Der Mensch bleibt unersetzlich

Frank Stummer, Rhebo

(Titelbild: © AdobStock | 854749491 | Jayk )

Im Dezember 2021 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Arbeitspapier erstmals ausdrücklich die Empfehlung, auf Netzwerk-ebene eine Anomalieerkennung einzusetzen [1]. Hintergrund war die Bekanntwerdung mehrerer Schwachstellen der Java-Protokollierungsbibliothek Log4j [2,3,4]. Der als Log4Shell benannte Vorfall wurde zu einem Sinnbild der komplexen Herausforderungen, denen Cybersicherheit im digitalen Zeitalter gegenübersteht:

• Abhängigkeit von Drittanbietern bei der Behebung der Schwachstelle [5].
• Unklarheit der Verbreitung von Softwarepaketen und -bibliotheken.
• Risiken von Sicherheitspatches durch Einschränkung wichtiger Funktionen [6].
• Verzögerung der Mitigationsmaßnahmen aufgrund von Fragen zur Anlagenverfügbarkeit und Prozessstabilität sowie der Abhängigkeit von festen Wartungszyklen.

Die Anzahl der bekannt gewordenen Schwachstellen für industrielle Komponenten und Systeme ist in den letzten Jahren kontinuierlich gestiegen [7]. Besonders deutlich wurde dies durch den Log4Shell-Vorfall, bei dem das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfahl: „Sollte ein Update oder eine Evaluierung der Betroffenheit zurzeit nicht möglich sein, empfiehlt es sich, ausgehende Verbindungsversuche aller Systeme zu protokollieren und auf Unregelmäßigkeiten hin zu untersuchen“ [8]. Solche „Unregelmäßigkeiten“ lassen sich bei der Überwachung der Kommunikation als sogenannte Anomalien identifizieren. Ergänzend zu Anfrageauswertungen und Prozesslisten wurde deshalb eine Anomalieerkennung auf Netzwerkebene empfohlen [9].

Eine Anomalieerkennung überwacht passiv die gesamte Netzwerkkommunikation und prüft diese auf Abweichungen von einem definierten Normalverhalten, das in einer Baseline festgelegt ist. Besonders in industriellen Umgebungen, in denen Updates oder Sicherheitspatches oft durch technische oder organisatorische Hürden verzögert werden, bietet diese Methode eine wertvolle Möglichkeit, potenzielle Sicherheitsrisiken frühzeitig zu erkennen und zu minimieren.

Die Bedeutung solcher Mechanismen wächst mit der zunehmenden Anzahl und Komplexität von Schwachstellen in industriellen Systemen. Der Log4Shell-Vorfall ist ein prominentes Beispiel dafür, wie eine Anomalieerkennung als Frühwarnsystem fungieren kann, indem sie verdächtige Verbindungen identifiziert und Sicherheitslücken sichtbar macht [8]. Neben der Protokollierung neuer Verbindungsversuche detektieren Anomalieerkennungen in Netzwerken jedes untypische Verhalten oder lateral bewegende Angreifer.

Eine Anomalie repräsentiert dabei jede Abweichung vom erwarteten Netzwerkverhalten, die auf bösartige Aktivitäten, Fehlverhalten oder technische Fehler hinweisen kann. Dies umfasst beispielsweise Kommunikation über Backdoors, die Ausnutzung von Schwachstellen, laterale Bewegungen innerhalb des Netzwerks, Spoofing-Aktivitäten oder technische Fehlfunktionen. Durch solche Analysen werden Aktionen von Angreifenden sichtbar und nachvollziehbar – selbst wenn sie unbekannte Signaturen nutzen, Sicherheitslücken ausnutzen oder authentifizierte Benutzerkonten kompromittieren.
Ein wesentlicher Vorteil der Anomalieerkennung liegt darin, dass sie signaturbasierte Detektionsmechanismen wie Virenscanner oder Firewalls ergänzt. Während signaturbasierte Ansätze nur bekannte Muster erkennen, kann die Anomalieerkennung auch auf unbekannte oder neuartige Bedrohungen reagieren. Diese zusätzliche Sicherheitsschicht ermöglicht es, auch Angriffe oder verdächtige Aktivitäten zu erkennen, die von herkömmlichen Perimetersicherungen übersehen werden.

In diesem Sinne bildet eine Anomalieerkennung, wie in Abbildung 1 dargestellt, die “2nd line of defense” in einem “Defense-in-Depth“-Ansatz. Das Modell honoriert die Realität, dass es keine hundertprozentige Sicherheit durch signaturbasierte Mechanismen gibt, weil diese stets dem Feld der Angreifenden hinterherhinken.

Eine Anomalieerkennung kann grundsätzlich sowohl in der Unternehmens-IT als auch in der OT (Operational Technology respektive Steuerungstechnik) eingesetzt werden. Sie ist jedoch vor allem in der OT als dediziertes Angriffserkennungssystem effektiv, da die Kommunikation stark deterministisch und repetitiv ist. Abweichungen können eindeutig erkannt, bewertet und zugeordnet werden. Das vereinfacht auch die Automatisierung der Anomalieerkennung in deren vier Kernprozessen.

Das Baselining umfasst die Aufnahme und Definition der legitimen Kommunikationsstruktur in einem OT-Netzwerk, gegen die alle nachfolgende Kommunikation auf Anomalien untersucht wird. In der OT ist das Baselining nicht trivial.

1. Die OT-Netzwerke sind für die Betreibenden in der Regel eine Black Box. Dokumentation der Assets, Vorgänge und oft weitreichenden Befugnisse von Dienstleistern und OEMs ist kaum vorhanden.
2. Ein aktives Scannen des Netzwerkes zur Erstellung eines Asset Inventory ist nicht gewünscht, da aufgrund der limitierten Ressourcen der Assets die Gefahr besteht, Ausfälle hervorzurufen.
3. OT-Netzwerke sind individuell. Es mangelt an Vergleichbarkeit und Standardisierung.

Das Baselining erfolgt in der Regel in Form einer Schwachstellenbewertung (zum Beispiel im Rahmen einer Risikoanalyse nach den Standards ISO 27001 [10] oder IEC 62443-3-2 [11]). Hierfür wird die Kommunikation mittels des OT-Monitoring mit Anomalieerkennung über einen definierten Zeitraum aufgezeichnet und von OT-Experten und Expertinnen auf bestehende Schwachstellen analysiert. Die Auswertung kann über Algorithmen teilweise automatisiert werden. Abbildung 2 zeigt beispielhaft die repräsentativen Ergebnisse einer solchen Schwachstellenbewertung.

Das Baselining kann auch vollständig automatisiert werden, sobald ein komplett digitaler Zwilling einer Infrastruktur samt ihres Netzwerkes vorliegt. Ein Beispiel ist die .scd-Datei nach dem Standard IEC 62850, welche die jeweilige Infrastruktur mit allen Komponenten, Systemen, Verbindungen und erlaubten Kommunikationsvorgängen dokumentiert. Ein Upload in eine Anomalieerkennung ermöglicht die beschleunigte Erstellung der Baseline.

In Schritt zwei erfolgt die Anomaliedetektion vollautomatisch, da jede Abweichung als Anomalie gewertet wird. Zur Erkennung solcher Abweichungen können verschiedene Methoden herangezogen werden: Die heuristische Methode nutzt vor allem Ausschlussverfahren, während statistische Ansätze auf Zeitreihenanalysen und Häufigkeitsverteilungen setzen. Darüber hinaus kommen algorithmische Verfahren zum Einsatz, die sich an Tactics, Techniques & Procedures (TTPs) von Cyberangriffen entsprechend des bekannten MITRE ATT&CK Frameworks [12] orientieren. Weiterhin werden Vergleichsanalysen genutzt, um etwa unsichere Firmware-Versionen zu identifizieren.

Ergänzend setzen Methoden der Künstlichen Intelligenz und des Machine Learnings auf Mustererkennung, wobei deren Effektivität derzeit noch nicht abschließend geklärt ist. Das vom BMBF unterstützte Forschungsprojekt “Hybrid AI Intrusion Prevention for Industrial Control Systems” (HAIP) erforschte den Mehrwert von Künstlicher Intelligenz für die Anomalieerkennung in industriellen Umgebungen [13].

Das Forschungsteam kam in seinem Abschlussbericht zwar zu dem Ergebnis, dass KI die Anomalieerkennung und –bewertung durchaus unterstützen kann, jedoch lag die Performance und Genauigkeit gleichauf mit und teilweise unter anderen Methoden wie Heuristik und Algorithmen, die durch ein Expert:innenteam betreut wurden [14].

Das Ergebnis ist nicht verwunderlich: Die wichtigsten Anomalien sind bereits über statistische und heuristische Methoden zuverlässig identifizierbar, da die OT-Kommunikation deterministisch und repetitiv ist. KI kann jedoch dabei unterstützen, Anomalien anhand bestimmter Muster besser einzuordnen beziehungsweise durch permanenten Abgleich mit Online-Quellen Algorithmen für die Aggregation von Events zu erstellen. Dies muss jedoch unter der Maßgabe erfolgen, dass die KI-Anbietenden eine transparente KI (sogenannte explainable AI) zur Verfügung stellen, um die Entscheidungen der Anwendung nachvollziehen zu können. Ohne diese Maßgabe erhalten die Unternehmen Black-Box-Cybersicherheit in einer ohnehin undurchsichtigen OT.

Im Rahmen der Bewertung kommen die unter “Detektion” genannten Verfahren erneut zum Einsatz, um die Kritikalität einer Anomalie zu ermitteln und einzelne Anomalien (beispielsweise neuer Host, neue Verbindung, erstmaliger Query, gehäufte ARP-Requests) zu einem Event (wie Netzwerk-Scan) zu aggregieren.

Die Kontrolle durch einen Menschen, insbesondere durch Experten und Expertinnen, bleibt bei der Anomalieerkennung unumgänglich. Während eine Signatur in der Cybersicherheit eine eindeutige Darstellung einer zu vermeidenden – sprich bösartigen oder gefährdenden – Aktivität ist, kennzeichnet eine Anomalie zunächst nur eine Veränderung des Ist-Zustands.

Diese Veränderung wird im ersten Schritt ohne Bewertung wahrgenommen. Dadurch kann noch keine eindeutige Aussage darüber getroffen werden, ob die Aktivität bösartig, gewollt, harmlos oder zufällig ist. In OT-Netzwerken ist jedoch eine gesicherte Bewertung fundamental, um die richtige Entscheidung für die Reaktion zu fällen.

Während in der IT die Sicherheitsautomatisierung (z. B. durch Blocken oder Sperren von Accounts) gang und gäbe ist, wird diese in der OT noch immer in großen Teilen abgelehnt. In Gesprächen mit Sicherheitsverantwortlichen für OT-Netzwerke ist eine Anforderung an eine Anomalieerkennung zentral: sie muss passiv und rückwirkungsfrei agieren. Das hat vor allem einen Grund: Das Ziel der OT-Verantwortlichen ist Verfügbarkeit, Arbeitsschutz und Prozessstabilität – im Gegensatz zur IT, in der Informationssicherheit und -integrität den Fokus bilden. Eine Sicherheitsautomatisierung kann diese Ziele in OT-Umgebungen gefährden und zu mehr Kosten führen, vor allem, wenn der Auslöser eine fehlerhaft positive Meldung ist. Der Bedarf nach menschengemachter, eigener Entscheidung wird in der OT deshalb noch länger bestehen bleiben, um Menschen, Maschinen und Versorgung nicht in Gefahr zu bringen.

Die Anomalieerkennung stellt somit ein wichtiges Element im Schutz industrieller Netzwerke dar. Gerade in der OT, wo deterministische Kommunikationsmuster vorherrschen, ermöglicht sie das frühzeitige Erkennen ungewöhnlicher Aktivitäten und potenzieller Bedrohungen. Ergänzt durch transparente menschliche Kontrolle und unterstützt durch Methoden wie Künstliche Intelligenz, lässt sich die Sicherheit in industriellen Systemen stärken, ohne die Stabilität zu gefährden.