Managed Detection and Response: Angriffe erkennen und richtig behandeln

Wir haben Sebastian Wegner, Leiter Serviceentwicklung beim Managed Detection and Response– und Security-Experten r-tec, gefragt, worauf es ankommt.

Cybersicherheit hat höchste Priorität

Herr Wegner, warum sollten Produktionsunternehmen besonderen Fokus auf die Cybersicherheit richten?

Sebastian Wegner: Cyberkriminelle gehen heute organisiert vor. Daher gelingt es ihnen immer häufiger, auch in gut gesicherte Netzwerke einzudringen und lange genug unentdeckt zu bleiben, um schwerwiegende Schäden zu verursachen. Dabei sind Produktionsunternehmen besonders beliebte Ziele. Das liegt vor allem daran, dass ein Produktionsausfall mit enormen finanziellen Schäden und Reputationsverlusten einhergehen kann. Entsprechend groß ist die Chance für Cyberkriminelle, hohe Erpressungsgelder zu erbeuten. Unsere Erfahrung hat gezeigt, dass solche Cyberangriffe in den meisten Fällen Schäden zwischen 80.000 und 1.000.000 Euro verursachen. Dabei hängt die Größe des Schadens nicht unbedingt von der Unternehmensbranche oder -größe ab, sondern eher von der Zeitspanne zwischen Angriffsbeginn und Eindämmung.

Je länger ein Angreifer ungehindert agieren kann, desto höher ist also der verursachte Schaden?

Wegner: Genau. Wir empfehlen daher für OT-Umgebungen drei aus unserer Sicht unverzichtbare Schritte: Der erste ist, für Transparenz zu sorgen. Denn oft wissen die Verantwortlichen in den Unternehmen ad hoc nicht, welche Assets es überhaupt gibt, welcher Patchstand vorliegt, welche Schwachstellen vorhanden sind, welche Kritikalität für die jeweilige Fertigungsstraße besteht beziehungsweise welche Kommunikationsbeziehungen es gibt. Es müssen, um es einfach zu sagen, viele Fragen beantwortet werden, um Angriffe überhaupt schnell und sicher erkennen zu können. Ohne Visibilität keine Angriffserkennung.

Und der zweite unverzichtbare Schritt?

Wegner: Nach dem ersten Schritt weiß ich, welche Bereiche miteinander kommunizieren müssen. Mit diesem Wissen kann ich im zweiten Schritt eine Separierung durchführen. Diese ist jedoch in bestehenden Anlagen oft sehr schwer umsetzbar. Daher kommt die virtuelle Separierung ins Spiel. Dabei unterteile ich das OT-Netz in virtuelle Segmente. Der Clou ist, dass ich nun alle Verbindungsversuche, die etwa während eines Angriffs über die virtuellen Grenzen hinweg aufgebaut werden sollen, mithilfe von technischen Lösungen erfassen und melden kann.

Und der letzte Schritt?

Wegner: Jetzt richte ich eine Anomalieerkennung ein. Dazu nutze ich Systeme, die zunächst ein Normalverhalten in der zu überwachenden OT-Umgebung beobachten beziehungsweise definieren und anschließend alle Abweichungen oder Anomalien melden können. Nun braucht ein Unternehmen entsprechendes Personal, um die gemeldeten Abweichungen zu überprüfen und gegebenenfalls zu handeln. Das bringt mich zu einem vierten Schritt.

Der wäre?

Wegner: Die besten Schutz- und Erkennungsmaßnahmen bringen nichts, wenn Sie nicht in der Lage sind, angemessen zu reagieren, sobald ein möglicher Angriff erkannt wird. Deshalb brauchen Sie erfahrene Experten, die ein schnelles, strukturiertes und für die Schwere und Art des Vorfalls angemessenes Vorgehen sicherstellen.

Managed Detection and Response als Lösung

Dazu dient Managed Detection and Response?

Wegner: Genau. Die Schritte eins und zwei lassen sich mithilfe von entsprechenden technischen Lösungen umsetzen. Wenn es jedoch darum geht, erkannte Abweichungen zu qualifizieren, Maßnahmen abzuleiten und diese umzusetzen, braucht es technische Expertise, die rund um die Uhr verfügbar sein muss. Mit dem Begriff Managed Detection and Response oder MDR werden Dienstleistungen umschrieben, bei denen Abweichungen und Auffälligkeiten zunächst von verhaltensbasiert arbeitenden technischen Lösungen identifiziert und anschließend von Experten untersucht und bewertet werden.

Wie gehen die Experten dabei vor?

Wegner: Ihre Aufgabe ist es, die gesammelten Informationen zu lesen, wenn ein Vorfall eintritt. Das heißt, sie ergründen, welchen Einstieg ein Angreifer gewählt hat, wie weit dieser fortgeschritten ist, welche Geräte er unter seine Kontrolle gebracht hat und welche Geräte oder Netzbereiche gefährdet sind.

Welchen Vorteil haben OT- gegenüber klassischen IT-Umgebungen in Sachen Sicherheit?

Wegner: Zum einen sind sie relativ deterministisch. Das heißt, es gibt wenig neue Kommunikationsteilnehmer und -beziehungen. Die Zahl der verwendeten Protokolle ist ebenfalls überschaubar und es kommen selten neue Protokolle hinzu. Dieser Umstand spielt der Angriffserkennung in die Karten: Wenn zum Beispiel ein Angreifer versucht, eine neue Kommunikationsbeziehung aufzubauen, weil er sich in der OT-Umgebung ausbreiten möchte, wird die Anomalieerkennung dieses Verhalten sofort als auffällig einstufen und Alarm schlagen. Zum anderen läuft der Großteil der Kommunikation in OT-Umgebungen noch immer unverschlüsselt ab. So kann der Netzwerkverkehr einfach mitgelesen und ausgewertet werden.

Die richtige Reaktion auf den Angriff

Wir wurden angegriffen! Was nun? Wie halten wir die Schäden gering?

Wegner: Ideal wäre, dass der Angriff ins Leere läuft und wir dafür bereits entsprechende Schutzmaßnahmen getroffen haben. Aber hundertprozentigen Schutz gibt es nicht. Deshalb ist die Implementierung einer modernen Angriffserkennung wichtig. Um deren Effektivität sicherzustellen, sollten vier essenzielle Voraussetzungen erfüllt werden: Erstens muss die initiale Erkennung schnellstmöglich erfolgen. Zweitens müssen alle für die Eindämmung relevanten Informationen an zentraler Stelle durchsuchbar sein. Drittens müssen erfahrene Experten sich der Sache sofort annehmen. Viertens muss das Vorgehen der Experten für die unterschiedlichen Security-Incident-Typen wie Ransomware oder Data Leak klar definiert und erprobt sein.

Außerdem sollten für alle Eventualitäten definierte Ablaufpläne vorliegen. Die Reaktion kann dabei vielfältig erfolgen und ist abhängig von der Kritikalität des Vorfalls. Wie reagiert werden muss, hängt beispielsweise davon ab, welche Geräte betroffen sind, wie weit der Angreifer vorgedrungen ist und ob der Betrieb einer Fertigungsstraße gefährdet ist. Es kann sein, dass bestimmte Systeme isoliert werden müssen, um den Angriff einzudämmen. Der ständige Kontakt der Security-Experten mit dem Betriebsverantwortlichen ist daher essenziell: Er muss informiert sein, bevor technische Abwehrmaßnahmen Teile der OT-Umgebung lahmlegen. Zudem bestehen je nach Unternehmen, Branche und Art des Incidents Meldepflichten, die eingehalten werden müssen. Gegebenenfalls müssen die verantwortlichen Personen einen Arbeitskreis bilden, der neben den Firmen- und Produktionsverantwortlichen auch die Pressestelle, die Rechtsabteilung und weitere Mitarbeiter umfasst.

Welche Expertise bringt r-tec bei akuten Angriffen mit?

Wegner: Wir können Produktionsunternehmen bei der Entdeckung, Analyse, Eindämmung und Untersuchung von Angriffen betreuen und unterstützen. Zudem helfen wir bei der genauen Rekonstruktion des Angriffsverlaufs und, falls erforderlich, beim vollständigen Wiederaufbau der Umgebung. Zudem überwachen wir die Systeme, um sicherzustellen, dass ein gestoppter Angreifer nicht erneut aktiv wird. Anschließend können wir die IT-Security-Maßnahmen des Kunden überprüfen und gegebenenfalls optimieren. Im Rahmen unseres MDR-Service nutzen wir etablierte, für OT-Umgebungen geeignete technische Lösungen.

Herr Wegner, wir danken Ihnen für dieses Gespräch.