Abwehr von Cyberangriffen

Einführung in die Absicherung von Kraftwerken

• Übersicht der gesetzlichen Anforderungen
• Übersicht der Normen und Standards
• Diskussion anhand folgender Leitfragen führen:
• Was sind die TOP 10 Bedrohungen in Sachen IT-Sicherheit?
• Welche Schutzmaßnahmen sind bereits etabliert?
• Welche Bereiche stellen Problemzonen dar?
• Welche Schutzmaßnahmen verlieren zunehmend an ­Bedeutung?
• Welchen Bedarf gibt es in der Vernetzung ehemals voneinander isolierter Netzwerke und wie können Sicherheitszonen von der Leitwarte bis hin zu einzelnen Werken geschaffen werden?
• Wie löst man das Arbeitsplatz-Dilemma, d. h. wenn ein Mitarbeiter in unterschiedlichen Funktionsrollen in verschiedenen Sicherheitszonen arbeiten muss?
• Welche Sicherheitsmaßnahmen braucht es im ­arbeitsteiligen Zusammenspiel beim Remote Zugriff von externen ­Unterstützern wie Hersteller, IT-Dienstleister und anderen Service-­Erbringern?

Gesamtkonzept: Sichere Infrastruktur

• Gestaffelte Verteidigung - Maßnahmen für Cybersicherheit:
• Zonen und Kommunikationskanäle
• Patchmanagement für ICS
• Virenschutz im Prozessnetz
• Detektion von Schädlingen und Anomalien
• Blacklisting, Whitelisting, Greylisting
• Sichere Softwareentwicklung für ICS
• VPN, Fernwartung und Co.
• Umgang mit Fremd-IT von Dienstleistern

Gruppenübung: Showdown der Standards

• ISO 2700x vs. IEC 62443:
• Die Teilnehmer lassen Sicherheitsstandards in einem ­Wett­bewerb gegeneinander antreten
• In Kleingruppen werden unter Anleitung Kernaussagen der wichtigsten Sicherheitsstandards zu einem bestimmten ­Problem (z. B. Virenschutz oder Patchmanagement) erarbeitet
• Die unterschiedlichen Empfehlungen werden einander vor- und gegenübergestellt
• Gemeinsame Auswertung

Prävention: Möglichkeiten zur Netztrennung

• Leitfragen zur Präsentation des Konzepts mit Diskussion zur Praxistauglichkeit:
• Mit welchen Technologien wird dem Endanwender der Zugriff auf isolierte Netzbereiche und der darin befindlichen Systeme und Anwendungen gewährt?
• Welche Flexibilität in der IT-Nutzung brauchen Mitarbeiter die Aufgaben an Anlagen und Steuerungssystemen erledigen?
• Mit welchen Schutzmaßnahmen werden Client-Systeme ausgestattet und was bedeutet das für den Einsatz und die Benutzerfreundlichkeit?
• Welche Problemzonen und Risiken können mit heutigen ­Tech­niken nur sehr schwer behoben werden?

Aktiv-Phase: Erkennung & Reaktion

• Monitoring und Angriffserkennung mithilfe von Security ­Intelligence
• Leitfragen für Einsatz und Lösungshintergrund zu den Themen Anomalie-Erkennung und Reaktion:
• Einfache Einfallstore vs. typisches Vorgehen von Angreifern bei gezielten Angriffen sowie Erkennungsmöglichkeiten
• Anhand welcher Merkmale können welche Angriffsarten erkannt werden?
• Wie kann eine Anomalie-Erkennung als effizientes Frühwarnsystem eingesetzt werden?
• Welche Reaktionsmechanismen sind für den Sicherheitsvorfall zu schaffen?
• Wie erhalte ich ein Lagebild über den Zustand meines ­Netzwerkes, ohne viel Aufwand für die Definition, Analyse und Auswertung von Soll-Zuständen vornehmen zu müssen?
• Integration in Betriebsprozesse/Abläufe bei Meldungen, ­Verwertung von Alarmen sowie Analyse der Daten
• Maßnahmen der Forensik und Beweissicherung

Angriffe auf Systeme und Anwendungen

• Zahlen, Daten, Fakten zu Angriffen
• Komponenten von ICS aus Cyber-Sicht
• Typische Schwachstellen

Abschlussbesprechung und Zusammenfassung