Durch die steigende Vernetzung in Produktionsanlagen und kritischen Infrastrukturen sind die Arbeitsprozesse zwar effizienter geworden, jedoch werden dadurch auch Einfallstore für Bedrohungen und digitale Angriffe in die vormals abgeschotteten Bereiche geöffnet. Das macht es zwingend erforderlich, dass dort sowohl präventiv Schwachstellen rechtzeitig erkannt und beseitigt werden als auch im Ernstfall konkrete Bedrohungen und Störungen schnell entdeckt werden und eine durchdachte und koordinierte Reaktion erfolgen kann. Hierzu benötigt man eine zentrale Stelle im Betrieb, die sich ganzheitlich und dynamisch der Security aller Komponenten der Infrastruktur widmet, ein sogenanntes Security Operations Center, kurz SOC genannt.

Die Aufgabe eines SOC ist es, Technologien, Prozesse und Mitarbeiter unter der Verantwortung, sich dem zentralen Schutz der IT-Infrastruktur eines Unternehmens zu widmen, zu vereinen und deren Zusammenwirken intelligent zu organisieren.

Soweit die Theorie. Leider ist es in der Praxis nicht ganz so einfach. Meist ist es historisch bedingt, dass die Betriebs-IT, das Anlagenpersonal und die IT Abteilung, die für die Office-Infrastruktur zuständig ist, getrennt agieren. Es fehlt eine ganzheitliche Zusammenarbeit, die über Abteilungs- und Verantwortungsgrenzen hinweg erfolgt. Eine organisatorische Richtlinie, welche regelt wie bei Präventionsmaßnahmen und Incident Response zusammengearbeitet werden muss, existiert meistens nicht. Darüber hinaus sind Budgetgrenzen und der Fachkräftemangel weitere Gründe, warum diese notwendige, zentrale Instanz häufig vernachlässigt wird.

Es stellt sich nun die Frage, wie ein Security Operations Center für die Absicherung vernetzter Industrieanlagen aufgesetzt werden sollte, welches auch die genannten Herausforderungen mitberücksichtigt. Im Folgenden sind daher die sieben wichtigsten „Best Practices“ für ein SOC aufgeführt, welches in der realen Welt funktioniert.

1) SOC als Schnittstelle für alle Beteiligten

So wie es auch schon die IEC 62443 vorschlägt, haben alle Rollen vom Betreiber über den/die Hersteller bis hin zu den Integratoren ihren Anteil der Verantwortung, um die Verfügbarkeit einer Anlage zu gewährleisten. Ein SOC stellt als zentrale, koordinierende Instanz die Schnittstelle zu allen beteiligten Bereichen dar. Für eine strukturierte Implementierung von „Security Operations“ müssen zum Beispiel die Anforderungen an Hersteller und Lieferanten formuliert und sowohl eine Risikobewertung sowie entsprechende Lösungsansätze unter entsprechender Einbeziehung von Anlagenplaner und Integrator erstellt werden. Im Vorfeld muss dann auch die Abnahme und Kontrolle erfolgen, ob Systemintegratoren die geforderten Security-Funktionen nach den Richtlinien und Prozeduren korrekt implementieren und die Hersteller die geforderten Security-Merkmale in ihren Produkten abbilden.

2) Einen zentralen Kommandostand aufsetzen

Zunächst einmal sei gesagt, dass die Einrichtung eines SOC vorrangig eine organisatorische Aufgabe ist und die Rollen und Aufgabenverteilung auch von einer oder einer kleinen Anzahl an Personen geleistet werden kann. Das räumt mit dem Vorurteil auf, dass die Einrichtung eines SOC gleich mit einem hohen Kostenaufwand verbunden ist. Durch diese neue Herangehensweise im Umgang mit Sicherheitsvorfällen ändern sich existierende Aufgaben und Kompetenzen und es kommen neue hinzu. Dies ermöglicht die Verantwortlichkeiten von vorhandenen Mitarbeitern zu transformieren und zu erweitern.

Wenn es nach den individuellen Bedingungen möglich ist, ist es sinnvoll einen zentralen Raum für die Zusammenarbeit und Koordination der betroffene Mitarbeiter zur Verfügung zu stellen. In einem solchen Leitstand können die Statusinformationen von Netzwerken, Servern, Rechnern und Services in Dashboards und Diagrammen zur schnellen Interaktion auf Monitoren für alle sichtbar dargestellt werden und Security-Analysten proaktiv und reaktiv in der direkten Kommunikation mit den anderen Instanzen gegen Störungen vorgehen. Dabei ist es unerheblich, ob diese durch eine interne Fehlkonfiguration oder einen externen Cyberangriff erfolgen.

Wie oben bereits erwähnt, ist ein Security Operations Center maßgeblich eine organisatorische und leitende Instanz, die im Minimalfall von einer – allerdings für diese Aufgabe dedizierten – Person besetzt sein sollte. Die Übernahme dieser Funktion durch die IT- oder Betriebsleitung sorgt erfahrungsgemäß zu Konflikten. So werden entweder Security Themen vernachlässigt oder es entstehen Uneinigkeiten mit der jeweils anderen Partei. Sinnvoll ist eine neutrale Person, mit einem unabhängigen Berichtsweg von IT und Betrieb.

3) Proaktive Maßnahmen implementieren

Proaktive Tätigkeiten dienen dazu Störfälle bereits im Vorfeld zu erkennen und somit zu vermeiden und geeignete Schutzmaßnahmen zu etablieren. Als Beispiele hierzu seien genannt:

  • Security Assessments:
    • Bestandsaufnahme aller vorhandenen, aktiven und passiven Komponenten der Infrastruktur sowie das Erfassen Dokumentation der gesamten Netzwerktopologie
    • Suchen und Erkennen von Schwachstellen in der Infrastruktur und deren Beseitigung
  • Aufsetzen eines zentralen Managements aller vorhandenen Security-Appliances
  • Betrieb und Wartung von Security-Lösungen: Firewalls, IDS/ IPS Systeme, DDOS-Schutz, Identitätsmanagement, SIEM etc.
  • Incident Response Planung: Durchdenken von organisatorischen und technischen Regelungen und Maßnahmen, um für den Ernstfall gewappnet zu sein
  • Absicherung von Netzwerkbereichen durch Segmentierung und Firewalls
  • Etablierung eines Patch-Managements
  • Sicherheitsrelevante Einschätzung und Vorauswahl von Herstellern und Lieferanten für die Anschaffung von neuen Systemen
  • Reporting zur Arbeit des SOC über alle sicherheitsrelevanten Systeme (Erfüllung von Security Levels und Compliance Nachweisen)
  • Regelmäßige Analysen zur aktuellen Bedrohungslage (Sind die Systeme von aktuellen Exploits betroffen?)

4) Reaktive Maßnahmen implementieren

Vor dem Hintergrund, dass Cyberangriffe hinsichtlich Ihrer Komplexität und Häufigkeit stetig steigen, reicht es heutzutage nicht mehr aus, sich lediglich den vorbeugenden Maßnahmen zu widmen. Es muss davon ausgegangen werden, dass diese proaktiven Schutzmaßnahmen in unbestimmter Zeit überwunden werden. Der Fokus sollte auf einer kontinuierlichen Überwachung in Echtzeit und der Vorbereitung erprobter Maßnahmen als Reaktion auf Auffälligkeiten liegen. Beispiele hierzu wären:

  • Definition eines Soll-Zustands: Erfassung aller OT- und IT-Assets und ihrer notwendigen Verbindungen
  • Aufsetzen eines betriebseigenen Security Monitorings – Aufgrund des limitierten Einsatzes von Monitoring-Agenten im OT Bereich wird das Monitoring optimaler weise durch eine „Echtzeit“-Überwachung des Netzwerkverkehrs verstärkt.
  • Dies ermöglicht eine unmittelbare Erkennung von Anomalien und deren Klassifizierung
  • Alarmierung bei erkannten Angriffen und Störfällen
  • Reaktion (Incident Response) auf Störungen, erkannte Anomalien und Angriffe mit fortlaufender Information über deren Status
  • Bereithaltung und Aufbereitung von aufgezeichneten Daten für die forensische Untersuchung während und nach einem Vorfall
  • Bedrohungs- und Risikoanalysen: fortlaufende Beurteilung eines sich stetig ausweitenden und verändernden Bedrohungsfelds

5) IT und OT im SOC zusammenführen

Im Kontext von Produktionsanlagen und KRITIS ist es wichtig zu verstehen, dass ein SOC als eine gemeinsame und übergreifende Aufgabe von IT und OT Bereich verstanden wird, die nur im Teaming effizient umgesetzt werden kann. Durch die Konvergenz von IT und OT steigt das Schadensausmaß von Cyberangriffen in einer drastischen Form an, da sich Störfälle in einer der beiden Domänen unmittelbar auf die andere auswirken bzw. sie sogar mit beeinträchtigen oder schädigen können. Von daher ist es alternativlos, dass die Security Operations für beide Bereich zusammengeführt werden müssen.

Aus diesem Grund ist es rudimentär wichtig, dass beide Parteien ein gegenseitiges Verständnis für die unterschiedliche Technologie und Motivation für Security entwickeln. Den Lebenszyklen von 3-5 Jahren von Komponenten im IT Bereich stehen Laufzeiten von 20 Jahren und mehr im OT Bereich gegenüber. Dies führt zu vollkommen unterschiedlichen Schutzstrategien, da in der IT in der Regel Sicherheits-Updates über die Lebenszeit eines Gerätes bereitgestellt werden, anders im OT Bereich. Ein weiterer Unterschied ist z.B. die Anforderung an die Echtzeitfähigkeit der Steuerungselektronik, die durch ein nachträgliches Security-Update gefährdet sein kann. Und während für den IT Bereich zur Eindämmung einer Störung das Stoppen von bestimmten Komponenten und Services ein durchaus valides Mittel ist, steht in einer Produktionsumgebung der ungestörte Ablauf der aufeinander abgestimmten Produktionsschritte im Mittelpunkt, um die Herstellung des Produkts nicht zu gefährden oder das aufwendige Hochfahren des Produktionsprozesses nach einer ungeplanten Auszeit zu verhindern, da eine stehende Produktion mit einem Umsatzausfall gleichzusetzen ist.

Außerdem müssen unterschiedliche Fähigkeiten im Betrieb so organisiert werden, dass Bedrohungen erkannt und behandelt werden können (Threat Mitigation) und effektiv auf Störungen reagiert werden kann (Incident Response). So muss beispielsweise im Rahmen des Risikomanagements die OT eine Einschätzung zum Schadensausmaß liefern, während seitens der IT (-Security) eine Beurteilung der Eintrittswahrscheinlichkeit und Vorschläge für Gegenmaßnahmen erfolgen.

Dies trifft auch auf die Zusammenarbeit im Rahmen eines Incident Response Szenarios zu. Zum Beispiel muss die OT festlegen, ob und wie lange eine Anlage abgeschaltet wird, damit die IT-Security den Vorfall identifizieren und beheben kann.

6) Kosten- und Effizienzvorteile eines „Managed SOC“

Die zunehmende Komplexität und Häufigkeit von Bedrohungsszenarien macht die kontinuierliche Auseinandersetzung mit Security Operations und damit die Implementierung eines SOC unumgänglich. Die Herausforderung in der Umsetzung besteht meist in begrenzen Ressourcen. Ein „SOC as a Service“ bietet eine valide Alternative, die jeweiligen Security-Engpässe von Fachkräften und Budgets zu überwinden. Damit der Mehrwert eines SOC greifen kann, sind spezielle Kompetenzen der Mitarbeiter und dedizierte Systeme notwendig. Extern beauftragte SOC Spezialisten haben durch die Vielzahl von betreuten Kunden aus unterschiedlichen Branchen eine umfassende Kenntnis über aktuelle Bedrohungen und einen routinierten Umgang mit den erforderlichen Schutzmaßnahmen. Im Idealfall können Störfälle deutlich schneller gelöst und dadurch auch die Kosten eines Sicherheitsvorfalls reduziert werden. Nichtsdestotrotz sollte dennoch kritisch hinterfragt werden, wie die Experten bei einem Vorfall bei mehreren Kunden Ihre Verfügbarkeit priorisieren.

Ein solcher Service hat natürlich auch seinen Preis. Die meiste Zeit verbringt ein SOC Basis-Analyst mit dem Monitoring der Systeme, ohne dass ein Vorfall stattfindet. Sicherlich besteht die Möglichkeit solche Leerlaufzeiten durch das eigene Betriebspersonal zu erbringen. Ein hausinternes Security-Team ist näher und vertrauter mit der Infrastruktur und kann in einfachen Störfällen schnell tätig werden. Durch ein betriebseigenes Monitoring können die Ausgaben erheblich minimiert und die Aufgaben der SOC Spezialisten auf die Erkennung und Lösung von mehrschichtigen, komplexen Angriffsszenarien konzentriert werden.

7) Kooperation verschiedener SOCs fördern

Des Weiteren macht auch die Zusammenarbeit verschiedener SOCs, beispielweise aus der gleichen Branche, zunehmend Sinn. Um Angriffe im Ansatz zu erkennen, ist ein aktueller Wissensstand besonders wichtig. Neu entdeckte Exploits, erkannte Muster in Malware und typische Vorgehensweisen von Angreifern sorgen für eine effektive Thread Intelligence. Hierfür müssen die jeweiligen Unternehmen aus Ihrer Isolation heraustreten und offen für einen Informationsaustausch werden. Teilt ein Informationspartner die Hintergründe eines Sicherheitsvorfalls mit Ihnen, kann dieser vielleicht vorausschauend in Ihrem Betrieb verhindert werden. Das gilt natürlich auch umgekehrt.

Fazit

Insgesamt hilft ein SOC vor allem dabei, die Security-Strategie weg von punktuellen Einzelmaßnahmen hin zu einer ganzheitlichen Überwachung und damit schnelleren und effektiveren Bekämpfung von Störfällen zu führen. Das Ergebnis ist ein dynamisches und flexibles Security Konzept, welches sich der bestehenden Sicherheitslage anpasst. Auch lässt sich der Erfolg der Security-Maßnahmen einfach messen und kann somit weiter optimiert werden. Diese neu erlangte Übersicht über die Sicherheitslage der eigenen IT- und OT-Infrastruktur, liefert aussagekräftige Reports, welche wiederum die Grundlage für eine fundierte Planung und Budgetierung für weitere Investitionen bietet.

Herzlichen Dank an Justus Reich – Security Solutions Architect bei IBM – für die Unterstützung beim Entwurf des Artikels!

Der Kern hinter jedem der genannten Best-Practices ist der gelebte Austausch und Kooperation, egal ob zwischen internen Abteilungen und Mitarbeitern oder mit externen Dienstleistern. Fördern Sie daher die Zusammenarbeit nicht nur auf fachlicher, sondern auch auf menschlicher Ebene.