IT 360°, 100% digital – Digitalisierung, Cybersicherheit, IT-Architektur
Unser Vortrag um 11:15 Uhr . Die VKU-Digitalkonferenz IT ist der ideale Branchentreffpunkt für Geschäftsführer*innen und IT-Expert*innen, um sich über die aktuellsten IT-Herausforderungen und -Trends zu informieren. IT-Entscheider*innen und Branchenkolleg*innen stellen Beispiele aus der kommunalen Praxis vor. Neben spannenden Diskussionen bieten Themensessions in kleinerer Runde die Chance für Austausch und Interaktion.
Unser Vortrag um 11:15 Uhr Breakoutsession 1: Bedrohungen managen! Zwischen Datenschutz und Versorgungssicherheit
Neue rechtliche und technische IT-Sicherheitsvorgaben für kommunale Unternehmen
OT-Sicherheitsarchitektur nach dem Stand der Technik
ITSiG 2.0 und Angriffserkennung – eine praxisbewährte Umsetzung
Jens Bußjäger, Geschäftsleitung Achtwerk GmbH & Co. KG
IHR MEHRWERT: Stellen Sie Ihre Fragen zu den aktuellsten IT-Themen und -Herausforderungen. Diskutieren Sie mit IT-Entscheider*innen aus der kommunalen Wirtschaft. Tauschen Sie sich in einer virtuellen Kaffeepause aus und erweitern Sie Ihr Netzwerk.
ZIELGRUPPE: Personen aus Vorstand und Geschäftsführung sowie Fach- und Führungskräfte aus den Bereichen Informations- und Kommunikationstechnologie, IT-Sicherheit und Unternehmensstrategie kommunaler Energieversorgungsunternehmen und Stadtwerke.
Das richtige OT-Monitoring für die Angriffserkennung in der kritischen Infrastruktur
Erkenntnis OT-Monitoring zur Angriffserkennung
Das aktualisierte IT-Sicherheitsgesetz schreibt KRITIS-Betreibern vor, dass sie ab Mai 2023 Systeme zur Angriffserkennung nutzen müssen. Im Gesetzestext werden solche Systeme beschrieben als „technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme.“ [aus dem ITSiG2.0] Aber was bedeutet eine Angriffserkennung für die Operational Technology (OT)?
Für KRITIS-Betreiber sind die Anforderungen des IT-Sicherheitsgesetzes 2.0 (ITSiG) bald verpflichtend umzusetzen. Allerdings sind nahezu alle Unternehmen von gezielten Angriffen betroffen – und die wenigsten können solchen Attacken standhalten. Auffällig ist jedoch, dass immer mehr erfolgreiche Angriffe auf Betreiber kritischer Infrastrukturen gemeldet werden.
Die Erkenntnis aus der steigenden Anzahl der Vorfälle und der nachfolgenden forensischen Aufarbeitung ist eindeutig: Oft gibt es vor dem eigentlichen Angriff erste Indizien von kritischen und verdächtigen Aktivitäten im Netzwerk. Durch eine Früherkennung ist es also möglich, Angriffe rechtzeitig zu erkennen und die Auswirkungen zu verhindern oder zumindest deutlich zu verringern. Das hat auch der Gesetzgeber erkannt und die Angriffserkennung nun gesetzlich festgeschrieben. Es gilt nun, die “Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten” zu lassen.
Erkenntnis – Erkennen – Detektion
Eine Angriffserkennung für die Produktionsanlagen bedarf aufgrund ihrer Strukturen, Geräte und Protokolle spezieller Lösungen. Herkömmliche Erkennungsmethoden sind für die Domaine der vernetzten Automatisierungs- und Produktionsanlagen oft nicht anwendbar und auch nicht ausreichend. Für den Produktionsbereich sind Angriffserkennungen sogar noch wichtiger, da die Laufzeiten der Geräte wesentlich länger sind und die in Betrieb befindlichen Anlagen in der Regel selten ein Update erhalten – getreu dem Motto “Never change a running system”. Entsprechend sind Geräte und Protokolle überwiegend von Haus aus veraltet und unsicher.
Beispiel Modbus: Insecurity by Design?
Die noch verbreitete Meinung, dass “die Steuerungsprotokolle innerhalb der Anlagen proprietär sind, es teurer Spezialisten bedarf und somit sicher sind”, ist überholt. Auch das Hacker “nicht das nötige Spezialwissen haben, um in unsere Produktion einzugreifen” ist leider nicht richtig. Ist der Perimeter überwunden, das VPN der Fernwartung gekapert, ein USB-Stick, eine Firmware, eine Engineering Workstation infiziert, fehlt jeglicher Schutz. Selbst die Segmentierung von Netzwerken hilft nicht weiter, da bei einem solchem Befall die zulässigen Verbindungen und Funktionen der Industrieprotokolle direkt genutzt werden.
Modbus RTU transformation zu Modbus TCP
Beispiele für Sicherheitslücken im weit verbreiteten Modbus TCP sind:
Modbus TCP enthält keine Authentifizierung und Verschlüsselung.
Legitime Funktionen sind nutzbar und leistungsfähig (z. B. Modicon – Code 90), um die Steuerung zu stören.
Zur Steuerung können die Funktionen direkt genutzt werden, um ein Gerät abzuschalten, Prozessdaten zu senden, Geräte direkt zu rekonfigurieren und weitere Maßnahmen auszuführen.
Angreifer können so von manipulierten Geräten Standardfunktionen des Modbus TCP nutzen. Es ist dadurch einfach, die SPS abzuschalten oder Geräte neu zu konfi gurieren und falsche Prozessdaten an die Aktoren zu senden. Das gilt nicht nur für Modbus TCP, auch andere Industrieprotokolle, wie Profinet, EtherCat, Bacnet, nutzen Ethernet und sind nicht ausreichend sicher.
Erkenntnis – Erkennen – Reagieren
Angriffserkennung, auch OT-Monitoring genannt, für vernetzte Automatisierungsgeräte und Produktionsanlagen ist nicht das gleiche wie ein IT-Monitoring. In der OT müssen bestimmte Funktionen gewährleistet sein, zum Beispiel das Erfassen und Anzeigen der Industrieprotokolle, Packet Inspection, die Analyse zur Nutzungsart der Daten und Funktionsaufrufe in den einzelnen Produktionsanlagen. Hinzu kommt, dass der Hersteller der Angriffserkennung über genügend Erfahrung in den Branchen verfügen sollte und die unterschiedlichen Einsatzszenarien kennen muss. Hierzu ist umfangreiches Wissen auf dem Gebiet der Automatisierung notwendig.
Das ITSiG 2.0 fordert von den Betreibern auch die Integration von entsprechenden organisatorischen Prozessen. Das beginnt mit der Risikoanalyse und somit der Identifi kation von Maßnahmen im Falle der Erkennung von Angriffen. Diese Maßnahmen defi nieren sich nach dem BSI-Grundschutz, EnWG Sicherheitskatalog oder den vom BSI anerkannten branchenspezifi schen Sicherheitsstandards. Ein weiterer Aspekt bei der Auswahl einer OT-Monitoring- Lösung ist die Möglichkeit der qualifi zierten Alarmierung. Dabei geht es um die Erkennung von Verhaltensmustern der Angriffsszenarien sowie um eine zielgerichtete und sichere Alarmweiterleitung. Größere Unternehmen nutzen in der Regel übergeordnete Managementsysteme wie eine Security- Information-and-Event-Management-(SIEM)-Lösung [2] oder ein Information-Security Management- System (ISMS). Hier gilt es bei der Auswahl des OT-Monitoring- Systems auf die Möglichkeit zur Integration und des sicheren Datenaustausches zu achten. Für kleinere Organisationen, wie zum Beispiel Stadtwerke oder Wasser-/ Abwasserverbände, sollten diese Alarme in den Leitständen und Alarmierungssystemen sicher integrierbar und für das Betriebspersonal schnell verfügbar sein.
Zudem sind für die Umsetzung einer Angriffserkennung kompetente Partner mit einer langjährigen Historie in der Automatisierung wichtig. In der Lage sein, fortwährend Bedrohungen zu identifi zieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen, ist für die Vielzahl der IT-Systemhäuser im Bereich der OT-Security eine große Herausforderung. Mit Kooperationen sollte diese Anforderung erfüllbar sein. Erfahrung lässt sich nicht anlesen und die Besonderheiten der Automatisierung müssen zwingend in ein Projekt eingebracht werden.
Fazit
Insgesamt bleibt für den OT-Bereich festzuhalten:
Eine Angriffserkennung in vernetzten Automatisierungen benötig die tiefe Kenntnis der speziellen Protokolle.
Im ITSiG 2.0 wird nach dem “Stand der Technik” Angriffserkennung verpfl ichtend gefordert.
Angriffserkennungen für die Büro oder IT-Infrastruktur lassen sich nicht 1:1 einsetzen.
Die speziellen Anforderungen einer Angriffserkennung für vernetzte Automatisierungslösungen und Produktionsanlagen müssen abgedeckt werden.
Nun aber ran! Die letzten erfolgreichen Angriffe mit großen Schäden haben es gezeigt: Es hätte abgewendet werden können! Daher ist im ITSiG 2.0 Angriffserkennung die technologische und organisatorische Lösung die explizite gefordert wird!
Gerade die Angriffe auf Automatisierungsnetze werden nicht weniger sondern mehr. Die Frage ist nicht, ob Sie getroffen werden, sondern wann. So können Sie sich vorbereiten.
Schauen Sie. Es geht auch einfach – schnell – aufwandsarm! … mit IRMA®
Beim Release v21.09.02 handelt es sich um einen Minor Release. Damit stehen folgende neue Funktionen und Verbesserungen zur Verfügung:
IEC-104 – Verbesserung der Anzeige bei Änderungen der ASDU, TK, IOA etc.
Alarm Kategorie: CVE_2021_44228 (LOG4j. – UserAgent Settings mit <…jndi…> erkannt.
Alarm Kategorie: DNS_CANARY_DETECTED :: IRMA® DNS_Canary Prüfung für 0-day Exploits, neue und alte Schwachstellen oder auch Monitoring Datenfluss-Tests. Erkennung eines DNS request der mit Inhalt <irma.dns.canary….> erzeugt wird, wird im Monitoring erkannt!
LUKS:Möglichkeit des Ergebnis-Dateien-Download (V21.09.02)
Erste Frist läuft im Mai 2023 ab. Hört sich noch lange hin an, ist es jedoch nicht.
Nicht nur für die kritischen Infrastrukturen („KRITIS“) die unter die KritisV fallen, alle Organisationen in den Sektoren des ITSiG v20 müssen den Stand der Technik umsetzen.
Die gesetzlichen Rahmenbedingungen für den Betrieb kritischer Infrastrukturen sind mit dem IT Sicherheitsgesetz 2.0 im letzten Jahr konkretisiert worden. Durch den Regierungswechsel sind weiterhin neue Strömungen zu erkennen. Wo diese Strömungen hingehen und weitere aktuelle Fragen beantwortet Gastreferent Prof. Dr. Stefan Loubichi gewohnt sicher und informativ in diesem aktuellen WEB Meeting.
Steht die Ampel auf Rot, Gelb oder Grün für den Schutz wichtiger Anlagen? Prof. Dr. Stefan Loubichi erläutert die aktuelle Gesetzeslage, so dass Sie schnell und einfach eine Entscheidung für Ihre kommenden Schritte treffen können. Freuen Sie sich auf einen wirklich außergewöhnlichen Livestream.
Von professionellen Einstiegshilfen, Leitstand und integration SIEM bis zum ISMS.
Plattformveranstaltung für die digitale Transformation
Im Alltag der Industrieunternehmen hat sich die digitale Transformation zu einem festen Bestandteil entwickelt. Doch sind deren Wege sehr individuell und noch viele Fragen offen. Entsprechende Antworten fokussiert der Automatisierungstreff mit seinem Workshop-Angebot und dem außergewöhnlichen Marktplatz Industrie 4.0.
Da das Zusammenwachsen von Automatisierung und IT die Branche aktuell sehr stark beschäftigt, ermöglichen die Workshops eine direkte Auseinandersetzung rund um dieses Thema. Teilnehmer erhalten tiefen Einblick in den Einsatz von bereits verfügbaren Produkten, Systemen und Methoden.
Auf dem Automatisierungstreff wird gezeigt und darüber diskutiert, wie sich greifbare Aufgaben mit Industrial Internet of Things und Industrie 4.0 Technologie schon heute lösen lassen. Anwender aus dem Maschinen- und Anlagenbau finden dort Lösungen für Automatisierungssysteme und Industrial IT, die zur Erhöhung der Produktionseffizienz beitragen und erhalten schnell und unkompliziert Informationen zu neuen Produkten sowie Lösungen für ihre Anwendung.
Die kürzlich identifizierte Schwachstelle log4shell (CVE-2021-44228) zeigt wie Softwarefunktionen und eine anderweitige Benutzung zu einer gefährlichen Bedrohungen werden. Analysten, Sicherheitsteams und SOCs verbringen seit dem viel Zeit damit ihre Infrastruktur zu Prüfen, die Möglichkeiten zur Entschärfung zu identifizieren oder zu prüfen ob Angriffe erfolgreich waren. Siehe auch News vom 12.12.2021
Für das IRMA® System stellen wir daher zwei funktionale Erweiterungen und ein Möglichkeit zum retropersepectivischen Prüfen vorhandener Daten im IRMA®-System zur Verfügung.
Im Monitoring des Netzwerkverkehrs wird ein UserAgent Settings mit < XXXXXXXXX> erkannt.
2. Simulieren und Prüfen: Alarm Kategorie: DNS_CANARY_DETECTED —
IRMA® DNS_Canary Prüfung für 0-day Exploits, neue und alte Schwachstellen oder auch Monitoring Datenfluss-Tests. Identification eines DNS request mit dem Inhalt <irma.dns.canary….> erzeugen!
Für das retropersepectivische Prüfen:
Auf Anfrage stellen wir ihnen ein LUKS Script zur Prüfung zur Verfügung. Bitte sprechen Sie ihren Vertriebskontakt oder den Support an.
Unser Support hat verstärkt Anfragen zu aktuellen Alarmen zu neuen Verbindungen bekommen. Die Wahrscheinlichkeit, dass Geräte und Systeme, die Log4j nutzen und kompromittiert wurden und sodann ihr Kommunikationsverhalten ändern, ist aktuell durchaus groß. Die Anbieter sind mit Hochdruck dabei entsprechende Patches zeitnah oder mit der nächsten Version zur Verfügung zu stellen. Es wird meistens wohl mehrere Tage, vielleicht sogar Wochen dauern. Bei vielen Geräten und Systeme ist es sogar schwer herauszufinden, ob Log4j in einer der kompromittierten Versionen genutzt wird. Was nun?
Vorab: Die Lage ist kritisch.
Klopf Klopf – Vorbereitung zur Ausnutzung Log4j
Es handelt sich um eine Schwachstelle, die sehr einfach die Ausführung von Schadsoftware (remote code execution) auf ihrem Systemen ermöglicht. Dies bedeutet, dass jeder Angreifer mit ziemlicher Sicherheit in der Lage sein wird, Schadsoftware auszuführen! Des Weiteren werden wohl eine Vielzahl von Geräte oder Systemen die Log4j Instanzen nutzen.
In den Meldung wird besonders auf Anwendungen, die direkt aus dem Internet erreichbar sind, hingewiesen. Hier ist bereits eine deutliche Erhöhung von zielgerichteten Systemscans auf Web- und Javabasierte Anwendungen feststellbar. Das BSI setzt die Warnstufe ROT. HIER!
Wenn Sie können, d.h. wenn ein Patch zur Verfügung steht, dann patchen Sie die betroffenen Assets umgehend. Jedoch, aus welchem Grund auch immer, wenn Sie nicht patchen können, beachten Sie die folgenden Maßnahmen:
————————————————————————————————
HINWEIS in eigener Sache: Das IRMA® System nutzt kein Log4j v2.x und ist somit sicher gegen diese schwere Schwachstelle.
————————————————————————————————
Isolieren
Wenn möglich, trennen Sie die auffälligen Geräte und betroffenen Systeme vom Netzwerk oder „verschieben“ diese in ein „gesichertes Netzwerk Segment“. Wenn das nicht möglich ist, sollten Sie die Firewall-Regeln zwischen den betroffenen Assets und dem Rest Ihrer vernetzten Automatisierung sorgfältig beobachten und prüfen. Leider ist es meist sehr aufwändig jede Firewall der Netzwerksegmentierung und von jedem Switch/Router die Logdaten einzusehen und nach Auffälligkeiten zu durchsuchen. Oft ist es unmöglich die Assets zu stoppen oder zu „verschieben“.
Gehen Sie grundsätzlich davon aus, dass es Geräte und Systeme gibt, die infiziert werden.
Suchen Sie nach merkwürdigen Verkehrsmustern zu oder von den Geräten und Systemen.
Monitoring
Durch das Beobachten sind die Assets in der vernetzten Automatisierung, die jetzt neue ausgehende Verbindungen initiieren, besonders zu kontrollieren. Normalerweise antworten die Web- und Javabasierte Anwendungen nur auf Anfragen. Sollte ein Angreifer aber bereits erfolgreich den Zugriff erreicht haben, folgen aktive Verbindungsversuche zu anderen, zu externen und nachfolgend auch Anfragen zu internen, nicht vorhandenen Systemen. Das manipulierteAsset versucht zunächst den Angreifer mitzuteilen, das es auf weitere Aktionen ausführen könnte oder lädt automatisiert weitere Schadsoftware nach.
Natürlich initiieren einige der Assets in ihrer Produktionsanlagen ausgehende Verbindungen. Es sind in der Regel aber nur einige Wenige. Auch wenn Sie nicht wissen, welche Assets dies tun und welche nicht, stehen die Chancen sehr gut, die „schädlichen“ Verbindungen schnell zu erkennen und sodann zu handeln.
Fangen Sie jetzt an, nach ausgehenden Verbindungen zu suchen.
Viele der ersten Angriffe, die aktuell gesehen und beschrieben wurden, nutzen bekannten Verfahrensweisen, um Ihre vernetzte Automatisierung zu erkunden. Diese Netzwerkscans nach weiteren Geräten und erreichbaren Services (IP Ports), speziell konfektionierte Datenpakete (z.B. für das FireWalking zum Erkunden und Überwinden von Firewalls) oder die Nichtübereinstimmung von z.B. IP-Port zu genutzten Protokollen, um nur ein paar möglicher Anomalien zu nennen, sind im Netzwerkmonitoring sofort erkennbar.
IRMA® hilft hierbei besonders!
Für weitere Informationen kontaktieren Sie ihren Ansprechpartner oder den Support.
Am 25. November 2021 wurde mit dem letzten Konsortialtreffen das ZIM-Forschungsprojekts SEC-I4.0 (www.sec-i40-project.de) erfolgreich abgeschlossen. Das Projektziel, nämlich eine intelligente Anomalie-Erkennung in Industrienetzen in einem Prototypen zu ermöglichen und diese vorab in einer Virtualisierungsumgebung an der Hochschule Bremen (HSB) zu simulieren, wurde umgesetzt.
Im Projektverlauf wurden in der Laborumgebung der HSB exemplarisch gezielte Angriffe gefahren, die von IRMA® als intelligenten Sensor erkannt und durch qualifizierte Alarme an den SEC-I4.0-Prototypen gemeldet wurden. Die Projektergebnisse zur sicheren Anbindung eines Security Information and Event Management (SIEM) werden in die neue Version von IRMA® als Standard Schnittstelle integriert.
Die erfolgreich pilotierte Entwicklungspartnerschaft und die vertriebliche Zusammenarbeit mit DECOIT® soll zukünftig weiter ausgebaut werden.
>> Wieder ein „Training by Web“ von unserem Distributions Partner Videc GmbH.
Diesmal geht es um die Details, die Möglichkeiten und natürlich auch um die Security bei der Einführung und Benutzung der OPC Unified Architecture (OPC UA)
