Share
Beitragsbild zu Im Datenverkehr…Augen auf!

Im Datenverkehr…Augen auf!

Nach bisherigem Stand des Referentenentwurfs zum IT-Sicherheitsgesetz 2.0 sollen Betreiber Kritischer Infrastrukturen zukünftig verpflichtet werden, auch eine Angriffserkennung zu betreiben. Was das konkret bedeuten kann und welche Vor- und Nachteile bestimmte Systeme bringen, werden in Betrachtung des Gesetzentwurfes in diesem Artikel vorgestellt.

„Dass die Cyber-Bedrohungslage in den letzten zehn Jahren aufgrund technologischen Fortschritts, Konsolidierung von Technologien, Kostendruck und sich rasant entwickelnden Angriffstechniken stetig gewachsen ist und daher Handlungsdruck bei allen Beteiligten besteht, ist inzwischen allgemein bekannt. Die Automatisierung in der Industrie hat heute einen so hohen Grad der Vernetzung erreicht, dass eine Produktion ohne sie nicht mehr vorstellbar ist. Die bisherigen Mittel der Abschottung sensitiver Kritischer Infrastrukturen und der Kontrolle der Datenströme stoßen jedoch immer mehr an ihre Grenzen. Die zukünftigen Herausforderungen im Hinblick auf die neuen Anforderungen an eine noch höher vernetzte Industrie 4.0-Umgebung setzen hingegen eine vertrauensvolle Zusammenarbeit aller Beteiligten voraus. Dies gilt besonders angesichts der Tatsache, dass Automatisierungstechnik aufgrund längerer Lebenszeiten, höchster Verfügbarkeitsanforderungen und einer anderen Kultur in Entwicklung und Betrieb grundsätzlich verletzlicher ist als viele Office-IT-Systeme“[1]

[1] Leitfaden Security für den Maschinen – und Anlagenbau Der Weg durch die IEC 62443

Die fortschreitende Vernetzung der cyber-physischen Domäne, wie es in dem einleitenden Zitat beschrieben wird, die vor allem im Bereich von Kritischen Infrastruktur (KRITIS) in den letzten Jahren vollzogen wurde, wird einerseits von Normen und Standards begleitet und andererseits durch Gesetze reguliert. Internationale Organisationen wie die ISO oder die IEC publizieren Kataloge, die verwendet werden können, um Managementsysteme und technische Umgebungen gegen Spezifikationen zu zertifizieren. Auf nationaler Ebene werden Gesetze wie das IT-Sicherheitsgesetz (IT-SiG1) erlassen, die Unternehmen dazu verpflichten einen gewissen Mindeststandard an Sicherheitskonzepten und -maßnahmen einzuführen. Beide Herangehensweisen sind essenziell, um gerade Infrastrukturen von hohem gesellschaftlichen Wert, wie z.B. bereit gestellt durch Energieversorger, Netzbetreiber und Trinkwasserversorger, vor Angriffen zu schützen und so Verfügbarkeit, Integrität und Vertraulichkeit zu gewährleisten.

Das Bundesministerium des Innern, für Bau und Heimat (BMI) erarbeitet mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG2) einen neuen Gesetzesvorschlag, der die Forderungen des IT-SiG1 erweitern soll. Die Entwürfe des IT-SiG2 werden aktuell kontrovers diskutiert. Ein brisanter Punkt ist die Forderung, dass Betreiber Kritischer Infrastrukturen verpflichtet werden sollen, ihre Anlagen mit automatischer Angriffserkennung auszustatten.

In §2 Absatz 9 wird das IT-SiG2 durch folgenden Text erweitert:

„[..] (9b) Systeme zur Angriffserkennung im Sinne dieses Gesetzes sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten.“

Mit §8a Absatz 1 wird außerdem spezifiziert, dass:

„[…] angemessene organisatorische und technische Vorkehrungen zu treffen [sind], umfasst ab dem [nächsten Jahr nach Eintritt des IT-SiG2] auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen. […]“.

Das BMI gibt mit dem IT-SiG2 vor, dass Systeme zur Angriffserkennung in folgenden Sektoren umgesetzt werden müssen:

  • Energieanlagen
  • Energieversorgungsnetze
  • Gasversorgung
  • Wasserversorgung

Neben dem IT-Sicherheitsgesetz führt die ISO inzwischen auch den Einsatz von Angriffserkennung auf. In der ISO/SAE 21434, die den Bereich Automotive-Security behandelt oder der ISO 29180, werden beispielsweise Normen verlangt, die für einen gewissen Grad an Angriffserkennung stehen.

Im Allgemeinen ist ein System zur Angriffserkennung (Intrusion Detection System – IDS) ein weiteres Mittel, um Computernetzwerke und individuelle Computer zu überwachen bzw. zu schützen. Im Gegensatz zu herkömmlichen Firewalls, welche Blacklists von unerwünschten IP-Adressen und Whitelists von vertrauten IP-Adressen und Ports konsultieren, um Netzwerkverkehr zu regeln, blockieren IDS-Systeme in erster Linie keinen Informationsaustausch. Ein Intrusion Prevention System (IPS) hingegen arbeitet wie ein IDS aber mit der Ergänzung, dass es erkannte Bedrohungen vor dem Propagieren blockiert. Der Einsatzort und damit die Art von Daten, die ein IDS (bzw. IPS) verwendet, um Angriffe zu melden oder zu blockieren, kann entweder Host- oder Netzwerk-spezifisch sein.

In einem Host-orientierten Setting verwendet ein IDS Log-Daten, Systemcalls und andere meist textbasierte Formate, um Angriffe zu identifizieren. Der Vorteil dieser Ausrichtung einer Angriffserkennung ist, dass lokale Attacken (in der Theorie) schon erkannt werden können, bevor sie sich über das angeschlossene Netzwerk ausbreiten. Die verwendeten Ausgangsdaten für den Detektionsprozess können jedoch ziemlich spezifisch sein, so dass der verwendete Erkennungsmechanismus potenziell auf sie abgestimmt werden muss.

Ein System zur Angriffserkennung, das mittels Paketen aus dem Netzwerk gespeist wird, kann je nach Positionierung im Netzwerk gleich mehrere Computer schützen. Netzwerk-basierte Angriffserkennung arbeitet auf Basis von extrahierten Feldern aus Protokollen, kompletten Paketen oder zeitlich aggregierten Merkmalen wie der durchschnittlichen Paketgröße. Zugrundeliegende Erkennungsverfahren observieren Muster der Netzwerkkommunikation zwischen Computern, um Angriffe zu identifizieren. Ein IDS dieser Art wird häufig an einen zentralen Switch im Netzwerk installiert und erhält Pakete über einen Port-Mirror.

In beiden spezifischen Einsatzmöglichkeiten sind eindeutige Indikatoren vielfältig und teils von Experten ausgesucht. Die Auswahl von gewissen Parametern macht ein System befangen, da oft nicht klar ist, warum eine Teilmenge von möglichen Merkmalen nicht berücksichtigt wurde. Die verwendeten Parameter (feature) bilden die Grundlage für die Erkennungsverfahren und sind so maßgeblich für ihre Performanz verantwortlich.

Erkennungsmechanismus

Die Art und Weise wie ein eingesetztes IDS Angriffe erkennt, kann klassisch in zwei Herangehensweisen unterschieden werden. Die sogenannten Signatur-basierten Verfahren verfolgen dabei einen Blacklist Ansatz, während im Gegensatz dazu Anomalie-basierte Verfahren entsprechend Angriffe anhand einer Whitelist identifizieren.

Signaturerkennung arbeitet ähnlich wie eine Antivirussoftware. Durch den Abgleich von Signaturen, sogenannten fingerprints, die aus spezifischen Kennzeichen der Quelldaten generiert werden, können bereits bekannte Angriffe von einem IDS entdeckt werden. Um diese Funktionalität zu bieten, muss sichergestellt werden, dass die verwendete Datenbank, die fingerprints von bekannten Angriffen bereitstellt, stets auf den neuesten Stand gehalten wird. Das IT-SiG2 sieht hierzu vor, behördlich Unterstützung in Form einer national gepflegten Malware Information Sharing Plattform (MISP)[1] bereitzustellen. Das Portal erlaubt es Indicators of Compromise (IoC) auszutauschen und so Regeln für ein Security Information and Event Management (SIEM) System abzuleiten.

Die Anomalieerkennung verfolgt einen konträren Ansatz. Mit Hilfe von datengesteuerten Verfahren – maschinellem Lernen – versucht diese Art von Erkennung Attacken zu identifizieren, indem Abweichungen zu bereits bekanntem Verhalten festgestellt werden. Das zweistufige Verfahren sieht vor, dass zunächst ein generelles Abbild von der zugrundeliegenden „normalen“ Datenlage gelernt wird. Nach dieser initialen Trainingsphase kann das gelernte Modell dann jegliche Abweichungen als Anomalie bezeichnen und in der Theorie identifizieren. Diese Herangehensweise erlaubt es, neben gezielten Angriffen auf ein System auch andere unerwünschte Fälle wie Nebeneffekte von Hardwareausfall, erfolglose Angriffe oder andere Störungen zu erkennen. Ein Anomalie-basiertes IDS ist auch in der Lage bei unbekannten Angriffen (zer0days) zu alarmieren, was ihren größten Mehrwert darstellt.

Die Literatur bezeichnet Anomalien als alles, was nicht vom natürlichen und gelernten Prozess generiert wird und kategorisiert sie in drei Klassen:

  • Punktuelle Anomalie

Einzelne isolierte Ereignisse, die nicht konform mit dem erlernten Verhalten sind  (z.B. SQL Injection oder XXS Angriffe)

  • Kollektive Anomalie

Ereignisse, die erst in ihrem kollektiven Eintreten anormal sind und einzeln potentiell der Norm entsprechen. (z.B. DoS Attacken)

  • Kontextuelle Anomalie

Ereignisse, die nur innerhalb eines gewissen Merkmales wie Zeit oder Ort nicht normal sind. (z.B. SSH-Zugriff zu/von einer/einem ungewöhnlichen Zeit/Ort)

[2] Malware Information Sharing Platform

Abbildung-1: A close look on n-grams in Intrusion Detection: Anomaly Detection vs. Classification

Das Lernen von normalem Verhalten ist keine triviale Aufgabe, da gerade in sehr dynamischen Umgebungen komplexe und nicht deterministische Muster den Prozess definieren. In anderen Domänen des maschinellen Lernens können überwachte Trainingsverfahren genutzt werden. Bei überwachten (supervised) Problemen, wie der Klassifikation von Objekten in Bildern, nutzen Verfahren Label um Entscheidungsgrenzen zwischen einzelnen Klassen zu lernen. Da bei der Anomalieerkennung und anderen unüberwachten Problemstellungen keine solche Labels zu unbekannten Mustern existieren können, ist der Lernprozess deutlich schwieriger und fehleranfälliger. Abbildung-1 zeigt grob die
Unterschiede der beiden Problemstellungen.

Um effektiv zu arbeiten, muss ein System zur automatischen Angriffserkennung, das auf Anomalie-basierte Erkennung setzt, folgende Punkte berücksichtigen.

  • Nutzbarkeit

In erster Linie muss ein System zur Angriffserkennung nutzbar sein, das heißt vor allem, dass innerhalb eines Zeitraumes nicht zu viele falsche Alarme generiert werden. Wie angesprochen haben Anomalie-basierte Systeme oft Probleme die Essenz der normalen Daten zu lernen, was dazu führt, dass normale Inhalte fälschlicherweise als anormal bezeichnet werden. Experten müssen generierte Alarme eines IDS deshalb nachverfolgen, um möglichst präventiv Maßnahmen einzuleiten. Bei einer zu hohen Rate an falschen Alarmen ist ein System schlicht nicht mehr gebräuchlich. Weiterhin muss minimiert werden, dass Anomalien gar nicht identifiziert werden, da dies bei erfolgreichen Angriffen erhebliche Kosten verursachen könnte.

  • Erklärbarkeit

Wenn ein Alarm von einem IDS generiert wird, müssen ihn Experten evaluieren. Oft schaffen diese Systeme es nicht zu signalisieren, warum ein Ereignis anormal ist, lediglich, dass es sich um eine potenzielle Anomalie handelt. Diese als semantic gap bezeichnete Lücke kann die Triage eines Alarmes erschweren und sollte in eingesetzten Systemen unbedingt berücksichtigt werden.

  • Echtzeit

Der Anspruch auf Reaktion in Echtzeit ist hauptsächlich für den Ansatz der Intrusion Prevention wichtig, da erkannte Bedrohungen möglichst sofort blockiert werden müssen. Natürlich soll ein eingesetztes System im Allgemeinen nicht zu lange brauchen, um eine Entscheidung zu treffen, da jede verstreichende Minute kostbare Zeit für potenzielle Angreifer bedeuten kann.

  • Skalierbarkeit

Ein verwendetes System ist möglicherweise jahrelang im Einsatz. Im Laufe der Zeit kann es jedoch möglich sein, dass die Umgebung und damit der verwendete Hardware-Stack aufgerüstet wird oder dass während der Einsatzphase neue Software-Komponenten auftreten können. Ein System zur automatischen Angriffserkennung sollte mit diesen Veränderungen umgehen können, um langfristig von Nutzen zu sein.

Abbildung-2: Alarm eines SQL-Injection Angriffes

In der Forschung ist das Thema Intrusion Detection auf Basis von Anomalien mindestens seit der Publikation des KDD-DARPA 1999 Datensatz[1], der Netzwerkverkehr eines US-Flugzeugträger bereitstellt, ein Thema und erhielt nicht zuletzt durch die Fortschritte im Bereich der künstlichen Intelligenz[2] neue Forschungsresultate. In der Vergangenheit wurden oft Protokoll-Parser eingesetzt, die Netzwerkpakete tief analysierten, um Merkmale zu extrahieren (Deep Packet Inspection – DPI). Durch den Einsatz von Verfahren zur automatischen Repräsentationextraktion (feature learning), konnte dieser Prozess nun auch ohne Mehraufwand und Wissen über Protokollspezifikation optimiert werden. Die Technik erlaubt es, ohne etwaige Vorgaben aus Quelldaten, relevante Merkmale zu lernen. Feature learning kann so Modelle bilden, die benutzt werden können, um Anomalieerkennung zu betreiben. Dies ermöglicht den Einsatz der Technik für verschiedene, teils proprietäre, Protokolle im Rahmen der automatischen Angriffserkennung.

Auch Konzepte aus dem Bereich Natural Language Processing (NLP) finden immer mehr Aufmerksamkeit in diesem Forschungsgebiet. Autoren des Artikels „Attentional Payload Anomaly Detector for Web Applications“ publizierten mithilfe von Techniken des NLP beispielsweise ein Modell, das nicht nur Anomalien identifizieren kann, sondern auch dabei hilft, zu indizieren, welche Teile des HTTP-payloads laut Modell besonders bedrohlich sind. Die Abbildung-2 zeigt die prototypische Ausgabe des Ansatzes für eine SQL-Injection

[1] KDD Cup 1999 Data

[2] AI-Winter

Kritik am Entwurf

Angriffserkennung kann wie beschrieben in verschiedenen Kontexten mit unterschiedlichen Erkennungsverfahren implementiert werden. Ob ein IDS Host- oder Netzwerk-basiert eingesetzt wird, hat dabei einen Einfluss auf dessen Stärken, da die beiden Einsatz-Domänen unterschiedliche Ziele verfolgen. Auch beide benannten Erkennungsstrategien haben in beiden Szenarien verschiedene Vorteile, die in der nachfolgenden Tabelle grob gegenübergestellt werden sollen. Daraus wird deutlich, dass die jeweiligen Schwächen des einen Systems die Stärken des anderen sind, was für einen hybriden Ansatz im Rahmen der Angriffserkennung spricht.

Signatur-basiert Anomalie-basiert
Pro

+ Alarme mit klareren Aussagen

+ Niedrige Fehlerrate

+ Detektion unbekannter Angriffe
Kontra – Signatur Datenbank

– Hohe Fehlerrate

– Semantic Gap

 

In den Begründungen des IT-SiG2, findet sich eine Passage, die sich auf denkbare Fehler einer Angriffserkennung bezieht:

„Die Systeme zur Angriffserkennung sollen die Kommunikationstechnik der Betreiber Kritischer Infrastrukturen möglichst umfassend schützen. Gleichzeitig können Systeme zur Angriffserkennung zum Beispiel im Falle falscher Warnmeldungen auch zu Schäden führen. Gefordert wird daher – entsprechend Absatz 1 – nur ein angemessener Einsatz, dem eine Abwägung der Interessen an einem umfassenden Schutz mit bestehenden Risiken vorgeht.“

Zwar fordert das Gesetz den Einsatz solcher Systeme nach mindestens einem Jahr nach Eintritt des IT-SiG2, doch signalisiert es auch, dass vor allem Anomalie-basierte Verfahren teilweise noch Probleme mit der Nutzbarkeit haben.

Der Bundesverband der Energie- und Wasserwirtschaft (BDEW) positioniert sich gegen eine flächendeckende Einführung von Systemen zu Angriffserkennung im industriellen Umfeld mit der Begründung, dass „Der Einbau einer zusätzlichen, unsicheren Komponente in ein informationstechnisches System zusätzlich neue Gefährdungen entstehen [lässt].“

Gefordert werden Empfehlungen seitens des BSI, an denen sich Betreiber orientieren können. Des Weiteren ist die Forderung, dass Angriffe im Sinne der Intrusion Prevention auch automatisch verhindert werden, nach Einschätzung der BDEW relativ fraglich. Da diese Systeme wie beschrieben teilweise an hohen Fehlerquoten leiden, kann die Prevention des Informationsaustausches potenziell zu unerwünschten Seiteneffekten führen, die die zugrundenliegende physische Anlage negativ beeinträchtigen können. Dies ist besonders im Bereich von Kritischen Infrastrukturen sehr gefährlich. [1]

Letztlich sollte man nicht all seine Hoffnung in den Betrieb von automatischer Angriffserkennung legen, um eine Infrastruktur ausreichend zu schützen, da auch bewährte Maßnahmen wie sichere IT-/OT-Architekturen, starke Zugangs- und Zugriffskontrollen und grundlegend sichere Konfigurationen wichtige Bausteine sind. Es ist auch möglich, andere Kanäle zu verwenden um die Integrität einer Kritischen Infrastruktur zu überwachen. Hätte man beispielsweise das primitive Betriebsgeräusch der Zentrifugen der Urananreicherungsanlage in Natanz abgehorcht, so hätte man früher den Angriff von Stuxnet bemerkt.[2]

[1] Stellungnahme zu einem „Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“

[2] To kill a centrifuge

Angriffserkennung in der Wirtschaft

Wie bereits angesprochen hat der erneute Hype um das Thema der künstlichen Intelligenz nicht nur einen starken Einfluss auf beispielsweise Gebiete der autonomen Fahrzeugsteuerung, Bildverarbeitung oder Empfehlungssysteme, sondern auch im Bereich der Informationssicherheit. Einerseits haben Forschungsarbeiten Produktentwicklungen begünstigt, andererseits werden Verfahren des maschinellen Lernens eingesetzt, um Software zu attackieren[1]. Anbieter von Komponenten, die im KRITIS-Bereich eingesetzt werden, forschen zudem selbst an neuen Möglichkeiten der automatischen Angriffserkennung oder investieren in Firmen, die bereits Produkte in diesem Sektor vermarkten. Die alleinige Verfügbarkeit von geeigneten Produkten ist verständlicherweise nicht ausreichend. Ein Großteil der Aufwände und Kosten entstehen in der Anpassung und dem Anlernen der Lösungen an die zu kontrollierenden Umgebungen sowie im späteren Betrieb. Schließlich müssen die Meldungen eines Systems zur Angriffserkennung durch ausgebildetes Personal beispielsweise in einem SOC verarbeitet und die richtigen Maßnahmen getroffen werden. Hierfür bedarf es eines Wissens über die spezifischen Eigenschaften der Umgebungen und möglicher Anomalien. So ist die Position des Erkennungssystems maßgeblich, da sich das Kommunikationsverhalten im IT- und OT-Bereich und an den Netzübergängen stark unterscheidet. Es gilt im Vorfeld risiko- und betriebsorientiert zu untersuchen, in welchen Umgebungen oder an welchen Schnittstellen eine derartig vertiefte Überwachung sinnvoll ist. Typische zentralisierte Überwachungspunkte sind:

  • Fernwartungszugänge
  • Gateways und DMZ
  • Schnittstellensysteme zwischen IT- und OT-Umgebungen
  • Schnittstellen zur Prozess- / Fernwirktechnik

[1] Simulating SQL Injection Vulnerability Exploitation Using Q-Learning Reinforcement Learning Agents

Skalierungseffekte aus einer hoher Anzahl von Betriebsstandorten sind ebenfalls zu berücksichtigen. Ein positiver Effekt wird sich erfahrungsgemäß relativ schnell einstellen. Das Mithören des Datenverkehrs, sofern möglich, und dessen Auswertung werden gerade in der Anfangsphase viele Optimierungs- und Aufräummöglichkeiten aufgrund von unsicherer oder betrieblich nicht notwendiger Kommunikation erkennen lassen.

Fazit

Das IT-Sicherheitsgesetz 2.0 beinhaltet einige Tücken und technische Feinheiten mit der grundsätzlichen Absicht, das Leben in Abhängigkeit von Kritischen Infrastrukturen sicherer zu machen. Der hier beleuchtete Aspekt der Angriffserkennung ist grundsätzlich begrüßenswert, ist aber per Problemstellung inhärent schwer umzusetzen. Gerade die aufgeführten Punkte von Anforderungen an Anomalie-basierter Erkennungsverfahren müssen ausreichend gegeben sein, um ein produktives System zur Angriffserkennung sinnvoll nutzen zu können.

Autor: Fabian Kopp (GAI NetConsult GmbH)

Quellen

IT-Sicherheitsgesetz 2.0

https://www.bmi.bund.de/

https://ag.kritis.info

Anomaly detection: A survey