7 Best-Practices für den Aufbau eines SOC im OT-Umfeld

Inhaltsverzeichnis

    Durch die steigende Vernetzung in Produktionsanlagen und kritischen Infrastrukturen sind die Arbeitsprozesse zwar effizienter geworden, jedoch werden dadurch auch Einfallstore für Bedrohungen und digitale Angriffe in die vormals abgeschotteten Bereiche geöffnet. Das macht es zwingend erforderlich, dass dort sowohl präventiv Schwachstellen rechtzeitig erkannt und beseitigt werden als auch im Ernstfall konkrete Bedrohungen und Störungen schnell entdeckt werden und eine durchdachte und koordinierte Reaktion erfolgen kann. Hierzu benötigt man eine zentrale Stelle im Betrieb, die sich ganzheitlich und dynamisch der Security aller Komponenten der Infrastruktur widmet, ein sogenanntes Security Operations Center, kurz SOC.

    Die Aufgabe eines SOC ist es, Technologien, Prozesse und Mitarbeiter unter der Verantwortung, sich dem zentralen Schutz der IT-Infrastruktur eines Unternehmens zu widmen, zu vereinen und deren Zusammenwirken intelligent zu organisieren.

    Soweit die Theorie. Leider ist es in der Praxis nicht ganz so einfach. Meist ist es historisch bedingt, dass die Betriebs-IT, das Anlagenpersonal und die IT-Abteilung, die für die Office-Infrastruktur zuständig ist, getrennt agieren. Es fehlt eine ganzheitliche Zusammenarbeit, die über Abteilungs- und Verantwortungsgrenzen hinweg erfolgt. Eine organisatorische Richtlinie, welche regelt, wie bei Präventionsmaßnahmen und Incident Response zusammengearbeitet werden muss, existiert meistens nicht. Darüber hinaus sind Budgetgrenzen und der Fachkräftemangel weitere Gründe, warum diese notwendige, zentrale Instanz häufig vernachlässigt wird.

    Es stellt sich nun die Frage, wie ein Security Operations Center für die Absicherung vernetzter Industrieanlagen aufgesetzt werden sollte, welches auch die genannten Herausforderungen berücksichtigt. Im Folgenden sind daher die sieben wichtigsten Best Practices für ein SOC aufgeführt, die in der Praxis funktionieren.

    1) SOC als Schnittstelle für alle Beteiligten

    Wie es auch schon die IEC 62443 vorschlägt, haben alle Rollen, vom Betreiber über den/die Hersteller bis hin zu den Integratoren, ihren Anteil an der Verantwortung, damit die Verfügbarkeit einer Anlage gewährleistet wird. Ein SOC stellt als zentrale koordinierende Instanz die Schnittstelle zu allen beteiligten Bereichen dar. Für eine strukturierte Implementierung von Security Operations müssen zum Beispiel die Anforderungen an Hersteller und Lieferanten formuliert und eine Risikobewertung und entsprechende Lösungsansätze unter entsprechender Einbeziehung von Anlagenplaner und Integrator erstellt werden. Im Vorfeld muss dann auch die Abnahme und die Kontrolle darüber erfolgen, ob Systemintegratoren die geforderten Security-Funktionen nach den Richtlinien und Prozeduren korrekt implementieren und die Hersteller die geforderten Security-Merkmale in ihren Produkten abbilden.

    2) Einen zentralen Kommandostand aufsetzen

    Zunächst sei gesagt, dass die Einrichtung eines SOC vorrangig eine organisatorische Aufgabe ist und die Rollen und Aufgabenverteilung auch von einer oder einer kleinen Anzahl an Personen geleistet werden kann. Das räumt mit dem Vorurteil auf, dass die Einrichtung eines SOC gleich mit einem hohen Kostenaufwand verbunden ist. Durch diese neue Herangehensweise im Umgang mit Sicherheitsvorfällen ändern sich existierende Aufgaben und Kompetenzen und es kommen neue hinzu. Dies ermöglicht die Verantwortlichkeiten von vorhandenen Mitarbeitern zu transformieren und zu erweitern.

    Wenn es die individuellen Bedingungen zulassen, dann ist es sinnvoll, einen zentralen Raum für die Zusammenarbeit und Koordination der betroffene Mitarbeiter zur Verfügung zu stellen. In einem solchen Leitstand können die Statusinformationen von Netzwerken, Servern, Rechnern und Services in Dashboards und Diagrammen zur schnellen Interaktion auf Monitoren für alle sichtbar dargestellt werden und Security-Analysten proaktiv und reaktiv in der direkten Kommunikation mit den anderen Instanzen gegen Störungen vorgehen. Dabei ist es unerheblich, ob diese durch eine interne Fehlkonfiguration oder einen externen Cyberangriff verursacht sind.

    Wie schon erwähnt, ist ein Security Operations Center maßgeblich eine organisatorische und leitende Instanz, die im Minimalfall von einer – allerdings für diese Aufgabe dedizierten – Person besetzt sein sollte. Die Übernahme dieser Funktion durch die IT- oder Betriebsleitung sorgt erfahrungsgemäß zu Konflikten. So werden entweder Security-Themen vernachlässigt oder es entstehen Uneinigkeiten mit der jeweils anderen Partei. Sinnvoll ist eine neutrale Person, mit einem von IT und Betrieb unabhängigen Berichtsweg.

    3) Proaktive Maßnahmen implementieren

    Proaktive Tätigkeiten dienen dazu, Störfälle bereits im Vorfeld zu erkennen und somit zu vermeiden und geeignete Schutzmaßnahmen zu etablieren. Als Beispiele hierzu seien genannt:

    • Security Assessments:
      • Bestandsaufnahme aller vorhandenen aktiven und passiven Komponenten der Infrastruktur sowie das Erfassen und die Dokumentation der gesamten Netzwerktopologie
      • Suchen und Erkennen von Schwachstellen in der Infrastruktur und deren Beseitigung
    • Aufsetzen eines zentralen Managements aller vorhandenen Security Appliances
    • Betrieb und Wartung von Security-Lösungen: Firewalls, IDS/ IPS Systeme, DDOS-Schutz, Identitätsmanagement, SIEM etc.
    • Incident-Response-Planung: Durchdenken von organisatorischen und technischen Regelungen und Maßnahmen, um für den Ernstfall gewappnet zu sein
    • Absicherung von Netzwerkbereichen durch Segmentierung und Firewalls
    • Etablierung eines Patch-Managements
    • Sicherheitsrelevante Einschätzung und Vorauswahl von Herstellern und Lieferanten für die Anschaffung von neuen Systemen
    • Reporting zur Arbeit des SOC über alle sicherheitsrelevanten Systeme (Erfüllung von Security Levels und Compliance Nachweisen)
    • Regelmäßige Analysen zur aktuellen Bedrohungslage (sind die Systeme von aktuellen Exploits betroffen?)

    4) Reaktive Maßnahmen implementieren

    Vor dem Hintergrund, dass Cyberangriffe hinsichtlich Ihrer Komplexität und Häufung stetig steigen, reicht es heutzutage nicht mehr aus, sich lediglich den vorbeugenden Maßnahmen zu widmen. Es muss davon ausgegangen werden, dass diese proaktiven Schutzmaßnahmen in unbestimmter Zeit überwunden werden. Der Fokus sollte auf einer kontinuierlichen Überwachung in Echtzeit und der Vorbereitung erprobter Maßnahmen als Reaktion auf Auffälligkeiten liegen. Beispiele hierzu wären:

    • Definition eines Soll-Zustands: Erfassung aller OT- und IT-Assets und ihrer notwendigen Verbindungen
    • Aufsetzen eines betriebseigenen Security Monitorings – Aufgrund des limitierten Einsatzes von Monitoring-Agenten im OT Bereich wird das Monitoring optimalerweise durch eine „Echtzeit“-Überwachung des Netzwerkverkehrs verstärkt.
    • Dies ermöglicht eine unmittelbare Erkennung von Anomalien und deren Klassifizierung
    • Alarmierung bei erkannten Angriffen und Störfällen
    • Reaktion (Incident Response) auf Störungen, erkannte Anomalien und Angriffe mit fortlaufender Information über deren Status
    • Bereithaltung und Aufbereitung von aufgezeichneten Daten für die forensische Untersuchung während und nach einem Vorfall
    • Bedrohungs- und Risikoanalysen: fortlaufende Beurteilung eines sich stetig ausweitenden und verändernden Bedrohungsfelds

    5) IT und OT im SOC zusammenführen

    Im Kontext von Produktionsanlagen und KRITIS ist es wichtig zu verstehen, dass ein SOC als eine gemeinsame und übergreifende Aufgabe von IT und OT Bereich verstanden wird, die nur im Teaming effizient umgesetzt werden kann. Durch die Konvergenz von IT und OT steigt das Schadensausmaß von Cyberangriffen in einer drastischen Form an, da sich Störfälle in einer der beiden Domänen unmittelbar auf die andere auswirken bzw. sie sogar mit beeinträchtigen oder schädigen können. Von daher ist es alternativlos, dass die Security Operations für beide Bereich zusammengeführt werden müssen.

    Es ist wichtig, dass beide Parteien ein gegenseitiges Verständnis für die unterschiedliche Technologie und Motivation für Security entwickeln. Den Lebenszyklen von 3-5 Jahren von Komponenten im IT Bereich stehen Laufzeiten von 20 Jahren und mehr im OT Bereich gegenüber. Dies führt zu vollkommen unterschiedlichen Schutzstrategien, da in der IT in der Regel Sicherheits-Updates über die Lebenszeit eines Gerätes bereitgestellt werden, ganz anders als im OT- Bereich. Ein weiterer Unterschied ist z.B. die Anforderung an die Echtzeitfähigkeit der Steuerungselektronik, die durch ein nachträgliches Security Update gefährdet sein kann. Und während für den IT-Bereich das Stoppen von bestimmten Komponenten und Services zur Eindämmung einer Störung ein durchaus valides Mittel ist, steht in einer Produktionsumgebung der ungestörte Ablauf der aufeinander abgestimmten Produktionsschritte im Mittelpunkt, um die Herstellung des Produkts nicht zu gefährden oder das aufwendige Hochfahren des Produktionsprozesses nach einer ungeplanten Auszeit zu verhindern. Eine stehende Produktion ist mit einem Umsatzausfall gleichzusetzen.

    Außerdem müssen unterschiedliche Fähigkeiten im Betrieb so organisiert werden, dass Bedrohungen erkannt und behandelt werden können (Threat Mitigation) und effektiv auf Störungen reagiert werden kann (Incident Response). So muss beispielsweise im Rahmen des Risikomanagements die OT eine Einschätzung zum Schadensausmaß liefern, während seitens der IT (-Security) eine Beurteilung der Eintrittswahrscheinlichkeit und Vorschläge für Gegenmaßnahmen erfolgen.

    Dies trifft auch auf die Zusammenarbeit im Rahmen eines Incident-Response-Szenarios zu. Zum Beispiel muss die OT festlegen, ob und wie lange eine Anlage abgeschaltet wird, damit die IT-Security den Vorfall identifizieren und beheben kann.

    6) Kosten- und Effizienzvorteile eines Managed SOC

    Die zunehmende Komplexität und Häufigkeit von Bedrohungsszenarien macht die kontinuierliche Auseinandersetzung mit Security Operations und damit die Implementierung eines SOC unumgänglich. Die Herausforderung in der Umsetzung besteht meist in begrenzen Ressourcen. Ein „SOC as a Service“ bietet eine valide Alternative, um die jeweiligen Engpässe von Fachkräften und Budgets hinsichtlich Security zu überwinden. Damit der Mehrwert eines SOC greifen kann, sind spezielle Kompetenzen der Mitarbeiter und dedizierte Systeme notwendig. Extern beauftragte SOC-Spezialisten haben durch die Vielzahl von betreuten Kunden aus unterschiedlichen Branchen eine umfassende Kenntnis über aktuelle Bedrohungen und einen routinierten Umgang mit den erforderlichen Schutzmaßnahmen. Im Idealfall können Störfälle deutlich schneller gelöst und dadurch auch die Kosten eines Sicherheitsvorfalls reduziert werden. Nichtsdestotrotz sollte kritisch hinterfragt werden, wie die Experten bei einem Vorfall bei mehreren Kunden Ihre Verfügbarkeit priorisieren.

    Ein solcher Service hat natürlich auch seinen Preis. Die meiste Zeit verbringt ein SOC-Basis-Analyst mit dem Monitoring der Systeme, ohne dass ein Vorfall stattfindet. Sicherlich besteht die Möglichkeit, solche Leerlaufzeiten durch das eigene Betriebspersonal abzudecken. Ein hausinternes Security-Team ist näher und vertrauter mit der Infrastruktur und kann bei einfachen Störfällen schnell tätig werden. Durch ein betriebseigenes Monitoring können die Ausgaben erheblich minimiert und die Aufgaben der SOC Spezialisten auf die Erkennung und Lösung von mehrschichtigen, komplexen Angriffsszenarien konzentriert werden.

    7) Kooperation verschiedener SOCs fördern

    Die Zusammenarbeit verschiedener SOCs, beispielweise aus der gleichen Branche, macht Sinn, denn ein aktueller Wissensstand ist besonders wichtig, um Angriffe im Ansatz zu erkennen. Neu entdeckte Exploits, erkannte Muster in Malware und typische Vorgehensweisen von Angreifern sorgen für eine effektive Thread Intelligence. Hierfür müssen die jeweiligen Unternehmen aus ihrer Isolation heraustreten und sich für einen Informationsaustausch öffnen. Teilt ein Informationspartner die Hintergründe eines Sicherheitsvorfalls mit Ihnen, kann dieser vielleicht vorausschauend in Ihrem Betrieb verhindert werden. Das gilt natürlich auch umgekehrt.

    Fazit

    Insgesamt hilft ein SOC vor allem dabei, die Security-Strategie weg von punktuellen Einzelmaßnahmen hin zu einer ganzheitlichen Überwachung und damit schnelleren und effektiveren Bekämpfung von Störfällen zu führen. Das Ergebnis ist ein dynamisches und flexibles Security-Konzept, das sich der bestehenden Sicherheitslage anpasst. Auch lässt sich der Erfolg der Security-Maßnahmen einfach messen und kann somit weiter optimiert werden. Diese neu erlangte Übersicht über die Sicherheitslage der eigenen IT- und OT-Infrastruktur liefert aussagekräftige Reports, welche wiederum die Grundlage für eine fundierte Planung und Budgetierung für weitere Investitionen darstellt.

    Herzlichen Dank an Justus Reich – Security Solutions Architect bei IBM – für die Unterstützung beim Entwurf des Artikels!

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie die wichtigsten Erkenntnisse und Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung