IT-Sicherheitsgesetz

SIEM für Energieversorger

Peter Schreieck ist seit 2003 Leiter Communication & Network bei prego services. Bereits seit mehreren Jahren plant, installiert und betreibt er mit seinem Team Prozessnetzwerke und Kritische Infrastrukturen. Er arbeitet eng mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen.  
Mit einem Security Information and Event Management (SIEM) können Energiedienstleister ihrer vom IT-Sicherheitsgesetz auferlegten Meldepflicht nachkommen und Kritische Infrastrukturen besser schützen. Sieben Tipps helfen ihnen bei der Implementierung einer leistungsfähigen und wirtschaftlichen SIEM-Lösung.

Aufgabe eines SIEM ist es, Informationen und Ereignisse aus einem Netzwerk aufzuzeichnen, sie in Bezug zu setzen, und so sicherheitsrelevante Vorgänge sichtbar zu machen. Zahlreiche Unternehmen nutzen solche Lösungen bereits, um damit ihre Büronetzwerke zu überwachen. Das neue IT-Sicherheitsgesetz rückt SIEM nun aber auch in den Fokus von Energiedienstleistern. Mit ihm können sie Cyber-Attacken auf ihre Prozessnetzwerke erkennen und der Pflicht nachkommen, schwerwiegende Sicherheitsvorfälle an das BSI zu melden. Beim Aufbau einer SIEM-Lösung sollten sie die Unternehmen deshalb einige Grundregeln beachten.

Durch das IT-Sicherheitsgesetz werden SIEM-Lösungen noch interessanter - gerade auch für Energieversorger.
Durch das IT-Sicherheitsgesetz werden SIEM-Lösungen noch interessanter - gerade auch für Energieversorger.
Foto: wk1003mike / shutterstock.com

Sicherheitsketten überwachen

Ein nach dem "Defence in depth"-Prinzip aufgebautes Prozessnetzwerk sollte eine durchgängige Sicherheitskette beinhalten. Als Vorbild kann hier eine mittelalterliche Burganlage dienen, die mit mehreren, nacheinander angeordneten Hindernissen wie Wassergraben, Toranlage und mehreren Mauerringen die innere Burg absichert. Analog dazu sollten Energieversorger beispielsweise den Weg von einem im freien Feld stehenden Anlagenschrank über die Infrastruktur der Anlage, das WAN und die zentrale Infrastruktur bis zur Leistelle durchgehend mit Sicherheitsgliedern schützen. Hat ein Angreifer ein Sicherheitsglied überwunden, erhält er dadurch nicht automatisch Zugang zur Leitstelle, sondern hat noch weitere Hindernisse vor sich.

Jeder Durchbruch eines Glieds der Sicherheitskette muss eine Meldung an das SIEM erzeugen. Lassen sich die Meldungen nicht erklären, führt das zu einem Sicherheitsvorfall.
Jeder Durchbruch eines Glieds der Sicherheitskette muss eine Meldung an das SIEM erzeugen. Lassen sich die Meldungen nicht erklären, führt das zu einem Sicherheitsvorfall.
Foto: prego services

Jeder Durchbruchsversuch bei einem Sicherheitsglied muss aber eine Meldung an das SIEM erzeugen. Nur so ist sichergestellt, dass eine eventuelle Attacke rechtzeitig erkannt wird und man reagieren kann, bevor der Angreifer weitere Sicherheitsglieder durchbricht.

Sprechende Komponenten verwenden

Die Voraussetzung dafür, dass ein SIEM seine Aufgabe erfüllen kann, sind "sprechende" Systeme. Deshalb sollten Energieversorger in ihren Kritischen Infrastrukturen bevorzugt Aktivkomponenten einsetzen, die möglichst viele Informationen strukturiert liefern können. Hilfreich sind vor allem Meldungen, die sich zu einem logischen Bild zusammensetzen. Ideal wäre es, Security-kritische Meldungen dabei separat zu kennzeichnen. Schaltet sich beispielsweise jemand auf die Management-Oberfläche eines Gateways auf, muss es mitteilen können, wer sich dort angemeldet hat. Werden bei einem Anmeldeversuch falsche Passwörter eingegeben, muss das Gateway auch darüber informieren. Bei einer Verletzung von Firewall-Regeln genügt es nicht, wenn es lediglich diese Verletzung meldet.

Das System sollte darüber hinaus beispielsweise auch in der Lage sein, mitzuteilen, von welcher IP-Adresse die Regelverletzung ausgeht. Nur dann lässt sich etwa feststellen, ob die Verletzung von einem unbekannten Device aus begangen wurde.

Baseline auswerten

Neben den Informationen der einzelnen Aktivkomponenten des Netzwerks kann auch die Überwachung der sogenannten Baseline wertvolle Hinweise liefern. Sie beschreibt das in einem Netzwerk vorhandene Logging-Aufkommen, also gewissermaßen sein Grundrauschen. Büronetzwerke mit ihren zahlreichen PCs, Druckern und sonstigen Geräten, die ständig ein- und ausgesteckt, ausgetauscht oder erneuert werden, erzeugen ein unüberschaubares Logging-Aufkommen.

Da Prozessnetzwerke im Vergleich zu Büronetzwerken starre Systeme mit konstantem Datenaufkommen sind, fallen Anomalien ihrer Baseline sofort auf.
Da Prozessnetzwerke im Vergleich zu Büronetzwerken starre Systeme mit konstantem Datenaufkommen sind, fallen Anomalien ihrer Baseline sofort auf.
Foto: prego services

Prozessnetzwerke sind im Vergleich dazu aber sehr "starre" Systeme mit einer weitgehend konstanten Anzahl an Meldungen von Routern oder Firewalls und idealerweise auch von SPS-Steuerungen. Diese Eigenschaft lässt sich nutzen, indem man jeweils eine 24-Stunden-Baseline auswertet und sie mit den Baselines der vergangenen Tage vergleicht. Kommt es zu ungewöhnlichem Logging-Aufkommen, wird das sofort offensichtlich. Auftretende Anomalitäten können dann vom SIEM mit Meldungen in Verbindung gebracht werden, die die Aktivkomponenten des Netzwerks zum selben Zeitpunkt versendet haben. Darüber hinaus lässt sich das SIEM auch so einstellen, dass es automatisch Alarm schlägt, wenn die Baseline definierte Schwellenwerte überschreitet.

Informationen intelligent verknüpfen

Der Knackpunkt für ein leistungsfähiges SIEM ist die Verbindung der Meldungen. Ein ungewöhnliches Netzwerk-Ereignis ist für sich allein meist noch kein Hinweis auf einen Sicherheitsvorfall. Treten aber mehrere solcher ungewöhnlicher Ereignisse auf, steigt die Wahrscheinlichkeit, dass etwas nicht mit rechten Dingen zugeht. Meldet beispielsweise der Router eines im freien Feld stehenden Anlagenschranks einen "Port Up" beziehungsweise "Port Down", muss das noch nichts bedeuten - schließlich könnte eine Störung oder eine Wartung dahinterstecken. Meldet der Port aber dann zusätzlich eine fremde MAC-Adresse und werden darüber hinaus innerhalb kürzester Zeit mehrere falsche Passwörter eingegeben, besteht durchaus die Möglichkeit eines Einbruchs.

Je nach Anzahl und Korrelation sollte das SIEM die Meldungen der Netzwerkkomponenten in verschiedene Sicherheitsstufen einteilen.
Je nach Anzahl und Korrelation sollte das SIEM die Meldungen der Netzwerkkomponenten in verschiedene Sicherheitsstufen einteilen.
Foto: prego services

Je nach Anzahl und Korrelation der Meldungen sollte das SIEM die Ergebnisse seiner Verknüpfungen in verschiedene Sicherheitsstufen einteilen. Liegen mehrere Verletzungen vor, die einen zeitlichen und räumlichen Zusammenhang aufweisen und deshalb auf einen möglichen Sicherheitsvorfall hindeuten, sollte das System die höchste Sicherheitsstufe auslösen.

Inhalt dieses Artikels