Durch die steigende Digitalisierung von Prozessen und der Vernetzung von Prozessen in Workflows sind die Arbeitsprozesse zwar effizienter geworden, jedoch werden dadurch auch Einfallstore für Bedrohungen und digitale Angriffe in die vormals abgeschotteten Bereiche geöffnet. Das macht es zwingend erforderlich, dass dort sowohl präventiv Schwachstellen rechtzeitig erkannt und beseitigt werden als auch im Ernstfall konkrete Bedrohungen und Störungen schnell entdeckt werden und eine durchdachte und koordinierte Reaktion erfolgen kann. Dieses ist nur möglich mit einer zentralen Stelle im Unternehmen. Diese Stelle (Security Operations Center (SOC)) muss sich ganzheitlich und dynamisch der Security aller Komponenten der Infrastruktur widmet.Die Hauptaufgabe des SOCs besteht darin, Technologien, Prozesse und Mitarbeiter zu motivieren sich dem zentralen Schutz der IT-Infrastruktur eines Unternehmens zu widmen, zu vereinen und deren Zusammenwirken intelligent zu organisieren.

Wenn man sich jetzt in der Praxis umschaut, bestehen wahnsinnig viele Insellösungen und diese sind durch die unorganisierte Nutzung von Cloud-Services noch schlimmer geworden. Meist agieren die einzelnen Abteilungen (bspw. Netzwerk, Firewall, Software-Entwicklung, Office-IT, Betriebs-IT, SAP-Verantwortliche, IT-Architektur-Verantwortlichen) wunderbar parallel neben her. Des öffteren ist mir auch schon aufgefallen, dass die Verantwortlichen für Server auch mal eben schnell sich eine Firewall zusammenklicken und diese Abseits der eigentlich Verantwortlichen betreiben. Ich denke alleine durch die letzten Sätze ist gut ersichtlich, es fehlt eine ganzheitliche Zusammenarbeit, die über Abteilungs- und Verantwortungsgrenzen hinweg erfolgt. Eine organisatorische Richtlinie, welche regelt wie bei Präventionsmaßnahmen und Incident Response zusammengearbeitet werden muss, existiert meistens nicht. Darüber hinaus sind Budgetgrenzen und der Fachkräftemangel weitere Gründe, warum diese notwendige, zentrale Instanz häufig vernachlässigt wird.

Die folgenden Absätze sollen daher helfen ein SOC aufzusetzen, welches in der realen Welt funktioniert.

SOC als Schnittstelle für alle Beteiligten

Ein SOC stellt als zentrale, koordinierende Instanz die Schnittstelle zu allen beteiligten Bereichen dar. Für eine strukturierte Implementierung von „Security Operations“ müssen zum Beispiel die Anforderungen an Hersteller und Lieferanten formuliert und sowohl eine Risikobewertung sowie entsprechende Lösungsansätze unter entsprechender Einbeziehung von Planern und Integratoren erstellt werden. Im Vorfeld muss dann auch die Abnahme und Kontrolle erfolgen, ob Systemintegratoren die geforderten Security-Funktionen nach den Richtlinien und Prozeduren korrekt implementieren und die Hersteller die geforderten Security-Merkmale in ihren Produkten abbilden.

Einen zentralen Kommandostand aufsetzen

Vorab ein sehr wichtiger Hinweis, denn die Einrichtung eines SOCs ist in erster Linie eine organisatorische Aufgabe. Während des Aufbaues können die Rollen und deren Aufgabenverteilung auch von einer oder einer kleinen Anzahl an Personen geleistet werden. Das räumt mit dem Vorurteil auf, dass die Einrichtung eines SOC gleich mit einem hohen Kostenaufwand verbunden ist. Durch diese neue Herangehensweise im Umgang mit Sicherheitsvorfällen ändern sich existierende Aufgaben und Kompetenzen und es kommen neue hinzu. Dies ermöglicht die Verantwortlichkeiten von vorhandenen Mitarbeitern zu transformieren und zu erweitern.

Für die übergreifende Vernetzung zwischen den einzelnen Bereichen des Unternehmens, ist es empfohlen einen zentralen Raum für die Zusammenarbeit und Koordination der betroffene Mitarbeitenden zur Verfügung zu stellen. In einem solchen Raum (Leitstand) können die Statusinformationen von Netzwerken, Servern, Rechnern und Services in Dashboards und Diagrammen zur schnellen Interaktion auf Monitoren für alle sichtbar dargestellt werden und Security-Analysten proaktiv und reaktiv in der direkten Kommunikation mit den anderen Instanzen gegen Störungen vorgehen. Dabei ist es unerheblich, ob diese durch eine interne Fehlkonfiguration oder einen externen Cyberangriff erfolgen.

Wie bereits zuvor aufgezeigt, ist ein SOC maßgeblich eine organisatorische und leitende Instanz, die im Minimalfall von wenigen – allerdings für diese Aufgabe dedizierten – Person besetzt sein sollte. Die Übernahme dieser Funktion durch die IT- oder Betriebsleitung sorgt erfahrungsgemäß zu Konflikten. So werden entweder Security Themen vernachlässigt oder es entstehen Uneinigkeiten mit der jeweils anderen Partei. Sinnvoll ist eine neutrale Person, mit einem unabhängigen Berichtsweg von IT und Betrieb. Für den Anfang kann auch erst einmal mit einem SOC-Manager und drei Analysten gestartet werden.

Proaktive Maßnahmen implementieren

Proaktive Tätigkeiten dienen dazu Störfälle bereits im Vorfeld zu erkennen und somit zu vermeiden und geeignete Schutzmaßnahmen zu etablieren. Als Beispiele hierzu seien genannt:

• Sicherheitsbewertungen:

  • Bestandsaufnahme aller vorhandenen, aktiven und passiven Komponenten der Infrastruktur sowie das Erfassen Dokumentation der gesamten Netzwerktopologie

  • Suchen und Erkennen von Schwachstellen in der Infrastruktur und deren Beseitigung

• Aufsetzen eines zentralen Managements aller vorhandenen Security-Appliances

• Betrieb und Wartung von Security-Lösungen:

  • Firewalls,

  • DS/ IPS Systeme,

  • Web-Application-Firewall,

  • Cloud-Access-Security-Broker,

  • DNS,

  • DDOS-Schutz,

  • Identitätsmanagement,

  • SIEM

• Entwickeln von Incident Response Methoden, um für den Ernstfall gewappnet zu sein

  • Betrug

  • Bösartiges Netzwerkverhalten

  • Bösartige Veränderungen an der Webseite

  • DDOS

  • Erpressung

  • Informationsverlust

  • Markenverletzungen

  • Insidermissbrauch

  • Phishing-Angriffe

  • Ransomware (verschlüsselung durch Trojaner)

  • Malware auf Smartphones, Tablets, Notebooks, Workstations, Server

  • Social Engineering

  • Einbrücke in Unix, Linux, Windows und macOS

• Absicherung von Netzwerkbereichen (Segmentierung) durch VLANs, VXLANs und durch Mikro-Segmentierung

• Absicherung von Netzwerkbereichen (Separierung) durch Firewalls

• Absicherung des Netzwerkzugangs mittels IEEE802.1X-2010 mittels EAP-TLS

• Etablierung eines Patch-Managements

• Sicherheitsrelevante Einschätzung und Vorauswahl von Herstellern und Lieferanten für die Anschaffung von neuen Systemen

• Reporting zur Arbeit des SOC über alle sicherheitsrelevanten Systeme - Erfüllung von Security Levels und Compliance Nachweisen

• Regelmäßige Analysen zur aktuellen Bedrohungslage - Sind die betriebenen Systeme von aktuellen Exploits betroffen?

Reaktive Maßnahmen implementieren

Immer häufiger erfolgen Cyberangriffe und Ihre Komplexität steigt von Angriffswelle zu Angriffswelle, daher reicht es nicht mehr nur ein paar vorbeugende Maßnahmen zu implementieren. Viel mehr muss unterstellt werden, dass die etablierten proaktiven Schutzmaßnahmen in unbestimmter Zeit überwunden werden. Im Ergebnis ist dringend empfohlen den Fokus auf einer kontinuierlichen Überwachung in Echtzeit und der Vorbereitung erprobter Maßnahmen als Reaktion auf Auffälligkeiten zu legen. Nachfolgend sind ein paar Beispiel aus der Praxis aufgeführt.

• Definition eines Soll-Zustands

  • Erfassung aller Assets (OT und IT)und ihrer notwendigen (erlaubten – gewünschten) KOmmunikationsverbindungen

• Aufsetzen eines betriebseigenen Security Monitorings

  • Aufgrund des limitierten Einsatzes von Monitoring-Agenten im OT Bereich wird das Monitoring für den OT-Bereich optimaler weise durch eine „Echtzeit“-Überwachung des Netzwerkverkehrs verstärkt.

  • Dies ermöglicht eine unmittelbare Erkennung von Anomalien und deren Klassifizierung

• Alarmierung bei erkannten Angriffen und Störfällen

• Reaktion (Incident Response) auf Störungen, erkannte Anomalien und Angriffe mit fortlaufender Information über deren Status

• Bereithaltung und Aufbereitung von aufgezeichneten Daten für die forensische Untersuchung während und nach einem Vorfall

• Bedrohungs- und Risikoanalysen: fortlaufende Beurteilung eines sich stetig ausweitenden und verändernden Bedrohungsfelds

IT und OT im SOC zusammenführen

Im Kontext von Produktionsanlagen und KRITIS ist es wichtig zu verstehen, dass ein SOC als eine gemeinsame und übergreifende Aufgabe von IT und OT Bereich verstanden wird, die nur im Teaming effizient umgesetzt werden kann. Durch die Konvergenz von IT und OT steigt das Schadensausmaß von Cyberangriffen in einer drastischen Form an, da sich Störfälle in einer der beiden Domänen unmittelbar auf die andere auswirken bzw. sie sogar mit beeinträchtigen oder schädigen können. Von daher ist es alternativlos, dass die Security Operations für beide Bereich zusammengeführt werden müssen.

Aus diesem Grund ist es rudimentär wichtig, dass beide Parteien ein gegenseitiges Verständnis für die unterschiedliche Technologie und Motivation für Security entwickeln. Den Lebenszyklen von 3-5 Jahren von Komponenten im IT Bereich stehen Laufzeiten von 20 Jahren und mehr im OT Bereich gegenüber. Dies führt zu vollkommen unterschiedlichen Schutzstrategien, da in der IT in der Regel Sicherheits-Updates über die Lebenszeit eines Gerätes bereitgestellt werden, anders im OT Bereich. Ein weiterer Unterschied ist z. B. die Anforderung an die Echtzeitfähigkeit der Steuerungselektronik, die durch ein nachträgliches Security-Update gefährdet sein kann. Und während für den IT Bereich zur Eindämmung einer Störung das Stoppen von bestimmten Komponenten und Services ein durchaus valides Mittel ist, steht in einer Produktionsumgebung der ungestörte Ablauf der aufeinander abgestimmten Produktionsschritte im Mittelpunkt, um die Herstellung des Produkts nicht zu gefährden oder das aufwendige Hochfahren des Produktionsprozesses nach einer ungeplanten Auszeit zu verhindern, da eine stehende Produktion mit einem Umsatzausfall gleichzusetzen ist.

Außerdem müssen unterschiedliche Fähigkeiten im Betrieb so organisiert werden, dass Bedrohungen erkannt und behandelt werden können (Threat Mitigation) und effektiv auf Störungen reagiert werden kann (Incident Response). So muss beispielsweise im Rahmen des Risikomanagements die OT eine Einschätzung zum Schadensausmaß liefern, während seitens der IT (-Security) eine Beurteilung der Eintrittswahrscheinlichkeit und Vorschläge für Gegenmaßnahmen erfolgen.

Dies trifft auch auf die Zusammenarbeit im Rahmen eines Incident Response Szenarios zu. Zum Beispiel muss die OT festlegen, ob und wie lange eine Anlage abgeschaltet wird, damit die IT-Security den Vorfall identifizieren und beheben kann.