Am 06. November lud das Freie Institut für IT-Sicherheit e.V. (IFIT) zum Thema „Angriffserkennung – nur ein Thema der Compliance!?“ in die Hochschule Bremen Graduate & Professional School ein. Klaus Hunsänger vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Referent für Industrielle Steuerungs- und Automatisierungssysteme berichtete aus seiner Praxis. Dabei ging es natürlich auch um die Themen NIS2-Umsetzungsgesetz und Systeme zur Angriffserkennung (SzA) als Anforderung an Betreiber kritischer Anlagen. Die DECOIT® war als IFIT-Mitglied vor Ort und nahm aktiv an der Diskussion teil.

Der Referent startete mit der Forderung nach Umsetzung von konkreten Maßnahmen zur Angriffserkennung nach IT-SiG 2.0, die ab 2021 notwendig wurden. Dabei stellte er auch Tools vor, die das BSI zur Analyse verwendet und stellte die Notwendigkeit von Monitoring in OT-Umgebungen heraus. Systeme zur Angriffserkennung (SzA) sind inzwischen für KRITIS-Unternehmen ein Muss geworden, denn sie protokollieren, detektieren und reagieren. Durch die NIS2-Regelung werden sie auch für Unternehmen ab 50 Mitarbeitern relevant. Dabei stellten alle Anwesenden mit dem Referenten zusammen fest, dass die Angriffserkennung weit mehr als ein Compliance-Thema ist. Der Titel war ein bisschen provokant gewählt worden.

Aus der Erfahrung des BSI heraus wurde berichtet, dass der Energie-Sektor ein höchst attraktives Ziel für Hacker ist. In der Vergangenheit wurden beispielsweise diverse Netzleitstellen angegriffen. Die Angriffe wurden teilweise mit Angriffstools umgesetzt. Als Schwachstellen konnten Engineering Workstation, Fernwartungskonzepte, exponierte Komponenten und Perimeter-Schutz ausgemacht werden. Dadurch, dass sich die Komplexität der Anlage durch dezentrale Energieerzeugung und den Vernetzungsgrad stark verändern wird, ist der Angriffsvektor relativ groß. Potentielle Informationsquellen, wie Logdaten (Syslog, SNMP), sind zwar vorhanden, können aber nicht immer abgefragt werden. Das BSI empfiehlt daher auf den Schichten 1-3 eines OT-Netzes Paketfilter einzusetzen und die OT-Protokolle einer Deep Packet Inspection zu unterziehen. Dafür sind Open-Source-Tools wie Zeek, Filebeat, Logstash, OpenSearch, Suricata und Arkime Capture geeignet. Grundsätzlich sollte man aber parallel an seiner Netzwerk-Hygiene arbeiten, um keine Einfallsschleusen anzubieten.

Das Schwachstellen-Management über das Common Security Advisory Framework (CSAF) wurde ebenfalls abschließend erwähnt. CSAF wird vom BSI vorangetrieben und auch bereits von der DECOIT® im Forschungsprojekt ZenSIM4.0  verwendet. Es ermöglich ein automatisiertes Advisory-Management. Das heißt, es kann eine automatisierte Verteilung von maschinenverarbeitbaren Schwachstellen- und Mitigationsinformationen (sogenannten Security Advisorys) erfolgen, die über CSAF-Provider bereitgestellt werden. Es erlaubt so Herstellern, Anwendern, Betreibern und der Verwaltung die Informationen zu einzelnen Schwachstellen automatisiert abzurufen und eine Betroffenheit festzustellen.

Abschließend betonte Hunsänger, dass das BSI keine Sicherheitspolizei spielen kann und wird. Dafür reiche das Personal bei weitem nicht aus. Es wird daher an die Unternehmen appelliert sich an die bestehenden Sicherheitsgesetze zu halten und zukünftig Systeme zur Angriffserkennung zu betreiben, um den Angreifern weniger Möglichkeiten an die Hand zu geben. Die DECOIT® hat mit der ScanBox® eine solche Lösung an der Hand – fragen Sie uns!