Vortrag von Stefan Menge – Security Monitoring und Anomalieerkennung – die Integration in das ISMS
Im Zweijahresrhythmus richtet der VGB PowerTech die “KELI” aus, eine der führenden Fachkonferenzen zur Elektro-, Leit- und Informationstechnik in der Energieversorgung. Angesprochen werden Betreiber, Planer, Dienstleister und Lieferanten aller Technologien von Erzeugungsanlagen sowie Universitäten, Versicherer und Behörden. Aktuelle Fragen und Lösungen werden in Vorträgen präsentiert und können mit international tätigen Experten diskutiert werden.
Als Schwerpunkt der Veranstaltung sind geplant:
Flexibler Betrieb der Erzeugungs- und Speicheranlagen im sich ändernden Energiesystem
Netzanschluss und Erbringung von Systemdienstleistungen
Technische Entwicklungen in der Elektro-, Leit- und Informationstechnik
Betrieb, Instandhaltung, Monitoring, Sicherheit, Prüfungen und Lebensdauerkonzepte
Alles was Sie zur erfolgreichen Verbesserung Ihrer Cybersicherheit wissen müssen
Mit Live-Hack von Carsten Cordes um 10:40Uhr. Dieses VKU-Web-Seminar vermittelt Ihnen alles Wissenswerte zu Risiken, Technologien und IT-Sicherheitsstandards für Stadtwerke und kommunale EVU. Sie erfahren, welche Bedrohungsszenarien es im Cyber- und Informationsraum für kritische Infrastrukturen gibt und wie Sie sich als Stadtwerk und kommunale Energieversorger davor schützen können. Sie lernen, wie Sie Schwachstellen identifizieren können und erhalten Tipps zur technischen Umsetzung. Unsere Referenten berichten zudem von den neuesten gesetzlichen Rahmenbedingungen und stellen aktuelle Beispiele aus der kommunalen Praxis vor. In unserem VKU-Web-Seminar geben Ihnen Expert*innen aus IT, Recht und kommunaler Praxis einen Überblick zu den Änderungen, Hinweise zu der Umsetzung und Hilfestellungen, um Ihre IT-Strukturen zukunftssicher aufzustellen.
Live-Hack um 10:40 Uhr: Warum es Cyber-Kriminelle so leicht haben Unternehmen zu verschlüsseln und zu erpressen
Live-Demonstration: Wie geht ein Hacker vor?
Aktuelle Fälle vorgestellt: Welche Risiken gibt es?
Wie können sich Unternehmen schützen?
Carsten Cordes, Software Developer, Achtwerk GmbH & Co. KG
IHR MEHRWERT Erfahren Sie, welche neuen Vorgaben Sie erwarten. Lernen Sie, wie Sie sich vor Cyber-Angriffen schützen können. Erhalten Sie Tipps zur technischen Umsetzung.
ZIELGRUPPE Das VKU-Web-Seminar richtet sich an Fach- und Führungskräfte aus den Bereichen IT, IKT, Datenschutz und Informationssicherheit von Stadtwerken und kommunalen Energieversorgungsunternehmen.
Fuß auf’s Gas für 2022: Die VIDEC lädt gemeinsam mit PHOENIX CONTACT zu einem rasanten Workshop ein: In sportlicher Umgebung werden aktuelle Themen aus den Bereichen IT Sicherheit, Anlagenkontrolle und Netzschutz behandelt.
Das Highlight
Motorsportfans aufgepasst: Freuen Sie sich im Anschluss auf eine Besichtigung des Rennstalls PROJECT 1. Polierte Ausstellungsstücke und jede Menge Renngeschichte lassen das Herz von Racern und solchen, die es werden wollen, höher schlagen.
Die Agenda
11.30h Get-together & Snacks
12.45h Vorstellung PROJECT 1 Moritz Tisson | PROJECT 1
13.00h Neues zur Maschinensicherheit rund um die EN ISO 13849 Stefan auf dem Graben | PHOENIX CONTACT
13.30h Ihre Anlagen jederzeit und überall im Blick mit dem JUNE5 ECO System Markus Woehl | VIDEC
14.00h Kaffeepause
14.45h IT / OT Security mit einem Schritt mit der Security Appliance IRMA® Markus Woehl | VIDEC
15.15h Energiezentralen: Systemlösung aus Netzschutz, USV sowie Fernwirk- und EZA Regler Timo Beuth | PHOENIX CONTACT
16.00h Besichtigung PROJECT 1
HINWEIS: Aufgrund der aktuellen Regelungen für Veranstaltungen findet der Workshop unter 2G plus Bedingungen statt. Zutritt ist somit nur für Geimpfte und Genesene mit Nachweis möglich. Selbsttest werden vor Ort zur Verfügung gestellt.
IT 360°, 100% digital – Digitalisierung, Cybersicherheit, IT-Architektur
Unser Vortrag um 11:15 Uhr . Die VKU-Digitalkonferenz IT ist der ideale Branchentreffpunkt für Geschäftsführer*innen und IT-Expert*innen, um sich über die aktuellsten IT-Herausforderungen und -Trends zu informieren. IT-Entscheider*innen und Branchenkolleg*innen stellen Beispiele aus der kommunalen Praxis vor. Neben spannenden Diskussionen bieten Themensessions in kleinerer Runde die Chance für Austausch und Interaktion.
Unser Vortrag um 11:15 Uhr Breakoutsession 1: Bedrohungen managen! Zwischen Datenschutz und Versorgungssicherheit
Neue rechtliche und technische IT-Sicherheitsvorgaben für kommunale Unternehmen
OT-Sicherheitsarchitektur nach dem Stand der Technik
ITSiG 2.0 und Angriffserkennung – eine praxisbewährte Umsetzung
Jens Bußjäger, Geschäftsleitung Achtwerk GmbH & Co. KG
IHR MEHRWERT: Stellen Sie Ihre Fragen zu den aktuellsten IT-Themen und -Herausforderungen. Diskutieren Sie mit IT-Entscheider*innen aus der kommunalen Wirtschaft. Tauschen Sie sich in einer virtuellen Kaffeepause aus und erweitern Sie Ihr Netzwerk.
ZIELGRUPPE: Personen aus Vorstand und Geschäftsführung sowie Fach- und Führungskräfte aus den Bereichen Informations- und Kommunikationstechnologie, IT-Sicherheit und Unternehmensstrategie kommunaler Energieversorgungsunternehmen und Stadtwerke.
Das richtige OT-Monitoring für die Angriffserkennung in der kritischen Infrastruktur
Erkenntnis OT-Monitoring zur Angriffserkennung
Das aktualisierte IT-Sicherheitsgesetz schreibt KRITIS-Betreibern vor, dass sie ab Mai 2023 Systeme zur Angriffserkennung nutzen müssen. Im Gesetzestext werden solche Systeme beschrieben als „technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme.“ [aus dem ITSiG2.0] Aber was bedeutet eine Angriffserkennung für die Operational Technology (OT)?
Für KRITIS-Betreiber sind die Anforderungen des IT-Sicherheitsgesetzes 2.0 (ITSiG) bald verpflichtend umzusetzen. Allerdings sind nahezu alle Unternehmen von gezielten Angriffen betroffen – und die wenigsten können solchen Attacken standhalten. Auffällig ist jedoch, dass immer mehr erfolgreiche Angriffe auf Betreiber kritischer Infrastrukturen gemeldet werden.
Die Erkenntnis aus der steigenden Anzahl der Vorfälle und der nachfolgenden forensischen Aufarbeitung ist eindeutig: Oft gibt es vor dem eigentlichen Angriff erste Indizien von kritischen und verdächtigen Aktivitäten im Netzwerk. Durch eine Früherkennung ist es also möglich, Angriffe rechtzeitig zu erkennen und die Auswirkungen zu verhindern oder zumindest deutlich zu verringern. Das hat auch der Gesetzgeber erkannt und die Angriffserkennung nun gesetzlich festgeschrieben. Es gilt nun, die “Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten” zu lassen.
Erkenntnis – Erkennen – Detektion
Eine Angriffserkennung für die Produktionsanlagen bedarf aufgrund ihrer Strukturen, Geräte und Protokolle spezieller Lösungen. Herkömmliche Erkennungsmethoden sind für die Domaine der vernetzten Automatisierungs- und Produktionsanlagen oft nicht anwendbar und auch nicht ausreichend. Für den Produktionsbereich sind Angriffserkennungen sogar noch wichtiger, da die Laufzeiten der Geräte wesentlich länger sind und die in Betrieb befindlichen Anlagen in der Regel selten ein Update erhalten – getreu dem Motto “Never change a running system”. Entsprechend sind Geräte und Protokolle überwiegend von Haus aus veraltet und unsicher.
Beispiel Modbus: Insecurity by Design?
Die noch verbreitete Meinung, dass “die Steuerungsprotokolle innerhalb der Anlagen proprietär sind, es teurer Spezialisten bedarf und somit sicher sind”, ist überholt. Auch das Hacker “nicht das nötige Spezialwissen haben, um in unsere Produktion einzugreifen” ist leider nicht richtig. Ist der Perimeter überwunden, das VPN der Fernwartung gekapert, ein USB-Stick, eine Firmware, eine Engineering Workstation infiziert, fehlt jeglicher Schutz. Selbst die Segmentierung von Netzwerken hilft nicht weiter, da bei einem solchem Befall die zulässigen Verbindungen und Funktionen der Industrieprotokolle direkt genutzt werden.
Modbus RTU transformation zu Modbus TCP
Beispiele für Sicherheitslücken im weit verbreiteten Modbus TCP sind:
Modbus TCP enthält keine Authentifizierung und Verschlüsselung.
Legitime Funktionen sind nutzbar und leistungsfähig (z. B. Modicon – Code 90), um die Steuerung zu stören.
Zur Steuerung können die Funktionen direkt genutzt werden, um ein Gerät abzuschalten, Prozessdaten zu senden, Geräte direkt zu rekonfigurieren und weitere Maßnahmen auszuführen.
Angreifer können so von manipulierten Geräten Standardfunktionen des Modbus TCP nutzen. Es ist dadurch einfach, die SPS abzuschalten oder Geräte neu zu konfi gurieren und falsche Prozessdaten an die Aktoren zu senden. Das gilt nicht nur für Modbus TCP, auch andere Industrieprotokolle, wie Profinet, EtherCat, Bacnet, nutzen Ethernet und sind nicht ausreichend sicher.
Erkenntnis – Erkennen – Reagieren
Angriffserkennung, auch OT-Monitoring genannt, für vernetzte Automatisierungsgeräte und Produktionsanlagen ist nicht das gleiche wie ein IT-Monitoring. In der OT müssen bestimmte Funktionen gewährleistet sein, zum Beispiel das Erfassen und Anzeigen der Industrieprotokolle, Packet Inspection, die Analyse zur Nutzungsart der Daten und Funktionsaufrufe in den einzelnen Produktionsanlagen. Hinzu kommt, dass der Hersteller der Angriffserkennung über genügend Erfahrung in den Branchen verfügen sollte und die unterschiedlichen Einsatzszenarien kennen muss. Hierzu ist umfangreiches Wissen auf dem Gebiet der Automatisierung notwendig.
Das ITSiG 2.0 fordert von den Betreibern auch die Integration von entsprechenden organisatorischen Prozessen. Das beginnt mit der Risikoanalyse und somit der Identifi kation von Maßnahmen im Falle der Erkennung von Angriffen. Diese Maßnahmen defi nieren sich nach dem BSI-Grundschutz, EnWG Sicherheitskatalog oder den vom BSI anerkannten branchenspezifi schen Sicherheitsstandards. Ein weiterer Aspekt bei der Auswahl einer OT-Monitoring- Lösung ist die Möglichkeit der qualifi zierten Alarmierung. Dabei geht es um die Erkennung von Verhaltensmustern der Angriffsszenarien sowie um eine zielgerichtete und sichere Alarmweiterleitung. Größere Unternehmen nutzen in der Regel übergeordnete Managementsysteme wie eine Security- Information-and-Event-Management-(SIEM)-Lösung [2] oder ein Information-Security Management- System (ISMS). Hier gilt es bei der Auswahl des OT-Monitoring- Systems auf die Möglichkeit zur Integration und des sicheren Datenaustausches zu achten. Für kleinere Organisationen, wie zum Beispiel Stadtwerke oder Wasser-/ Abwasserverbände, sollten diese Alarme in den Leitständen und Alarmierungssystemen sicher integrierbar und für das Betriebspersonal schnell verfügbar sein.
Zudem sind für die Umsetzung einer Angriffserkennung kompetente Partner mit einer langjährigen Historie in der Automatisierung wichtig. In der Lage sein, fortwährend Bedrohungen zu identifi zieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen, ist für die Vielzahl der IT-Systemhäuser im Bereich der OT-Security eine große Herausforderung. Mit Kooperationen sollte diese Anforderung erfüllbar sein. Erfahrung lässt sich nicht anlesen und die Besonderheiten der Automatisierung müssen zwingend in ein Projekt eingebracht werden.
Fazit
Insgesamt bleibt für den OT-Bereich festzuhalten:
Eine Angriffserkennung in vernetzten Automatisierungen benötig die tiefe Kenntnis der speziellen Protokolle.
Im ITSiG 2.0 wird nach dem “Stand der Technik” Angriffserkennung verpfl ichtend gefordert.
Angriffserkennungen für die Büro oder IT-Infrastruktur lassen sich nicht 1:1 einsetzen.
Die speziellen Anforderungen einer Angriffserkennung für vernetzte Automatisierungslösungen und Produktionsanlagen müssen abgedeckt werden.
Nun aber ran! Die letzten erfolgreichen Angriffe mit großen Schäden haben es gezeigt: Es hätte abgewendet werden können! Daher ist im ITSiG 2.0 Angriffserkennung die technologische und organisatorische Lösung die explizite gefordert wird!
Gerade die Angriffe auf Automatisierungsnetze werden nicht weniger sondern mehr. Die Frage ist nicht, ob Sie getroffen werden, sondern wann. So können Sie sich vorbereiten.
Schauen Sie. Es geht auch einfach – schnell – aufwandsarm! … mit IRMA®
Beim Release v21.09.02 handelt es sich um einen Minor Release. Damit stehen folgende neue Funktionen und Verbesserungen zur Verfügung:
IEC-104 – Verbesserung der Anzeige bei Änderungen der ASDU, TK, IOA etc.
Alarm Kategorie: CVE_2021_44228 (LOG4j. – UserAgent Settings mit <…jndi…> erkannt.
Alarm Kategorie: DNS_CANARY_DETECTED :: IRMA® DNS_Canary Prüfung für 0-day Exploits, neue und alte Schwachstellen oder auch Monitoring Datenfluss-Tests. Erkennung eines DNS request der mit Inhalt <irma.dns.canary….> erzeugt wird, wird im Monitoring erkannt!
LUKS:Möglichkeit des Ergebnis-Dateien-Download (V21.09.02)
Erste Frist läuft im Mai 2023 ab. Hört sich noch lange hin an, ist es jedoch nicht.
Nicht nur für die kritischen Infrastrukturen („KRITIS“) die unter die KritisV fallen, alle Organisationen in den Sektoren des ITSiG v20 müssen den Stand der Technik umsetzen.
Die gesetzlichen Rahmenbedingungen für den Betrieb kritischer Infrastrukturen sind mit dem IT Sicherheitsgesetz 2.0 im letzten Jahr konkretisiert worden. Durch den Regierungswechsel sind weiterhin neue Strömungen zu erkennen. Wo diese Strömungen hingehen und weitere aktuelle Fragen beantwortet Gastreferent Prof. Dr. Stefan Loubichi gewohnt sicher und informativ in diesem aktuellen WEB Meeting.
Steht die Ampel auf Rot, Gelb oder Grün für den Schutz wichtiger Anlagen? Prof. Dr. Stefan Loubichi erläutert die aktuelle Gesetzeslage, so dass Sie schnell und einfach eine Entscheidung für Ihre kommenden Schritte treffen können. Freuen Sie sich auf einen wirklich außergewöhnlichen Livestream.
Von professionellen Einstiegshilfen, Leitstand und integration SIEM bis zum ISMS.
Plattformveranstaltung für die digitale Transformation
Im Alltag der Industrieunternehmen hat sich die digitale Transformation zu einem festen Bestandteil entwickelt. Doch sind deren Wege sehr individuell und noch viele Fragen offen. Entsprechende Antworten fokussiert der Automatisierungstreff mit seinem Workshop-Angebot und dem außergewöhnlichen Marktplatz Industrie 4.0.
Da das Zusammenwachsen von Automatisierung und IT die Branche aktuell sehr stark beschäftigt, ermöglichen die Workshops eine direkte Auseinandersetzung rund um dieses Thema. Teilnehmer erhalten tiefen Einblick in den Einsatz von bereits verfügbaren Produkten, Systemen und Methoden.
Auf dem Automatisierungstreff wird gezeigt und darüber diskutiert, wie sich greifbare Aufgaben mit Industrial Internet of Things und Industrie 4.0 Technologie schon heute lösen lassen. Anwender aus dem Maschinen- und Anlagenbau finden dort Lösungen für Automatisierungssysteme und Industrial IT, die zur Erhöhung der Produktionseffizienz beitragen und erhalten schnell und unkompliziert Informationen zu neuen Produkten sowie Lösungen für ihre Anwendung.
Die kürzlich identifizierte Schwachstelle log4shell (CVE-2021-44228) zeigt wie Softwarefunktionen und eine anderweitige Benutzung zu einer gefährlichen Bedrohungen werden. Analysten, Sicherheitsteams und SOCs verbringen seit dem viel Zeit damit ihre Infrastruktur zu Prüfen, die Möglichkeiten zur Entschärfung zu identifizieren oder zu prüfen ob Angriffe erfolgreich waren. Siehe auch News vom 12.12.2021
Für das IRMA® System stellen wir daher zwei funktionale Erweiterungen und ein Möglichkeit zum retropersepectivischen Prüfen vorhandener Daten im IRMA®-System zur Verfügung.
Im Monitoring des Netzwerkverkehrs wird ein UserAgent Settings mit < XXXXXXXXX> erkannt.
2. Simulieren und Prüfen: Alarm Kategorie: DNS_CANARY_DETECTED —
IRMA® DNS_Canary Prüfung für 0-day Exploits, neue und alte Schwachstellen oder auch Monitoring Datenfluss-Tests. Identification eines DNS request mit dem Inhalt <irma.dns.canary….> erzeugen!
Für das retropersepectivische Prüfen:
Auf Anfrage stellen wir ihnen ein LUKS Script zur Prüfung zur Verfügung. Bitte sprechen Sie ihren Vertriebskontakt oder den Support an.
