Zentrales Security Incident Management für KMU in Industrie 4.0 - Workshop Architekturplattform
Im Rahmen von ZenSIM 4.0 (zensim-project.de) wird eine für KMU aus dem Industrie4.0-Umfeld spezifische Plattform entwickelt, die den unterstützten Einstieg in ein hochqualitatives Incident Management vermittelt. Mittels der Plattform können KMU Informationen zu ihrer IT- und OT-Infrastruktur und ihren schützenswerten Informationen (Assets), ihren bereits verwendeten Sicherheitsmaßnahmen sowie in der Vergangenheit ereigneten Sicherheitsvorfällen bereitstellen. Im Februar 2022 fand der erste Workshop im Forschungsprojekt ZenSIM4.0 statt, um für die geplante Architekturplattform einen gemeinsamen Nenner zu schaffen. Leider nur virtuell über das hauseigene Konferenzsystem Jitsi Meet, da im Februar corona-bedingt noch Vorsicht geboten war. Dazu wurde von der DECOIT® GmbH zu allererst die eigene SIEM-Architektur erläutert sowie Erweiterungen für das Projekt vorgestellt. VDE@CERT stellte die interne Handhabung von Schwachstelleninformationen vor und die Hochschule Bremen ihre Virtualisierungsplattform. Eine gute Basis, um anstehende Aufgaben aus AP2 und AP3 nun gemeinschaftlich angehen zu können.
Zum Start stellte die DECOIT® GmbH ihre ScanBox-Appliance (www.scanbox-product.de) vor, die in einem anderen F&E-Projekt entwickelt wurde und nun als Produkt vorliegt. Sie kann aktive und passive Scans des Netzwerks durchführen und ist somit gleichermaßen für IT- und OT-Netze geeignet. Daten zur Analyse werden gesammelt, analysiert und nach einem definierten Zeitpunkt wieder gelöscht oder archiviert, um den Speicherplatz wieder für neue Daten freizumachen. Die integrierte Anomalie-Erkennung arbeitet regelbasiert und stellt die Vorfälle in Tickets dar, die von den Administratoren bearbeitet werden müssen. Auf Basis der dort verwendeten Architektur wurde eine neue für das ZenSIM4.0-Projekt vorgeschlagen (siehe Abbildung).
Neuerungen sind dabei die Komponenten resiliente Datenbank, Retraining-Archiv und Feedback-Datenbank. In der resilienten Datenbank legt der Administrator des Betreibers fest, ob ein System in die Quarantäne gehen soll oder nicht. Auch den Eingriff auf die Firewall oder das Serversystem muss der Betreiber selbst vornehmen und nicht automatisiert ein SIEM-System. In dem Retraining-Archiv werden die Daten für ein späteres Training abgelegt. Die Feedback-Datenbank soll die Rückantwort der Benutzer enthalten. Dadurch lassen sich „False Positives“ minimieren, indem diese von den Administratoren gekennzeichnet werden, so dass sie bei späteren Analysen nicht erneut wieder auftauchen. Auch die Technologieauswahl für die Umsetzung wurde von der DECOIT® GmbH bereits umgesetzt. Daher ist man hier gut im Zeitplan.
CERT@VDE stellte hingegen vor, wie ein Betreiber sich konkret bei ihnen meldet, wenn ein Vorfall wahrgenommen wurde. Zusätzlich liefert das CERT@VDE öffentliche Schwachstellen aus, um Betreiber und Hersteller vorwarnen zu können. Die Schwachstellen-Datenbank hilft allerdings vor allem den Herstellern, da sie die Security Advisorys (SA) auslesen können. Dafür wird der Standard Common Security Advisory Framework (CSAF) verwendet, das drei verschiedene Rollen vorsieht: Publisher, Provider und Trusted Provider. In diesem Zusammenhang kamen viele Fragen auf, die zwischen den Partnern im Workshop diskutiert wurden. Abschließend zeigte die Hochschule Bremen ihre virtuelle Laborumgebung, die für Industrie 4.0 geschaffen wurde. In dieser Umgebung lässt sich die gesamte Architekturplattform simulieren, um Erkenntnisse für die Entwicklung gewinnen zu können. Auch hier entstanden viele Fragen, die in dem Workshop besprochen wurden.
Durch den Workshop entstand ein gemeinsamer Nenner für die Partner, um die gesetzten Ziele nun gemeinsam angehen zu können. Dies war wichtig, damit alle Teilnehmer von den gleichen Inhalten sprechen und nicht aneinander vorbei arbeiten. Die Aufgaben der Arbeitspakete AP2 und AP3 können daher nun koordiniert in den nächsten Monaten angegangen werden.