DECOIT-Vortrag zu integrativer SIEM-Lösung beim 10. IFIT-Roundtable

Am 8. Juni 2022 fand beim Gastgeber bremenports im ATLANTIK Hotel Sail City der 10. Roundtable vom IFIT der Arbeitsgruppe „Industrial Security“ statt. In diesem Roundtable tauschen sich die Teilnehmer regelmäßig über den „Stand der Technik“ aus. Dieses Mal standen die Themen Netzwerk-Monitoring und Anomalie-Erkennung auf der Tagesordnung. Im Impulsvortrag berichtete DECOIT®-Geschäftsführer, Prof. Dr. Kai-Oliver Detken, aus dem abgeschlossenen BMWi-Förderprojekt SEC-I4.0 (www.sec-i40-project.de) über eine integrative SIEM-Lösung für mittelständische OT- und IT-Netze berichtet.

Zuerst stellte sich aber erst einmal der Gastgeber bremenports GmbH & Co. KG (www.bremenports.de), vertreten durch Jan Schirrmacher, den Teilnehmern vor. Seit ihrer Gründung im Jahre 2002 verwaltet sie im Auftrag der Freien Hansestadt Bremen die Infrastruktur der Hafengruppe Bremen/Bremerhaven. Sie ist damit eine Beratungs- und Ingenieurgesellschaft mit eigenem Hafen und für die Hafenentwicklung, die Hafenplanung, den Hafenbau und die Hafeninstandhaltung zuständig. Über 200 Firmenpartner werden von ihr supportet. Im Rahmen des neuen Sicherheitsgesetzes, welches im Mai 2023 in Kraft treten wird, macht bremenports sich Gedanken über eine entsprechende Sicherheitsstrategie.

In seinem Impulsvortrag ging Prof. Dr. Kai-Oliver Detken einführend auf den derzeitigen Stand der Internet-Attacken ein. Inzwischen ist fast jedes Unternehmen von solchen Attacken betroffen, die immer mehr automatisiert durchgeführt werden. Um diesen zu entgehen, sollte eine umfassende Sicherheitsstrategie vorhanden sein, die mit technischen Hersteller- und Open-Source-Lösungen umgesetzt werden kann. Durch die Angriffswellen werden zunehmend Systeme notwendig, die die IT-Sicherheit kontinuierlich monitoren und nicht nur die Verfügbarkeiten abfragen. Solche SIEM-Systeme sind aber bislang hauptsächlich für IT-Umgebungen (Büroumgebung) konzeptioniert worden und sind daher im OT-Umfeld kaum zu finden. Hier setzte das SEC-I4.0-Projekt an, welches durch die DECOIT® GmbH zwischen 2019 und 2021 koordiniert wurde. Partner waren Achtwerk GmbH & Co. KG und Hochschule Bremen.

Abbildung 1: Veranstaltungsort ATLANTIK Hotel Sail City mit bester Aussicht auf Bremerhaven
Abbildung 1: Veranstaltungsort ATLANTIK Hotel Sail City mit bester Aussicht auf Bremerhaven

Projektziel war die Ermöglichung einer intelligenten Anomalie-Erkennung in Industrienetzen. Vor einem Einsatz in der Live-Umgebung sollten Neuerungen in einer Virtualisierungsumgebung simuliert werden, wofür die Hochschule Bremen zuständig war. Als SIEM-Basis kam die Entwicklung der DECOIT® GmbH zum Einsatz, die ihre ScanBox-Appliance (www.scanbox-product.de) zur Verfügung stellte. Achtwerk setzte hingegen bei ihrer Entwicklung auf die Erweiterung ihres OT-Monitoringsystems IRMA (www.acht-werk.de). Im Verbund sind nun beide Appliances in der Lage in IT- und OT-Umgebung eingesetzt zu werden. Dies geschieht über eine neu entwickelte Rest-API-Schnittstelle, die für beide Systeme entwickelt wurde. Die IRMA kommt im OT-Umfeld dabei als Sensor zum Einsatz, um das Abrufen von Alarmen, Assets und Verbindungen zu ermöglichen und die Schwachstellen an die zentrale ScanBox weiterzugeben. Zudem kann die ScanBox auch gezielte Informationen zu den Assets aus der IRMA abfragen. Sie sammelt daher alle eingehenden Daten, bewertet das Risiko, schreibt für jeden Vorfall ein Ticket und kann entsprechende Reports zur Verfügung stellen.

Die Projektziele von SEC-I4.0 konnten daher fast alle erreicht werden. Bei der Anomalie-Erkennung wurde aber von einer KI-Funktionalität abgewichen, da diese zu viele Falschmeldungen erzeugte. Es blieb bei einer regelbasierten Konfiguration. Die Kombination ScanBox-IRMA kann inzwischen für IT-/OT-Netze produktreif eingesetzt werden. Abschließend wurden noch offene Problemstellungen besprochen, die noch gelöst werden müssen. Dabei gibt es nicht nur technische Herausforderungen, sondern auch das Fehlen menschlicher Ressourcen bei der Auswertung der Daten ist zu beachten. Denn Schwachstellenmeldungen müssen durch Daten-Analysten untersucht und entsprechend eingestuft werden. Diese fehlen aber sowohl den Security Operation Centern (SOC), als auch den Unternehmen selbst.

Abbildung 2: Blick vom Veranstaltungsort auf den Hafen von Bremerhaven
Abbildung 2: Blick vom Veranstaltungsort auf den Hafen von Bremerhaven

In der Arbeitsgruppe „Industrial Security“ treffen sich regelmäßig Fachexperten, um sich zum Thema Sicherheit in vernetzten Automatisierungs- und Leitsystemen auszutauschen. Auch dieses Mal gab es rege Diskussionen vor der wunderschönen Bremerhavener Skyline. Weitere Informationen zum Freien Institut für IT-Sicherheit e.V. und seinen Arbeitsgruppen gibt es unter www.ifitev.de.

Zurück