Eine innovative Methode und technologische Lösungen zur Vereitelung von Cyberattacken auf Versorgungsgesellschaften
Es gibt solide Fakten, die nahe legen, dass eine Harmonisierung der Risiko- und Schwachstellenanalysemethoden die methodologischen Sicherheits- und Präventionsrahmen, die auf eine Minimierung des Cyberrisikos in den Wasser-, Gas- und Energiesektoren abzielen, erheblich verbessern kann. Dessen ungeachtet, versäumt es die Forschung, die Bedeutung dieses Verhältnisses zwischen industriellem Prozessfehlverhalten (Industrial Process Misbehaviour, IPB) sowie Methoden im Bereich der kommunikations- und softwarebezogenen Bedrohungen (Communication and Software-Related Threats, CATh) zu erkennen. In Kombination könnten die beiden Techniken eine wirksame Bekämpfung ansteigender Cyberbedrohungen ermöglichen. Ein industrielles Prozessfehlverhalten (IPB) findet statt, wenn ein Angreifer an die Zugriffsrechte eines Benutzers gelangt und Handlungen durchführt, die scheinbar rechtmäßig sind, jedoch auf eine Störung industrieller Prozesse abzielen. Bei kommunikations- und softwarebezogenen Bedrohungen (CATh) trifft ein Angreifer Computer, Netzwerke, Sensoren, speicherprogrammierbare Steuerungen (PLCs) oder Funksignale, um Fehler im SCADA-System (Supervisory Control And Data Acquisition) auszulösen. Dies ist möglich, da Software-Schwachstellen ausgenutzt werden. Bislang haben Forscher diese beiden einander ergänzenden Verfahren getrennt betrachtet, ohne Parallelen zu ziehen. „Die vorgeschlagene Innovation bestand in einer Optimierung der beiden Techniken zur Verbesserung der Präventions- und Detektionskapazitäten gegenüber Cyberattacken, bei denen neben Cybernetzwerken Hardware- und Softwaresystem-Netzwerke genutzt werden“, sagt Dr. Giorgio Sinibaldi, Projektkoordinator des EU-finanzierten Projekts PREEMPTIVE (Preventive methodology and tools to protect utilities). „Die Anwendung dieses innovativen Ansatzes auf Versorgungsgesellschaften, die stark auf industrielle Netzwerke und automatisierte Steuersysteme angewiesen sind, sollte diese Netzwerk-Schwachstellen drastisch reduzieren.“ Insgesamt gesehen wurde über das Projekt die Prävention von Cyberattacken auf Hardware- und Softwaresysteme wie z. B. SCADAs, PLCs und vernetzte elektronische Sensorsysteme adressiert. Das Projekt war außerdem auf Überwachungs- und Diagnostiksysteme ausgerichtet, die zur Unterstützung der kritischen Dienstleistungen von Versorgungsnetzen genutzt werden. Innovative Tools für die Sicherheitsrisikobewertung und Einbruchmeldung Im Rahmen von PREEMPTIVE wurde ausgehend von diesem dualen Ansatz, der sowohl ein industrielles Prozessfehlverhalten als auch softwarebezogene Bedrohungen berücksichtigt, eine Suite von Präventions- und Detektions-Tools konzipiert und entwickelt, um die Sicherheit für SCADA-Versorgungsnetze zu steigern. „Die größte Stärke des Projekts liegt in der gleichzeitigen Analyse der industriellen Prozesse in der physischen Domäne und der Cyber-Assets in der Cyber-Domäne“, erklärt Dr. Sinibaldi. Ein Tool-Satz erkennt anomale und bösartige Aktivitäten bei kritischen Systemen. Der andere Satz erkennt ein abnormales Verhalten auf der Ebene des industriellen Prozesses. Es wurden Richtlinien erstellt, um die identifizierten rechtlichen und ethischen Anforderungen an die Tools und deren Implementierung zu unterstützen. Verbesserung bestehender Sicherheitsrahmen zur Abschwächung von Cyberrisiken Das PREEMPTIVE-Team erstellte einen methodologischen Rahmen zur Verbesserung der aktuellen Sicherheits- und Schwachstellenanalysemethoden, Standards, Richtlinien, Verfahrensweisen und Regelungen für die Sicherung von Versorgungsnetzen vor Cyberattacken. Es wurde überdies ein Bericht über die Komponenten, Kommunikationsprotokolle und Informationsressourcen der industriellen Steuersysteme erstellt, die von Strom-, Gas- und Wasserversorgungsgesellschaften genutzt werden. Die Projektpartner validierten die Software-Tools erfolgreich am Labor eines Energieunternehmens und den Rahmen an einem Gasversorgungswerk. Dank PREEMPTIVE „sollen zukünftige Attacken auf Versorgungsgesellschaften und damit verbundene Industriesektoren minimiert werden“, schlussfolgert Dr. Sinibaldi. „Dies ist ein neuer Ansatz mit CI-Lösungen, der im Vergleich zu ,klassischen’ IKT-Systemen andere Probleme aufweist.“ Die Methoden und Tools sollen die bestehenden Lücken zwischen den Sicherheitsrichtlinien, Praktiken und Technologien schließen. Betreiber, die CI-Assets verwalten sowie Rechts- und regulatorische Organisationen verfügen über ein besseres Gesamtverständnis der Herausforderungen, Probleme und Möglichkeiten, die bei Umgebungen mit kritischer Infrastruktur beinhaltet sind.
Schlüsselbegriffe
Cyberattacken, industrielles Prozessverhalten, kommunikations- und softwarebezogene Bedrohungen, PREEMPTIVE, Versorgungsgesellschaften