IDS-Praxiseinsatz und Penetrationstest: IDS im Einsatz: Schutz für Energieanlagen

Dabei sind nicht nur rechtliche Rahmenbedingungen zu erfüllen, sondern es ist auch der optimale und effektive Einsatz für das Angriffserkennungssystem (Intrusion Detection System, IDS) umzusetzen. Unser Praxisbeispiel eines Penetrationstests veranschaulicht mögliche Angriffsszenarien und liefert wertvolle Erkenntnisse zur Angriffserkennung/-detektion.

Zur Gewährleistung der Versorgungssicherheit sind Betreiber von Energieversorgungsnetzen und Energieanlagen gemäß § 11 Abs. 1e Energiewirtschaftsgesetz (EnWG) dazu verpflichtet, angemessene Systeme zur Angriffserkennung einzusetzen. Geschützt werden müssen dabei die informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der betriebenen Energieversorgungsnetze oder Energieanlagen maßgeblich sind [1].

Maßgeblich für das Kerngeschäft der Energieversorgung ist vor allem die Primär- und Sekundärtechnik eines Energieversorgungsunternehmens (EVU). Dazu zählen im Bereich der relevanten Komponenten beispielsweise Automatisierungs- und Leittechniksysteme, Schaltanlagen, Schutz- und Steuergeräte und Remote Terminal Units (RTUs). Solche Systeme sind unter anderem Leitstellen-Clients, Admin-Clients, Wartungs- und Prüf-Clients sowie dem OT-Netzwerk vorgelagerte Router, Switches und Firewalls. Diese gilt es, gegen Cyberangriffe und Störungen abzusichern.
Um den besonderen Anforderungen eines OT-Netzwerks gerecht zu werden, sollte ein System zur Angriffserkennung alle oben genannten Komponenten und Systeme, deren Kommunikation und die hierzu genutzten OT-Protokolle detailliert überwachen können.

Die technische Implementierung eines Angriffserkennungssystems ist nur ein Teil des Ganzen. Mindestens ebenso wichtig ist die prozessuale Einbindung. Dazu gehört insbesondere fachlich qualifiziertes Personal sowie die Prozesse des Incident-, Risk- und Business-Continuity-Managements. Zur Erreichung und Aufrechterhaltung der teils komplexen Anforderungen eines Systems zur Angriffserkennung kann die Orientierungshilfe des Bundesamtes für Sicherheit in der Informationstechnik (BSI) genutzt werden [2].

Einsatz von IDS: Unterschiede zwischen IT und OT

Vor der Implementierung eines IDS sollten die Verantwortlichen einige wichtige Fragen klären:

• Was soll konkret überwacht werden?
• Welches IDS beziehungsweise welcher Detektionsmechanismus soll verwendet werden?
• Was sind die Vor- und Nachteile eines IDS?

Ein weit verbreiteter Irrtum ist, dass man für das OT-Netzwerk, in dem Schaltbefehle und Steuerungssignale übertragen werden, dieselbe Angriffserkennung verwenden kann wie für das IT-Netz eines Unternehmens. OT- und IT-Netzwerke unterscheiden sich jedoch sehr stark in ihrer Funktionalität und in ihren Anforderungen (siehe Abbildung 1).

OT-Netzwerke müssen oft besonders robust und sicher sein, da ein Ausfall oder eine Störung schwerwiegende, mitunter lebensgefährdende Konsequenzen haben kann. Aus diesem Grund ist in diesen Netzwerken die Verfügbarkeit (Availability) von höchster Priorität, gefolgt von der Integrität (Integrity), welche die Korrektheit der Daten voraussetzt. Die Vertraulichkeit (Confidentiality) wird in einem OT-Netzwerk häufig am geringsten priorisiert. Schalt- oder Steuerbefehle werden meist unverschlüsselt und im Klartext im Netzwerk kommuniziert.

In der IT liegt dagegen der Fokus auf dem Schutz von Informationen und informationsverarbeitenden Systemen. Demzufolge ist die Vertraulichkeit von höchster Bedeutung, denn ein Datenverlust ist eine der häufigsten Bedrohungen in der IT. Während Systemausfälle in der IT vor allem zu finanziellen Schäden für das Unternehmen führen, können Störungen oder Ausfälle von OT-Komponenten
zu weitreichenden Folgen für die Versorgungssicherheit führen.

Methoden der Angriffserkennung eines IDS

Die Kernkomponente eines IDS ist dessen Detektionsmechanismus. Dazu gibt es verschiedene Ansätze:

• Baseline-/Lernbasierter Ansatz: In der Lernphase wird die Netzwerkkommunikation beobachtet und anhand dieser Beobachtungen lernt das System, was innerhalb dieses Netzwerks als normale Netzwerkkommunikation angenommen wird.

– Vorteil: Unbekannte Angriffsmuster werden erkannt.

– Nachteil: Netzwerkkommunikation, die in der Lernphase nicht erkannt wird, beispielsweise Schaltvorgänge oder Wartungsaktivitäten, löst einen Alarm aus. Unerwünschte Netzwerkkommunikation kann als Baseline erlernt werden.

• Signaturbasierter Ansatz (Denylist): Das IDS sucht nach Mustern, die es bereits von anderen Angriffen kennt.

– Vorteil: Die Fehlalarmquote ist geringer als bei Systemen mit lernbasiertem Ansatz.

– Nachteil: Angreifer können die Muster jedes Mal geringfügig ändern und damit einer Erkennung entgehen. Um dies zu vermeiden, müssen Signaturen „offener“ definiert werden, was wiederum zu einer höheren Anzahl an Fehlalarmen führt.

• Allowlist-Ansatz: In OT-Netzwerken, besonders im Stromnetz, ist das Verhalten aller Geräte im Netzwerk klar definiert. Das IDS kann deswegen ein Live-Modell der zu überwachenden Betreiberanlage erstellen.

– Vorteil: Abweichungen von der erlaubten Netzwerkkommunikation sind sofort erkennbar. Auch Signalwerte in den Nachrichten werden überwacht, sodass Cyberbedrohungen und Probleme bei den Funktionen präzise erkannt werden können.

– Nachteil: Initial höherer Aufwand bei der ersten Inbetriebnahme.

Vorteile und Herausforderungen eines IDS

Intrusion-Detection-Systeme bieten eine Reihe von entscheidenden Sicherheitsvorteilen für OT-Netzwerke. So ist ein IDS in der Lage, Anomalien zu erkennen, die auf ungewöhnliche Aktivitäten oder verdächtige Netzwerkkommunikation hinweisen, noch bevor diese zu ernsthaften Sicherheitsvorfällen führen. Darüber hinaus ermöglicht ein solches System eine Echtzeitüberwachung, wodurch Bedrohungen sofort erkannt und darauf reagiert werden kann, was insbesondere für die Sicherheit von OT-Netzen von entscheidender Bedeutung ist.

Ein weiterer Vorteil ist die Unterstützung bei der Inventarisierung, indem es die automatische Identifizierung, Überwachung und Dokumentation der im OT-Netzwerk vorhandenen Anlagen ermöglicht. Darüber hinaus überwacht ein IDS die Funktionsweise des OT-Netzwerks sowie dessen Betriebsmittel und Assets, um zu gewährleisten, dass diese sicher und korrekt funktionieren. Auf diese Weise lassen sich Netzwerkfehler, Fehlkonfigurationen von Geräten und fehlerhafte Protokollübertragungen sofort feststellen.

Zusätzlich bietet ein IDS die Möglichkeit, das Netzwerk und die Netzwerkkommunikation durch Dashboards zu visualisieren. Das umfasst eine übersichtliche Darstellung von Ereignis- und Alarmmeldungen, die sowohl für IT- als auch für OT-Mitarbeiter leicht verständlich sind. Eine Herausforderung ist jedoch die Komplexität der Netze. OT-Netzwerke sind oft vielschichtig und heterogen, da sie aus verschiedenen Geräten, Protokollen, Technologien und redundanten Systemen bestehen. Die Implementierung eines IDS erfordert daher eine genaue Kenntnis der Netzwerktopologie. Ein weiteres Problem sind Fehlalarme, die auftreten können, wenn das IDS erlaubte Aktivitäten fälschlicherweise als Angriffe interpretiert.

Dies erfordert eine sorgfältige Konfiguration und Feinabstimmung. Darüber hinaus kann ein IDS die Netzwerkperformance beeinträchtigen, besonders wenn es auf älteren oder ressourcenbeschränkten Systemen läuft. Insgesamt ist ein OT-spezifisches IDS für Energieversorger unerlässlich, um die Verfügbarkeit in kritischen Infrastrukturen sicherzustellen. Durch die gezielte Überwachung des OT-Netzes und die frühzeitige Erkennung von Anomalien können Cyberangriffe verhindert oder deren Auswirkungen minimiert werden.

Praxisbeispiel: Penetrationstests und Funktionsweise eines IDS

Im Rahmen eines Proof of Concepts bei einem norwegischen Verteilnetzbetreiber wurden mehrere OT-IDS installiert, konfiguriert und getestet. Der Kunde wollte die IDS hinsichtlich ihres Implementierungsaufwands, ihrer Anwendungsfreundlichkeit und ihrer Effektivität eingehend prüfen. Dazu wurden gezielte Cyberangriffe für verschiedene Angriffsvektoren durchgeführt. Der Energieversorger erhielt dabei Unterstützung von Experten einer externen Firma, die den Penetrationstest in Zusammenarbeit mit dem Verteilnetzbetreiber umsetzten.

Der Penetrationstest fand am 18. und 19. April 2023 statt. Vor Beginn des Tests wurden seitens des Verteilnetzbetreibers einige Konfigurationen an Routern und Switches durchgeführt, um einen reibungslosen Ablauf zu gewährleisten (siehe Abbildung 2). Die beteiligten IDS-Anbieter waren nicht über den Zeitpunkt des Pentests oder über die Art und den Umfang der Angriffsszenarien informiert.

Erster Tag des Penetrationstests

Eine deutliche Indikation für den Start der Angriffsserie war das Detektieren neuer IP-Adressen im Netzwerk.

Im Gegensatz zur IT stellen unbekannte IP-Adressen in der OT eine potenzielle Bedrohung dar. Diese sind einer der besten Indikatoren für die frühzeitige Erkennung bestimmter Angriffe. In der nächsten Phase der Angriffsserie wurden verschiedene Scans durchgeführt. Das ist ein übliches Verhalten, wenn Angreifer das Netzwerk genauer verstehen und sich einen Überblick über den Aufbau des Netzwerks und deren Netzwerkteilnehmer verschaffen wollen.

Dazu wurden zunächst mehrere TCP-Port-Scans durchgeführt. Dabei versuchen Angreifer, offene Ports, verwendete Dienste oder Betriebssysteme sowie technische Schwachstellen zu identifizieren. Port-Scans lassen sich gut über die Auslastung des Netzwerkes erkennen. Durch den Allowlist-Ansatz im IDS sind solche Verbindungen ebenfalls verboten und führen zur Alarmierung. Abbildung 4 zeigt eine Timeline der Alarme, welche durch diese Attacken ausgelöst worden sind.

Im weiteren Verlauf wurde ein UDP-Port-Scan und einige Ping-Sweeps vom IDS detektiert. Bei einem UDP-Port-Scan versuchen Angreifer, Rückschlüsse auf den Gerätetyp der Netzwerkteilnehmer zu ziehen. Dazu zählt beispielsweise die Unterscheidung zwischen Client, Server, Schutz- oder Steuergerät. Mithilfe eines Ping-Sweeps werden bestimmte IP-Adressbereiche des Netzwerks kontaktiert. Erhält man eine Antwort von einer IP-Adresse ist dieses Gerät aktiv. Mithilfe dieser Informationen können Angreifer ein Mapping der Ports, der genutzten IP-Adressen, der Dienste, der Betriebssysteme und der Netzwerkteilnehmertypen vornehmen.

In der nächsten Phase des Angriffs wurde eine ARP-Spoofing-Attacke ausgeführt. Hierbei nutzen die Angreifer die fehlende Authentifizierung zwischen den Netzwerkteilnehmern im ARP-Protokoll aus. Das Address Resolution Protocol (ARP) dient der Zuordnung von IP- zu MAC-Adressen im lokalen Netz. Hierbei kommt ein Request-Response-Schema zum Einsatz, bei dem die erste Antwort (ARP-Response) akzeptiert und in einer ARP-Tabelle gespeichert wird. Dieser Mechanismus birgt jedoch das Risiko, dass auch manipulierte Antworten der Angreifer von den Netzwerkteilnehmern
akzeptiert werden.

Auf diese Weise können Angreifer ihre MAC-Adresse mit der IP-Adresse eines Zielhosts verknüpfen. Dadurch ist es ihnen möglich, den Datenverkehr, der eigentlich für den Zielhost bestimmt ist, auf das kompromittierte System umzuleiten und zu manipulieren. Somit entsteht ein manipuliertes IP- zu MACAdressen-Mapping, welches es den Angreifern erlaubt, eine Man-in-the-Middle-Attacke zu
initialisieren. Abbildung 5 zeigt die Detektion und Alarmierung dieses Verhaltens im ZeroLine-Diagramm.

Im Anschluss wurde eine UDP-Traceroute-Attacke ausgeführt. Ähnlich wie bei den vorherigen Scan-Attacken dient diese Methode der detaillierten Untersuchung des Netzwerkaufbaus. Dabei wird versucht, durch gezieltes Setzen der Time-to-live-(TTL)-Variable, den Netzwerkpfad und die Netzwerkteilnehmer samt IP-Adresse und Hostnamen zu identifizieren.

Die Erkenntnisse aus den Scans bildeten die Grundlage für eine gezielte Angriffskombination auf die Windows-Geräte im Netzwerk. Zunächst wurde die Aktivität einiger Netzwerkteilnehmer mittels eines Ping Sweep per ICMP überprüft. Bei erfolgreicher Rückmeldung wurde ein NetBIOS-Scan durchgeführt, um die NetBIOS-Informationen der Geräte abzufragen.

NetBIOS ist ein Windows-Protokoll, das für den Austausch von Daten wie Dateifreigabe oder Druckerinformationen verwendet wird. Wenn eine Antwort auf die gesendeten NetBIOS-Anfragen empfangen wurde, erfolgten zusätzliche Verbindungsversuche mit Webservern auf den Ports 80, 443 und 8080 mithilfe von TCP-Paketen. Die im IDS protokollierten PCAP-Daten ermöglichten die Analyse und Auswertung der Angriffsmethoden.

Zweiter Tag: Physische Angriffe

Die Angriffsserie wurde am zweiten Tag mit einer physischen Attacke fortgesetzt. Dafür kopierten die Angreifer eine Hardwarekomponente mit dem beim Verteilnetzbetreiber vorhandenen Asset-Management-System funktional und tauschten sie aus. Dabei wurden sowohl die MAC-Adresse als auch die IP-Adresse des Asset-Management-Systems übernommen, inklusive sämtlicher operativer Funktionen.

Das Asset-Management-System ist eine Komponente, die für das Sammeln von Konfigurations- und Fehlerdaten sowie das Erstellen eines Asset-Inventars von Schutzrelais verantwortlich ist. Das Erkennen solcher physischen Attacken ist sehr kompliziert, und bei sorgfältiger Ausführung ist es nahezu unmöglich. Im Fall dieses Pentests wurden seitens der Angreifer jedoch Spuren hinterlassen.

So wurde dem kompromittierten Asset-Management-System nach dem Austausch für eine sehr kurze Zeit eine APIPA-Adresse zugewiesen. Der APIPA-Mechanismus wird von Betriebssystemen verwendet, um selbstständig eine IP-Adresse zu konfigurieren, falls kein DHCP-Server erreichbar ist. Die APIPA-Adresse wird immer im Adressbereich 169.254.x.x vergeben, wodurch sie sich deutlich
von den anderen IP-Adressen beziehungsweise IP-Adressbereichen unterscheidet und als Anomalie detektiert werden kann.

Bei der weiteren Analyse wurde festgestellt, dass die periodischen Abfragen des Asset-Management-Systems für eine kurze Zeit unterbrochen wurden. Dies deutete auf den Austausch des kompromittierten Geräts samt Asset-Management-Funktionalität hin. Nach der Kompromittierung des Asset-Management-Systems wurden unerlaubte HTTP-Nachrichten an mehrere Switches gesendet. Ein Angriff, der HTTP-Verbindungen von OT-Geräten ausnutzt, ist als äußerst kritisch zu bewerten.

Im weiteren Verlauf wurden Verbindungsversuche zu verschiedenen Intelligent Electronic Devices (IEDs) über Port 102 detektiert. Dieser Port wird in der Schutz- und Leittechnik von dem IEC-61850-MMS-Protokoll verwendet und dient zum Austausch von Schaltsignalen, Messwerten, Konfigurationsdaten oder Ereignisberichten. Das IEC-61850-MMS ermöglicht somit eine effiziente Kommunikation zwischen den IEDs und den höheren Entitäten wie RTUs und SCADA-Systemen.

Es folgte ein Angriff mittels eines weiteren IEC-61850-Protokolls. Die Analyse ergab, dass nach dem Verbindungsaufbau auf einigen Switches GOOSE-Nachrichten im Netzwerk nicht mehr sichtbar waren und Statuswerte verändert wurden.

GOOSE wird in Schutz- und Leittechnik-Netzwerken für die horizontale Kommunikation zwischen IEDs verwendet. Dazu werden in regelmäßigen Abständen Statuswerte sowie Ereignismeldungen gesendet, zum Beispiel Auslösesignal oder das Einschalten des Leistungsschalters. Das hat zur Folge, dass andere IED oder SCADA-Systeme entsprechende Folgeaktionen ausführen können.

Bei der ausgeführten Attacke wurden diese GOOSE-Nachrichten verändert oder unterbunden. Dadurch sind betriebsrelevante Informationen für die anderen Netzwerkteilnehmer wie unter anderem aktuelle Statuswerte nicht korrekt oder nicht mehr verfügbar. Das kann zu Fehlfunktionen, Störungen bis hin zum Ausfall der Betreiberanlage oder zur Beeinträchtigung der Versorgungssicherheit für Unternehmen und Bürger führen.

Handlungsempfehlungen

Die Ergebnisse des Penetrationstests verdeutlichen die Notwendigkeit und Effektivität eines Angriffserkennungssystems (IDS) bei der Identifizierung von Cyberangriffen. Besonders die Auswertung der visualisierten Angriffe hat gezeigt, dass viele dieser Bedrohungen nur durch ein auf OT spezialisiertes IDS erkannt werden können. Die Ergebnisse des Praxistests belegen, dass bereits ein einzelner Alarm ein Hinweis auf einen potenziellen Angriff sein kann.

IDS können Netzwerke in Echtzeit überwachen und dabei helfen, ungewöhnliche Aktivitäten sofort zu erkennen. Zusätzlich zu einem IDS empfehlen wir jedem Energieversorger, sein Netzwerk korrekt zu konfigurieren und zu segmentieren, indem nicht benötigte Dienste oder Applikationen deaktiviert werden. Durch diese Maßnahmen wird der Angriffsvektor erheblich reduziert und potenzielle Attacken werden deutlich erschwert. Das trägt maßgeblich dazu bei, die Sicherheit im Energieversorgungsbereich zu stärken und kritische Infrastrukturen vor Cyberbedrohungen zu schützen.

Weitere Artikel zum Thema:

Pentests: Fusionen, Übernahmen und Expansionen absichern

Welches Security Assessment sollte ich als Unternehmen durchführen?

Angriffserkennung – Selber machen oder kaufen?