Industrial Security Center: Sicherheit für die KRITIS

Kritische Infrastrukturen (KRITIS) leisten einen wichtigen Beitrag zum Erhalt des staatlichen Gemeinwesens. Ausfälle und Störungen innerhalb dieser Sektoren wirken sich direkt auf Staat, Wirtschaft und Gesellschaft aus. Durch die Zunahme von Sicherheitsbedrohungen aus dem Bereich IT, OT und Angriffe physischer Natur steigen die Ansprüche an holistische Sicherheitslösungen innerhalb der kritischen Infrastruktur. Dies betrifft nicht nur den Sektor Staat und Verwaltung, sondern alle Bereiche der kritischen Infrastruktur wie Wasser, Energie, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Medien und Kultur, Gesundheitswesen sowie Ernährung. Die digitale Transformation und Vernetzung von Systemen sichert zum einen die Wettbewerbsfähigkeit von Unternehmen, macht kritische Infrastrukturen aber gleichzeitig anfällig für Bedrohungen durch Cyberangriffe.

Betreiber sehen sich auch durch Gesetzesänderungen wie etwa das IT-Sicherheitsgesetz 2.0 mit der Herausforderung konfrontiert, die Sicherheit in allen Unternehmensbereichen zu wettbewerbsfähigen, geringen Kosten signifikant zu erhöhen. Um zudem den regulatorischen Anforderungen gerecht werden und dabei schnell und effizient auf Angriffe über sämtliche Sicherheitsdisziplinen hinweg zu reagieren, braucht es einen neuen Ansatz für Sicherheit. Nur durch das übergreifende Verständnis von OT, IT und physischer Sicherheit lässt sich die Sicherung kritischer Infrastrukturen auch in Zukunft gewährleisten.

Die Einzigartigkeit des Industrial Security Centers liegt in der Integration von Prozessen und Technologien über die drei Bereiche hinweg, wodurch Synergien und Korrelation für schnelle Reaktionszeiten und effiziente Lösungen ermöglicht werden. Durch die Integration der Kernkompetenzen der spezifischen Sicherheitsbereiche ist es Hitachi Energy, Telekom Security und Securitas gelungen, einen ganzheitlichen Ansatz zur Lösung sicherheitsrelevanter Risiken für Betreiber kritischer Infrastrukturen zu schaffen.

Der Dienst Incident Detection & Response (IDR) bietet Unterstützung vor und während eines Sicherheitsvorfalls als Teil des Incident Response
Prozesses. Er besteht aus zwei Unterdiensten: Dem Anomaly Detection Service (ADS) und dem Intrusions Detection Service (IDS).

Der Anomaly Detection Service wird von einer lokalen Anwendung (Anomaly Detection Sensor) bereitgestellt, die in jedem Umspannwerk installiert ist und die kontinuierliche Überwachung von Schwachstellen sowie die Erkennung von Anomalien und Änderungen an Anlagen ermöglicht. Dieser Dienst bietet kontinuierliche Echtzeit-Erkennung, Risikoüberwachung und Unterstützung bei der Risikominderung
sowie Asset-Management und Compliance-Berichterstattung.

Das Ziel des Intrusion Detection Service ist die Einrichtung einer aktiven und intelligenten Videoüberwachungslösung im Rahmen des technologischen Fortschritts und des einfachen Zugangs zu hochwertigen Produkten im Bereich der physischen Sicherheit.

Insgesamt bietet der IDR eine Reihe von Vorteilen:

• Überwachung des Netzwerks rund um die Uhr und zeitnahe Analyse im Falle eines kritischen Sicherheitsvorfalls
• Erleichterung der Compliance für geltende Vorschriften (z.B. IT-Sicherheitsgesetz 2.0)
• Kontinuierliche Verbesserung des Netz- und Prozessmanagements
  Gewährleistung der Serviceverfügbarkeit durch vollständige Redundanz der SOCs (sowohl im IDS als auch im ADS)
• Anwendung branchenspezifischer Angriffsmuster zur Erhöhung des Schutzes
• Einsatz neuester Technologien, einschließlich regelmäßiger Updates der Abwehrmechanismen
• 24/7-Sicherheitsüberwachung und Betrieb der Sicherheitsausrüstung mit Ersatzteilvorrat
• Unterstützung zu jedem Zeitpunkt durch hochqualifizierte und zertifizierte Sicherheitsexperten mit fundiertem Fachwissen von Tier-1-Internetbetreibern, OT- und physischen Sicherheitsmarktführern
• Kontinuierliche Verbesserung des Strombetriebs durch fundiertes OT-Fachwissen zur Unterstützung des Sicherheitsprozesses
• Die Korrelation aller sicherheitsrelevanten Daten ermöglicht die Filterung relevanter Informationen, die Reduzierung von Fehlalarmen bei IT- und OT-Alarmen und die Vermeidung von Fehlalarmen bei der physischen Sicherheit.
• Vorhersage von Trends und Ausgabe proaktiver Alarme/Aktionen
• Unabhängige Temperaturmessung der Primärtechnik
• Starke Verbesserung der Sicherheit in der Arbeitsumgebung durch fortschrittliche Algorithmen.

Im Falle einer Krisensituation genießt der Kunde die Vorteile von:

• Drei Security Operations Centers zur Überwachung und Verteidigung - der Kunde kann sich auf sein Kerngeschäft konzentrieren
• Eine Anlaufstelle für vollständig integrierten Support mit korrelierenden Analysen von physischen, IT- und OT-Spezialisten
• Eine schnelle Sicherheitsreaktion mit minimaler Unterbrechung der Sicherheitsdienste
• Schnelles Eingreifen in die Infrastruktursicherheit (z. B. Remote-Lautsprechereinsatz) und OT-Support
• SOC-Aktivitäten und unabhängige Daten sind für forensische Analysen, Audits und Untersuchungen verfügbar

Der Dienst Vulnerability Management besteht aus zwei Unterdiensten: Dem Vulnerability Advisory Service (VAS) und dem Vulnerability Monitoring Service (VMS).

Der VAS liefert regelmäßig Sicherheitsinformationen im Zusammenhang mit Hinweisen auf veröffentlichte Schwachstellen. Der VMS prüft das Network Control Center auf Schwachstellen, was in einem festen Zyklus vor Ort oder online erfolgen kann.

Zusammen bieten sie die folgenden Vorteile:

• Erleichterung der Einhaltung kommender Vorschriften
• Rechtzeitige Information über gemeldete Schwachstellen aus verschiedenen Quellen (z.B. CERTs)
• Bereitstellung eines auf den Kunden zugeschnittenen Berichts mit Schwachstellen, Kritikalität und entsprechenden Handlungsempfehlungen
• Unterstützung bei Patching-Maßnahmen (optional)
• Der Anomaly Detection Service (ADS) wird häufig und automatisch konfiguriert, um Exploits zu vermeiden.
• Die Aufmerksamkeit der Analysten richtet sich auf die Erkennung von Anomalien

Der Bedrohungsanalysedienst bietet Einblicke in jüngste Angriffe, die Gefährdung von Kunden durch Datenschutzverletzungen oder qualifizierte Informationen zur Erkennung bösartiger Aktivitäten.

• Frühzeitige Erkennung von Angriffsmustern
• Verhinderung der Nutzung gestohlener Kontoinformationen (z. B. regelmäßige Überwachung von Marktplätzen im Darknet auf bösartige Aktivitäten, die auf den Kunden abzielen)
• Genauere und schnellere Reaktion auf Sicherheitsvorfälle durch Korrelation
• Handlungsfähige Maßnahmen zur Minderung der Risiken durch relevante Bedrohungen
• Domain-Überwachung verdächtiger Websites, die denen des Kunden ähnlich sind

Der Asset Register Service zielt darauf ab, ein Asset-Inventar der Anlagen des Unternhehmens und des überwachten Bereichs des Kundenkontrollzentrums zu erstellen. Der Asset Register Service definiert den Incident Detection and Response Process in Abhängigkeit von der Kritikalität der Assets im Asset Register.

Die wichtigsten Vorteile des ARS sind:

• Ein Basisdienst für die Implementierung der anderen ISC-Dienste
• Er bietet eine genaue und aktuelle Bestandsliste der Anlagen, einschließlich Installationsort, Funktionsdetails, Kritikalität und potenzielle Schwachstellen
• Ein Change-Management-Prozess und ADS-Sensor garantieren automatisierte Datenaktualisierungen
• Einfacher Zugang zu Daten, die für Betriebszwecke verwendet werden (z. B. Lebenszyklusmanagement)
• Es erleichtert die Einhaltung der geltenden Vorschriften (z.B. IT-Sicherheitsgesetz 2.0)

Im Rahmen der Anfangsbewertung ermöglicht die Bewertung der physischen Sicherheit und der Konfiguration eine Bewertung des Zustands der physischen Sicherheit eines Standorts und gibt Empfehlungen für Verbesserungen.

Wie bei der Bestands-, Schwachstellen- und Konfigurationsbewertung sind die Hauptvorteile der Bewertung der physischen Sicherheit und Konfiguration folgende:

• Bereitstellung eines Überblicks über den aktuellen Sicherheitsstatus in den drei Bereichen (OT, IT und physisch)
• Bereitstellung eines Überblicks über den aktuellen Stand der Einhaltung der geltenden Vorschriften
• Ermöglichung der Implementierung von ISC-Diensten
• Bereitstellung einer Lückenanalyse und entsprechender Ratschläge

Das Ziel dieses Dienstes ist es, eine Grundlage für das Bestandsverzeichnis des Kunden zu erstellen und bestehende technische Schwachstellen zu identifizieren, bevor die operativen Dienste für Cybersicherheit und physische Sicherheit eingesetzt werden.

Einige der wichtigsten Vorteile dieses Dienstes sind im Folgenden aufgeführt:

• Bereitstellung eines Überblicks über den aktuellen Sicherheitsstatus in den drei Bereichen (OT, IT und physisch)
• Bereitstellung eines Überblicks über den aktuellen Stand der Einhaltung der geltenden Vorschriften
• Ermöglichung der Implementierung von ISC-Diensten
• Bereitstellung einer Lückenanalyse und entsprechender Beratung