Eine Angriffserkennung, die automatisiert und in Echtzeit über IT-Sicherheitsvorfälle informiert, ist für Unternehmen schon aus reinem Selbstschutz sinnvoll. Für immer mehr Firmen wird dies sogar zur Pflicht. Denn neben KRITIS-Betreibern müssen ab Mai 2023 auch Betriebe, die allein wegen ihrer Größe von besonderem öffentlichem Interesse sind, sowie deren Zulieferer Maßnahmen gegen Hackerangriffe ergreifen. Das schreibt das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0) vor. Wie Unternehmen die Vorgabe umsetzen, bleibt ihnen selbst überlassen. Gesetzeskonform sind laut einer kürzlich veröffentlichten Handreichung des BDI zwei Lösungen: IDS/IPS und Honeypots.
IDS, IPS und Honeypots
Eine Cybersecurity-Strategie, die sich auf die Abwehr von Eindringlingen ins Netzwerk fokussiert, setzt üblicherweise IDS (Intrusion Detection Systems) und IPS (Intrusion Prevention Systems) kombiniert ein. Beide Systeme arbeiten annähernd gleich, indem sie automatisiert auf Abweichungen von zuvor definierten Parametern reagieren. Dabei dient das IDS als Netzüberwachungs- und Benachrichtigungstool. Es löst Alarm aus, sobald es eine Anomalie erkennt. Das Augenmerk richtet sich dabei auf ein breites Spektrum, das von neu angeschlossenen Geräten über Malware-Verhalten bis hin zu unerwarteten SPS-Programmierungen reicht. Das IPS ergreift Gegenmaßnahmen, indem es nicht autorisierte Datenpakete blockiert oder Verbindungen unterbricht. Im besten Fall werden Angreifer so ausgesperrt.
Mit Honeypots locken
Eine andere Taktik verfolgen Honeypots. Dabei handelt es sich um Köder, die Angreifer gezielt anlocken sollen. Sie imitieren attraktive Angriffsquellen, etwa Server, Steuerungen oder PCs. Als virtuelle Maschinen in die Infrastruktur integriert, sind sie einfach zu finden und weisen bewusst Sicherheitslücken auf, die Hackern vermeintlich Tür und Tor öffnen. Erfahrungsgemäß wählen Angreifer den einfachsten Weg, indem sie Netzwerke scannen und gezielt nach den anfälligsten Geräten suchen, um darüber einzudringen. Da die Honeypots aber keine realen Bestandteile des Netzes sind, leiten sie Kriminelle systematisch in die Irre. Das bindet bei den Hackern Ressourcen und verschafft zugleich den angegriffenen Unternehmen Zeit, um zu reagieren. Die Methode empfiehlt sich vor allem in Fertigungsbereichen mit Legacy Systemen, älteren Maschinen und Anlagen, für deren Software es keine Updates mehr gibt und Patches nicht aufgespielt werden können. Dasselbe gilt für komplexe Systeme, wie SPSen, auf die gängige Sicherheitssysteme nicht zugreifen können bzw. die proprietäre Protokolle nutzen, die für standardisierte IDS/IPS nicht lesbar sind.
Großflächig einsetzen
Am wirksamsten sind Honeypots, wenn sie großflächig eingesetzt werden und somit eine breite Angriffsfläche bieten. Durch die technische Weiterentwicklung sind sie mittlerweile – auch im Vergleich zu IDS/IPS – kostengünstig und für den Einsatz in der OT einfach konfigurierbar. Auf einer Anwendung lassen sich mehrere zehntausend Honeypots einsetzen. Im Idealfall sollten wichtige Netzsegmente jeweils zur Hälfte aus echten und unechten Systemen bestehen. Cyberangriffe werden normalerweise von langer Hand geplant und innerhalb von Minuten durchgeführt. Honeypots bemerken bereits in einer frühen Phase, wenn jemand unautorisiert im Netzwerk unterwegs ist. Da sie nur bei echten Angreifern, Viren oder Trojanern anschlagen, erzeugen sie wenige, aber dafür qualitativ hochwertige Nachrichten. Anders beim IDS/IPS: Das System schaltet sich erst ein, wenn es Datenanomalien erkennt. Das kann auch Fehlermeldungen bei erwünschten Veränderungen verursachen, etwa, wenn wegen einer Urlaubsvertretung ein Update des Betriebssystems von einem anderen Rechner als üblich erfolgt. Oft verhindert dies, dass Unternehmen Angreifer erkennen.