Keywords
BSI, SzA, Angriffserkennung, Stationsautomatisierung, NIDS, BSI-CS 153, netzbasierte Angriffserkennung, IEC 6180, hostbasierte Angriffserkennung
Zusammenfassung
Klaus Hunsänger vom BSI gibt Tipps, wie in Umspannwerken eine Angriffserkennung nach BSI-CS 153 “Stationsautomatisierung” umgesetzt werden kann. Der Praktiker aus dem Referat für industrielle Steuerungs- und Automatisierungssysteme beleuchtet die Hintergründe des BSI-Dokuments und an welcher Stelle ein netzbasiertes IDS (NIDS) sinnvoll ist.
Kernargumente
Das Dokument BSI-CS 153 “Stationsautomatisierung” fokussiert auf die OT-Sicherheit der Peripherie der Energieversorgung, der Umspannwerke.
Alte Sicherheitsstrategien in Umspannwerken haben in der neuen geopolitischen Lage und gegenüber den neuen Angriffsvektoren, aber auch in Bezug auf die modernen technischen Rahmenbedingungen in den Anlagen keinen Bestand mehr.
Die Cybersicherheit über die Leitstelle reicht nicht aus, um alle Angriffe auf Umspannwerke abzufangen.
IT-Sicherheitsbeauftragte und Schutztechniker:innen kommen zwar aus unterschiedlichen Welten, können aber optimal zusammenarbeiten.
Der erste Schritt ist Sichtbarkeit und Dokumentation, der zweite Schritt ist Log-Daten netzbasiert und hostbasiert herausziehen und für die Angriffserkennung zu nutzen.
IEC 61850 Anlagen ohne SCD-File sind bei einem Fehler oder Vorfall aufgeschmissen.
Betriebe verlassen sich oftmals zu sehr auf Dienstleister, die aber im Zweifelsfall nicht sofort bei Fuß stehen.
Das SCD-File ist auch für die Schulung eines Angriffserkennungssystems Gold wert.
Die Umsetzung eines netzbasierten Intrusion Detection Systems ist in einem einfachen Umspannwerk sehr einfach und bringt die schnellsten Ergebnisse.
Hostbasiert sollte die Log-Files von Workstations und modernen IEDs für die Cybersicherheit ausgewertet werden. Ältere IEDs sollten mit Vorsicht angezapft werden.
Über etablierte Informationswege weitere Informationen zum Gesundheitssystem einzusammeln, sollte die OT nicht stark belasten.
In der IT gibt es für Angriffe viele Signaturen, die es in der OT weniger gibt.
In der deterministischen Kommunikation von OT-Netzen hat die Anomalieerkennung Vorteile bei der Detektion sicherheitsrelevanter Ereignisse.
Ein NIDS sollte nicht aus Angst isoliert betrieben werden, sondern an das SOC und die IT-Sicherheit angeschlossen sein. Es gibt einfache Lösungen, ein NIDS in der OT sicher zu betreiben.
Gut gesagt
Die Angriffsvektoren verlagern sich in die Fernwerktechnik oder noch weiter runter in den Stationsbus.
Ich glaube, der Energiesektor ist da schon sehr gut aufgestellt, verglichen mit anderen Sektoren, auch mit anderen Kritis-Sektoren.
In den einen oder anderen Fällen haben sich Energiebetriebe bei der Dokumentation der OT zu sehr auf ihre Dienstleister verlassen.
Den meisten Benefit kriege ich über die netzbasierte Erkennung in dem System, weil ich auf die ganzen IEDs und RTUs nicht einfach ein Stück Software draufwerfen kann.
APT sind sehr individuell unterwegs, heute so, morgen so. Da kann ich gar nicht so mit diesen Signaturen draufgehen.
Es nutzt nichts, wenn im Umspannwerk eine Kiste steht, die die ganze Zeit am Schreien ist und morgen kommt mal wieder einer vorbei und sieht dann: „Ach, guck mal, da blinkt ein Lämpchen.”
Kapitel
00:00 Vorstellung
01:28 Hintergrund zum BSI-Dokument BSI-CS 153 zur Stationsautomatisierung
04:19 Wie sich die technischen Rahmenbedingungen in Umspannwerken geändert haben
06:25 Schritte zur Umsetzung von OT-Sicherheit in Umspannwerken
07:05 Sicherheitsbeauftragte und Schutztechniker:innen an einen Tisch bekommen
08:26 Relevanz der Dokumentation in der Cybersicherheit
10:11 Relevanz des .scd-Files in IEC 61850 Anlagen für Fehlersuche, Angriffserkennung und Sichtbarkeit.
12:20 Wo muss ein netzbasiertes Angriffserkennungssystem (NIDS) in Umspannwerken sitzen?
14:26 Wo ergibt hostbasierte Angriffserkennung Sinn?
15:34 Taugen IEDs als Informationsquellen?
17:10 Passive vs. aktive Angriffserkennung
19:00 Wie detektiert ein NIDS mit Anomalieerkennung Angriffe über die Lieferkette?
22:10 Unabhängigkeit und Air-Gap bei NIDS
25:14 Zusammenarbeit mit Dienstleistern
