Der Mensch bleibt unersetzlich
Cybersicherheit in industriellen Netzwerken
Frank Stummer, Rhebo
(Titelbild: © AdobStock | 854749491 | Jayk )
Kurz und Bündig
Eine Anomalieerkennung untersucht die Netzwerkkommunikation auf Unregelmäßigkeiten und meldet jede Abweichung zu einer definierten Norm. Aufgrund der besonderen Rahmenbedingungen und Ziele in industriellen Netzwerken ist eine Automatisierung der Prozesse – insbesondere durch KI – nur in Teilen erwünscht und sinnvoll. Der Mensch bleibt als bewertende und entscheidende Instanz unersetzlich.
In den vergangenen zehn Jahren ist insbesondere in industriellen Netzwerken (Operational Technology, OT) die Anomalieerkennung als Werkzeug der Cybersicherheit immer stärker in den Fokus gerückt. Sie ergänzt den Präventionsansatz der Firewalls an den Netzwerkgrenzen mit einem Detektionsfokus auf Unregelmäßigkeiten. Im Gegensatz zu IT-Umgebungen ist eine automatisierte Reaktion auf Vorfälle in OT-Netzwerken kritisch zu betrachten. Falsch-positive Meldungen können zu Entscheidungen führen, die Prozesse, Anlagen und den Arbeitsschutz gefährden.
Im Dezember 2021 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Arbeitspapier erstmals ausdrücklich die Empfehlung, auf Netzwerkebene eine Anomalieerkennung einzusetzen [1]. Hintergrund war die Bekanntwerdung mehrerer Schwachstellen der Java-Protokollierungsbibliothek Log4j [2,3,4]. Der als Log4Shell benannte Vorfall wurde zu einem Sinnbild der komplexen Herausforderungen, denen Cybersicherheit im digitalen Zeitalter gegenübersteht:
- Abhängigkeit von Drittanbietern bei der Behebung der Schwachstelle [5].
- Unklarheit der Verbreitung von Softwarepaketen und -bibliotheken.
- Risiken von Sicherheitspatches durch Einschränkung wichtiger Funktionen [6].
- Verzögerung der Mitigationsmaßnahmen aufgrund von Fragen zur
- Anlagenverfügbarkeit und Prozessstabilität sowie von Abhängigkeit von festen Wartungszyklen.
Die Anzahl der bekannt gewordenen Schwachstellen für industrielle Komponenten und Systeme ist in den letzten Jahren stetig gewachsen [7]. Das BSI empfahl zu Log4Shell daher: „Sollte ein Update oder eine Evaluierung der Betroffenheit zurzeit nicht möglich sein, empfiehlt es sich, ausgehende Verbindungsversuche aller Systeme zu protokollieren und auf Unregelmäßigkeiten hin zu untersuchen“ [8]. Die „Unregelmäßigkeiten“ würden bei der Überwachung der Kommunikation als so genannte Anomalien auffallen. Neben Anfrageauswertungen und Prozesslisten wurde deshalb eine Anomalieerkennung auf Netzwerkebene empfohlen [9]. Diese überwacht passiv die vollständige Kommunikation innerhalb des Netzwerkes auf Abweichungen vom zu erwartenden Verhalten, das in einer Baseline festgelegt ist. Auffälligkeiten, sogenannte Anomalien werden in Echtzeit identifiziert und an die Verantwortlichen gemeldet.- Abhängigkeit von Drittanbietern bei der Behebung der Schwachstelle [5].
- Unklarheit der Verbreitung von Softwarepaketen und -bibliotheken.
- Risiken von Sicherheitspatches durch Einschränkung wichtiger Funktionen [6].
- Verzögerung der Mitigationsmaßnahmen aufgrund von Fragen zur
- Anlagenverfügbarkeit und Prozessstabilität sowie durch Abhängigkeit von festen Wartungszyklen.
Die Anzahl der bekannt gewordenen Schwachstellen für industrielle Komponenten und Systeme ist in den letzten Jahren stetig gewachsen [7]. Das BSI empfahl zu Log4Shell daher: „Sollte ein Update oder eine Evaluierung der Betroffenheit zurzeit nicht möglich sein, empfiehlt es sich, ausgehende Verbindungsversuche aller Systeme zu protokollieren und auf Unregelmäßigkeiten hin zu untersuchen“ [8]. Die „Unregelmäßigkeiten“ würden bei der Überwachung der Kommunikation als so genannte Anomalien auffallen. Neben Anfrageauswertungen und Prozesslisten wurde deshalb eine Anomalieerkennung auf Netzwerkebene empfohlen [9].
Diese überwacht passiv die gesamte Kommunikation innerhalb des Netzwerkes auf Abweichungen vom zu erwartenden Verhalten, das in einer Baseline festgelegt ist. Auffälligkeiten, also Anomalien, werden in Echtzeit identifiziert und an die Verantwortlichen gemeldet.Diese überwacht passiv die gesamte Kommunikation innerhalb des Netzwerkes auf Abweichungen vom zu erwartenden Verhalten, das in einer Baseline festgelegt ist. Auffälligkeiten, sogenannte Anomalien werden in Echtzeit identifiziert und an die Verantwortlichen gemeldet.
Eine Anomalie repräsentiert dabei eine Veränderung im Netzwerkverhalten, das bösartiges Verhalten, Fehlverhalten oder -funktionen einschließen kann – von der Kommunikation über Backdoors und Schwachstellen, über laterale Bewegungen und Spoofing-Aktivitäten bis zu technischen Fehlerzuständen. Dadurch werden Aktionen von Angreifenden innerhalb des Netzwerkes sichtbar und nachvollziehbar, selbst wenn diese bislang unbekannte Signaturen nutzen, Schwachstellen ausnutzen oder authentifizierte Benutzerkonten übernommen haben.
Die Rolle der Anomalieerkennung im Defense-in-Depth-Ansatz
Eine Anomalieerkennung fungiert somit als Ergänzung zu einem signaturbasierten Detektionsmechanismus, der mehrheitlich in Virenscannern und Firewalls zum Einsatz kommt. Sie ermöglicht das Erkennen von Aktivitäten im Netzwerk, die von signaturbasierten Mechanismen oder der Perimetersicherung leicht übersehen werden. In diesem Sinne bildet eine Anomalieerkennung, wie in Abbildung 1 dargestellt, die “2nd line of defense” in einem “Defense-in-Depth“-Ansatz. Das Modell honoriert die Realität, dass es keine hundertprozentige Sicherheit durch signaturbasierte Mechanismen gibt, weil diese stets dem Feld der Angreifenden hinterherhinken.
Eine Anomalieerkennung kann grundsätzlich sowohl in der Unternehmens-IT als auch in der OT (Operational Technology respektive Steuerungstechnik) eingesetzt werden. Sie ist jedoch vor allem in der OT als dediziertes Angriffserkennungssystem effektiv, da die Kommunikation stark deterministisch und repetitiv ist. Abweichungen können eindeutig erkannt, bewertet und zugeordnet werden. Das vereinfacht auch die Automatisierung der Anomalieerkennung in deren vier Kernprozessen.
1. Baselining
Das Baselining umfasst die Aufnahme und Definition der legitimen Kommunikationsstruktur in einem OT-Netzwerk gegen die alle nachfolgende Kommunikation auf Anomalien untersucht wird. In der OT ist das Baselining nicht trivial.
Die OT-Netzwerke sind für die Betreibenden in der Regel eine Black Box. Dokumentation der Assets, Vorgänge und oft weitreichenden Befugnisse von Dienstleistern ud OEMs ist kaum vorhanden.
Ein aktives Scannen des Netzwerkes zur Erstellung eines Asset Inventory ist nicht gewünscht, da aufgrund der limitierten Ressourcen der Assets die Gefahr besteht, Ausfälle hervorzurufen. OT-Netzwerk sind individuell. Es mangelt an Vergleichbarkeit und Standardisierung.
Das Baselining erfolgt in der Regel in Form einer Schwachstellenbewertung (zum Beispiel im Rahmen einer Risikoanalyse nach den Standards ISO 27001 [10] oder IEC 62443-3-2 [11]). Hierfür wird die Kommunikation mittels des OT-Monitoring mit Anomalieerkennung über einen definierten Zeitraum aufgezeichnet und von OT-Experten und Expertinnen auf bestehende Schwachstellen analysiert. Die Auswertung kann über Algorithmen teilweise automatisiert werden. Abbildung 2 zeigt beispielhaft die repräsentativen Ergebnisse einer solchen Schwachstellenbewertung.
Das Baselining kann auch vollständig automatisiert werden, sobald ein vollständiger digitaler Zwilling einer Infrastruktur samt ihres Netzwerkes vorliegt. Ein Beispiel ist die .scd-Datei nach dem Standard IEC 62850, welche die jeweilige Infrastruktur mit allen Komponenten, Systemen, Verbindungen und erlaubten Kommunikationsvorgängen dokumentiert. Ein Upload in eine Anomalieerkennung ermöglicht die beschleunigte Erstellung der Baseline.
2. Detektion
Im Schritt zwei erfolgt die Anomaliedetektion vollautomatisch, da jede Abweichung als Anomalie gewertet wird. Zur Erkennung solcher Abweichungen können verschiedene Methoden herangezogen werden: Die heuristische Methode nutzt vor allem Ausschlussverfahren, während statistische Ansätze auf Zeitreihenanalysen und Häufigkeitsverteilungen setzen. Darüber hinaus kommen algorithmische Verfahren zum Einsatz, die sich an Tactics, Techniques & Procedures (TTPs) des bekannten MITRE ATT&CK Frameworks [12] orientieren.
Weiterhin werden Vergleichsanalysen genutzt, um etwa unsichere Firmware-Versionen zu identifizieren. Ergänzend setzen Methoden der Künstlichen Intelligenz und des Machine Learnings auf Mustererkennung, deren Effektivität derzeit jedoch noch nicht abschließend geklärt ist. Das vom BMBF unterstützte Forschungsprojekt “Hybrid AI Intrusion Prevention for Industrial Control Systems” (HAIP) erforschte den Mehrwert von Künstlicher Intelligenz für die Anomalieerkennung in industriellen Umgebungen [13].
Das Forschungsteam kam in seinem Abschlussbericht zwar zu dem Ergebnis, dass KI die Anomalieerkennung und –bewertung durchaus unterstützen kann, jedoch lag die Performance und Genauigkeit gleichauf mit und teilweise unter anderen Methoden wie Heuristik und Algorithmen, die durch ein Expert:innenteam betreut wurden [14].
Das Ergebnis ist nicht verwunderlich: Die wichtigsten Anomalien sind bereits über statistische und heuristische Methoden zuverlässig identifizierbar, da die OT-Kommunikation deterministisch und repetitiv ist. KI kann jedoch dabei unterstützen, Anomalien anhand bestimmter Muster besser einzuordnen beziehungsweise durch permanenten Abgleich mit Online-Quellen Algorithmen für die Aggregation von Events zu erstellen.
Dies muss jedoch unter der Maßgabe erfolgen, dass die KI-Anbietenden eine transparente KI (sogenannte explainable AI) zur Verfügung stellen, um die Entscheidungen der Anwendung nachvollziehen zu können. Ohne diese Maßgabe erhalten die Unternehmen Black-Box-Cybersicherheit in einer ohnehin undurchsichtigen OT.
3. Bewertung
Im Rahmen der Bewertung kommen die unter “Detektion” genannten Verfahren erneut zum Einsatz, um die Kritikalität einer Anomalie zu ermitteln und einzelne Anomalien (beispielsweise neuer Host, neue Verbindung, erstmaliger Query, gehäufte ARP-Requests) zu einem Event (wie Netzwerk-Scan) zu aggregieren.
Die Kontrolle durch einen Menschen, insbesondere durch Experten und Expertinnen, bleibt bei der Anomalieerkennung unumgänglich. Während eine Signatur in der Cybersicherheit eine eindeutige Darstellung einer zu vermeidenden – sprich bösartigen oder gefährdenden – Aktivität ist, kennzeichnet eine Anomalie zunächst nur eine Veränderung des Ist-Zustands.
Diese Veränderung wird im ersten Schritt ohne Bewertung wahrgenommen. Dadurch kann noch keine eindeutige Aussage darüber getroffen werden, ob die Aktivität bösartig, gewollt, harmlos oder zufällig ist. In OT-Netzwerken ist jedoch eine gesicherte Bewertung fundamental, um die richtige Entscheidung für die Reaktion zu fällen.
4. Reaktion
Während in der IT die Sicherheitsautomatisierung (z. B. durch Blocken oder Sperren von Accounts) gang und gäbe ist, wird diese in der OT noch immer in großen Teilen abgelehnt. In Gesprächen mit Sicherheitsverantwortlichen für OT-Netzwerke ist eine Anforderung an eine Anomalieerkennung zentral: sie muss passiv und rückwirkungsfrei agieren.
Das hat vor allem einen Grund: Das Ziel der OT-Verantwortlichen ist Verfügbarkeit, Arbeitsschutz und Prozessstabilität – im Gegensatz zur IT, in der Informationssicherheit und -integrität den Fokus bilden. Eine Sicherheitsautomatisierung kann diese Ziele in OT-Umgebungen gefährden und zu mehr Kosten führen, vor allem wenn der Auslöser eine falsch-positive Meldung ist. Der Bedarf nach menschengemachter, eigener Entscheidung wird in der OT deshalb noch länger bestehen bleiben, um Menschen, Maschinen und Versorgung nicht in Gefahr zu bringen.
Die Anomalieerkennung stellt somit ein wichtiges Element im Schutz industrieller Netzwerke dar. Gerade in der OT, wo deterministische Kommunikationsmuster vorherrschen, ermöglicht sie das frühzeitige Erkennen ungewöhnlicher Aktivitäten und potenzieller Bedrohungen. Ergänzt durch transparente menschliche Kontrolle und unterstützt durch Methoden wie Künstliche Intelligenz, lässt sich die Sicherheit in industriellen Systemen stärken, ohne die Stabilität zu gefährden.