Abwehr von Cyberangriffen

Einführung in die Absicherung von Kraftwerken

• Übersicht der gesetzlichen Anforderungen
• Übersicht der Normen und Standards
• Diskussion anhand folgender Leitfragen führen:
  
  • Was sind die TOP 10 Bedrohungen in Sachen IT-Sicherheit?
  • Welche Schutzmaßnahmen sind bereits etabliert?
  • Welche Bereiche stellen Problemzonen dar?
  • Welche Schutzmaßnahmen verlieren zunehmend an Bedeutung?
  • Welchen Bedarf gibt es in der Vernetzung ehemals voneinander isolierter Netzwerke und wie können Sicherheitszonen von der Leitwarte bis hin zu einzelnen Werken geschaffen werden?
  • Wie löst man das Arbeitsplatz-Dilemma, d. h. wenn ein Mitarbeiter in unterschiedlichen Funktionsrollen in verschiedenen Sicherheitszonen arbeiten muss?
  • Welche Sicherheitsmaßnahmen braucht es im arbeitsteiligen Zusammenspiel beim Remote Zugriff von externen Unterstützern wie Hersteller, IT-Dienstleister und anderen Service-Erbringern?

Gesamtkonzept: Sichere Infrastruktur

• Gestaffelte Verteidigung - Maßnahmen für Cybersicherheit:
  
  • Zonen und Kommunikationskanäle
  • Patchmanagement für ICS
  • Virenschutz im Prozessnetz
  • Detektion von Schädlingen und Anomalien
  • Blacklisting, Whitelisting, Greylisting
  • Sichere Softwareentwicklung für ICS
  • VPN, Fernwartung und Co.
  • Umgang mit Fremd-IT von Dienstleistern

+++ Gruppenübung: Showdown der Standards

• ISO 2700x vs. IEC 62443:
  
  • Die Teilnehmer lassen Sicherheitsstandards in einem Wettbewerb gegeneinander antreten
  • In Kleingruppen werden unter Anleitung Kernaussagen der wichtigsten Sicherheitsstandards zu einem bestimmten Problem (z. B. Virenschutz oder Patchmanagement) erarbeitet
  • Die unterschiedlichen Empfehlungen werden einander vor- und gegenübergestellt
  • Gemeinsame Auswertung

Prävention: Möglichkeiten zur Netztrennung

• Leitfragen zur Präsentation des Konzepts mit Diskussion zur Praxistauglichkeit:
  
  • Mit welchen Technologien wird dem Endanwender der Zugriff auf isolierte Netzbereiche und der darin befindlichen Systeme und Anwendungen gewährt?
  • Welche Flexibilität in der IT-Nutzung brauchen Mitarbeiter die Aufgaben an Anlagen und Steuerungssystemen erledigen?
  • Mit welchen Schutzmaßnahmen werden Client-Systeme ausgestattet und was bedeutet das für den Einsatz und die Benutzerfreundlichkeit?
  • Welche Problemzonen und Risiken können mit heutigen Techniken nur sehr schwer behoben werden?

Aktiv-Phase: Erkennung & Reaktion

• Monitoring und Angriffserkennung mithilfe von Security Intelligence
• Leitfragen für Einsatz und Lösungshintergrund zu den Themen Anomalie-Erkennung und Reaktion:
  
  • Einfache Einfallstore vs. typisches Vorgehen von Angreifern bei gezielten Angriffen sowie Erkennungsmöglichkeiten
  • Anhand welcher Merkmale können welche Angriffsarten erkannt werden?
  • Wie kann eine Anomalie-Erkennung als effizientes Frühwarnsystem eingesetzt werden?
  • Welche Reaktionsmechanismen sind für den Sicherheitsvorfall zu schaffen?
  • Wie erhalte ich ein Lagebild über den Zustand meines Netzwerkes, ohne viel Aufwand für die Definition, Analyse und Auswertung von Soll-Zuständen vornehmen zu müssen?
• Integration in Betriebsprozesse/Abläufe bei Meldungen, Verwertung von Alarmen sowie Analyse der Daten
• Maßnahmen der Forensik und Beweissicherung

Angriffe auf Systeme und Anwendungen

• Zahlen, Daten, Fakten zu Angriffen
• Komponenten von ICS aus Cyber-Sicht
• Typische Schwachstellen

Abschlussbesprechung und Zusammenfassung