitsmonitoring sollte eine globale Sichtbarkeit über alle Auffälligkeiten auf einem zentralen Dashboard bieten.
- Kritische Sicherheitsvorfälle sollten direkt auf den Edge Devices blockiert werden, um eine Ausbreitung auf andere Geräte zu verhindern.
Im Zweifelsfall wird seitdem das betroffene Edge Device komplett vom Netzwerk getrennt. Nicht kritische Anomalien sollten in Echtzeit dem Monitoringteam gemeldet werden,
das anhand der PCAPs (Packet Captures, eine freie Programmierschnittstelle, um Netzwerkverkehr mitzuschneiden) und Kommunikationsmuster eine weiterführende Prüfung vornehmen kann.
Nach der Implementierung des kontinuierlichen Sicherheitsmonitorings wurden auch die täglichen Risiken und Angriffsversuche sichtbar (Bild 2). Hierzu gehörten Portscans, nicht autorisierte Anfragen über HTTP und DHCP, veraltete Protokolle, unverschlüsselte Kommunikation und fehlerhafte Zugriffe. Innerhalb eines Zeitraums von nur sieben Tagen wurden über 2.200 relevante Auffälligkeiten auf den verteilten Edge Devices identifiziert und gemeldet. Entsprechend den Sicherheitsrichtlinien wurden kritische Auffälligkeiten direkt auf den Geräten blockiert, um eine Eskalation zu verhindern.
Lokale und zentrale OT-Sicherheit wachsen zusammen
Die lokale und zentrale OT-Sicherheit verschmelzen in den Bereichen IoT und IIoT wie in keinem anderen Feld der Digitalisierung und Automatisierung. Herstellende und betreibende Unternehmen stehen vor einer Vielzahl von Sicherheitsanforderungen, darunter
- die Absicherung der verteilten Anlagen gegen Angriffe aus externen, nicht vom Unternehmen kontrollierten Netzwerken,
- die Gewährleistung des Flottenschutzes, also das Verhindern der Risikoeskalation und Ausbreitungvon Malware,
- die Absicherung der cloudbasierten Plattform,
- die Absicherung der Apps für Endnutzer,
- die Lokalisierung und Eingrenzung von Fehlfunktionen, Softwarefehlern und technischen Fehlerzuständen,
- der Aufbau einer globalen Threat Intelligence für orchestrierte Sicherheitsprozesse sowie
- die Automatisierung der Sicherheitsprozesse für eine schnelle Reaktion und kosteneffiziente Betriebsführung.
Die Vielschichtigkeit kann durch einen Defensein-Depth-Ansatz passend adressiert werden. Laut NIST umfasst der Ansatz „die Kombination mehrerer heterogener Sicherheitstechnologien für die gängigen Angriffsvektoren, um sicherzustellen, dass Angriffe, die von einer Technologie übersehen werden, von einer anderen erkannt werden“.
Durch das Monitoring auf Netzwerk- und Endgeräteebene wird die erforderliche Sichtbarkeit innerhalb des eigenen Perimeters geschaffen (Bild 3). Eine integrierte Anomalieerkennung identifiziert Abweichungen vom erwarteten Kommunikationsverhalten, die auf Sicherheitsverstöße, Kompromittierungen oder Fehlerzustände hinweisen. Risikobewertung und die Analyse von PCAPs ermöglichen eine schnelle Auswertung und Priorisierung von Maßnahmen.
Die Sicherheitsautomatisierung, die auf die spezifischen Endgeräte abgestimmt ist, gewährleistet, dass kritische Vorfälle bereits am Edge gestoppt werden, um die Flotte und die zentrale Betriebsführung zu schützen.
Klaus Mochalski, Gründer Rhebo GmbH