1 Bewertungen

Sicherheitsrisiken und Fehlerzustände in der Netzleittechnik sichtbar machen Fehler erkennen, bevor das Netz abraucht

Bild: iStock, Grandfailure
20.08.2018

Wer seine Netzleittechnik gegen Störungen sichern möchte, muss zuerst wissen, was darin passiert. Ergebnisse aus Stabilitäts- und Sicherheitsaudits bei Energieunternehmen unterstreichen die Relevanz lückenloser Transparenz und der Berechtigung einer Anomalieerkennung.

Eine Hiobsbotschaft treibt dieser Tage erneut durch die Medien: Professionelle Hacker greifen gezielt und großflächig die Netzwerke deutscher Energieversorger an. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einer regelrechten Angriffskampagne. Es betont zugleich, dass bisher nur Büronetzwerke betroffen seien und die Energieversorgung zu keinem Zeitpunkt in Gefahr gewesen sei. Das klingt im ersten Moment beruhigend. Doch interessant sind zwei weitere Aussagen, die der WDR am 13.06.2018 im Rahmen dieser BSI-Warnung wiedergab:

„Das BSI geht davon aus, dass solche Angriffe in Übungs­szenarien über einen längeren Zeitraum ausprobiert worden sein müssen. Denkbar ist, dass die Angreifer auch weitere Methoden angewandt haben, die bisher noch nicht entdeckt wurden, oder dass sie ihre Taktik jetzt ändern, seit die Attacken öffentlich geworden sind.“

Können wir also sicher sein, dass nur die Büronetzwerke betroffen sind? Unsere Erfahrungen aus Stabilitäts- und Sicherheitsaudits bei verschiedenen Energieversorgern in und außerhalb von Deutschland haben uns gelehrt, dass die wenigstens Betreiber wissen, was in ihrer Netzleittechnik passiert. Selbst in gut strukturierten und vorbildlich verwalteten Netzwerken fanden wir ungewöhnliche Kommunikationsvorgänge, die auf Sicherheitslücken hinwiesen.

Sicherheitsverstöße sind nicht eindeutig

Sicherheitsrelevante, bedenkliche Vorgänge nehmen in der Netzleittechnik vielfältige Formen an. Die folgenden Beispiele zeigen nur einen kleinen Ausschnitt aus den in Audits und Langzeitmonitoring-Projekten gesammelten Anomaliemeldungen.

Verbindungen ins Internet: Es ist selbst in gut gepflegten Netzwerken möglich. Netzwerkkomponenten versuchen kontinuierlich (mit mehr oder weniger Erfolg), Verbindungen ins Internet aufzunehmen. Manchmal handelt es sich um automatische Updateversuche, die aus den Werkseinstellungen stammen. Es fanden sich jedoch auch immer wieder weniger eindeutige Verbindungsversuche, zum Beispiel nach Japan, China oder zu unbekannten DNS Root Servern.

Fragwürdige Endgeräte: Hierbei kann es sich um Komponenten handeln, die den Betreibern bislang überhaupt nicht bekannt waren. In anderen Fällen fallen einzelne Geräte jedoch auch durch doppelt vergebene IP-Adresse auf. In beiden Fällen müssen die betroffenen Geräte auf ihre Legitimität überprüft werden.

Unsichere Kommunikation: Kommunikation kann in unterschiedlicher Weise unsicher sein. So finden sich immer wieder Vorgänge, die über Protokolle versendet werden, die in industriellen Netzen untypisch oder sicherheitsgefährdend sind. Dazu gehören u.a. Netbios, FTP, HTTP oder SMB. Weiterhin findet sich Kommunikation über alte Protokollversionen, für die mitunter schwerwiegende Schwachstellen dokumentiert sind. Neben diesen protokollbasierten Anomaliemeldungen gibt der Blick auf die Netzwerkkarte weitere wichtige Hinweise. So wurden zum Beispiel Kommunikationsvorgänge über Ports sichtbar, für die seit längerem CVE-Schwachstellen bekannt sind.

(Un-)verschlüsselte Kommunikation an der falschen Stelle: Verschlüsselung klingt im ersten Moment nach Sicherheit. Wenn sie jedoch auftritt, wo es unerwünscht oder ungewöhnlich ist, kann dies auch auf eine Schadsoftware hinweisen, die ihre Kommunikation zu verbergen versucht. Auf der Gegenseite öffnet ein unverschlüsselt als Klartext versendetes Passwort Tür und Tor für Kontrollübernahmen.

Das Ungesehene sichtbar machen

Bei den beschriebenen Monitorings kommt die industrielle Anomalieerkennung Rhebo Industrial Protector zum Einsatz. Im Gegensatz zu klassischen Sicherheitslösungen beschränkt die Anomalieerkennung ihre Überwachung nicht auf die Netzwerkgrenzen, sondern bezieht alle Kommunikationsvorgänge innerhalb des Netzwerkes ein. Dazu wird sie rückwirkungsfrei und passiv an beliebigen Stellen in der Netzleittechnik integriert. In der Regel wird als erster Schritt ein Rhebo Industrie 4.0 Stabilitäts- und Sicherheitsaudit (RISSA) durchgeführt, das Grund­analyse der Netzwerkstruktur und -inhalte dient. Damit können bereits vorliegende ungewollte Komponenten und Kommunikationsvorgänge (Altlasten) entfernt werden, um ein Standardmuster der Netzleittechnik-Kommunikation zu definieren. Dieses Standardmuster lernt die Anomalieerkennung für den nachfolgenden Schritt: das kontinuierliche Network Condition Monitoring. Fortan wird jegliche Kommunikation im Netzwerk analysiert, jedes Gerät zweifelsfrei identifiziert und jede unbekannte, vom Standardmuster abweichende Kommunikation als Anomalie gemeldet.

Fehlerzustände bedrohen Anlagenverfügbarkeit

Dabei werden nicht nur sicherheitsrelevante Vorfälle gemeldet, sondern auch technische Fehlerzustände, wie sie in komplexen Netzen aufgrund von Fehlkonfigurationen, Komponentenverschleiß oder Überlast häufig auftreten. Diese deuten oftmals auf (schleichende) Veränderungen in der Qualität und Verfügbarkeit des Netzwerkes selbst.

  • Unbeantwortete Anfragen im TCP-Verbindungsaufbau: Zeichen für Probleme auf den Übertragungskanälen.

  • TCP-Übertragungswiederholungen: Zeichen für fehlerhafte Komponenten wie Ethernet-Kabel oder Switches.

  • TCP-Prüfsummenfehler, Empfangsfenstergröße 0, veränderte Round Trip Times (RTT): Zeichen für Überlastzustände, beschädigte Übertragungsmedien oder Fehlkonfiguration.

Komplette Sichtbarkeit und Handlungsfähigkeit

Die Anomalieerkennung macht somit alle Vorgänge und Netzwerkzustände sichtbar, welche die Sicherheit oder die Produktivität der Netzleittechnik beeinträchtigen können. Dazu gehören neben unbekannten Vorgängen und Fehlerzuständen auch unter CVE dokumentierte Sicherheitslücken. Die Software bewertet zusätzlich das Risikopotential der Anomalie. Anhand dieses Risk Scores können Betreiber einschätzen, welche Anomaliemeldung für die Kontinuität der Prozesse relevant sind. Meldungen für die Cybersicherheit werden dabei getrennt von Vorfällen angezeigt, welche die Produktivität beeinträchtigen können.

Die Anomalieerkennung agiert dabei vollständig passiv und rückwirkungsfrei. Sie nimmt also keine eigenmächtige Blockierung vor. Die Entscheidungshoheit verbleibt beim Betreiber, um Anlagenausfälle aufgrund von »False-Positive«-Befunden vorzubeugen. Diese Taktik ist im Rahmen der Detektion unbekannter Kommunikationsmuster, für die noch kein Präzedenzfall vorliegt, sinnvoll. Die Betreiber haben deshalb die Möglichkeit, die Details der Anomaliemeldungen (als PCAP gespeichert) genauestens zu analysieren. Zudem können Meldungen über eine universelle Schnittstelle automatisiert z. B. an eine Firewall oder ein IDS gesendet werden, um Maßnahmen zu definieren.

Im Kontext einer Defense-In-Depth-Strategie ist die Anomalieerkennung damit Level-2-Abwehr sowie Datenlieferant an die gängigen aktiven Sicherheitskomponenten, welche die Anomalien nicht erkennen. Die Energieversorger, bei denen die oben skizzierten Anomalien entdeckt wurden, können somit ihre Netzleittechnik kontinuierlich auf potentielle Störungen prüfen und umgehend auf verdächtige Abweichungen reagieren.

Bildergalerie

  • In der Detailansicht erkennen Betreiber u.a. genau, welche erstmaligen und wiederholt aufgetretenen Anomalien durch ein bestimmtes Gerät verursacht wurden.

    In der Detailansicht erkennen Betreiber u.a. genau, welche erstmaligen und wiederholt aufgetretenen Anomalien durch ein bestimmtes Gerät verursacht wurden.

    Bild: Rhebo

  • Die Anomalieerkennung visualisiert alle Netzwerkakteure und die Verbindungen zwischen ihnen. Breite Stränge signalisieren einen hohen Datendurchsatz.

    Die Anomalieerkennung visualisiert alle Netzwerkakteure und die Verbindungen zwischen ihnen. Breite Stränge signalisieren einen hohen Datendurchsatz.

    Bild: Rhebo

Firmen zu diesem Artikel
Verwandte Artikel