Warum Ihre Cybersicherheitsstrategie nicht (nur) auf einem Sensor basieren darf

Cybersicherheit: Warum ein Sensor nicht ausreicht | Stormshield

Seitdem die ANSSI im vergangenen April zwei Erfassungssensoren qualifiziert hat, spricht die Welt der Cybersicherheit von nichts anderem mehr. Könnte dies die angekündigte Wunderlösung für den Schutz von Netzwerken sein? Nichts ist weniger sicher. Gerne erklären wir das.

In den letzten Monaten wurden Sicherheitssensoren als neues Bollwerk gegen Cyber-Bedrohungen vorgestellt, vor allem in der Industrie. Im vergangenen April hat die ANSSI (die französische Agentur für Sicherheit der Informationssysteme) durch die Qualifizierung der französischen Sensoren von Thales und seines Konkurrenten Gatewatcher den Konkurrenzkampf auf dem Cybersicherheitsmarkt verschärft. Auf internationaler Bühne nehmen die im Markt positionierten Start-ups zu, wie beispielsweise Sentryo, ein französisches Juwel, an dem kürzlich bereits Cisco interessiert war. Gleichzeitig erfolgt ein umfassendes Fundraising, insbesondere für das italienisch-schweizerische Unternehmen Nozomi und dessen israelischen Wettbewerber Claroty.

Die Qualifizierung der ersten Sensoren erfolgte jedoch nicht an einem Tag. Dazu brauchte die ANSSI vier Jahre, um die ersten souveränen Sensoren seit der erstmaligen Nennung des Begriffs im französischen Gesetz für militärische Planung (LPM) im Jahr 2015 zu qualifizieren. Diese Sensoren, die in erster Linie für Betreiber von kritischer Bedeutung (OIV) – sowie Betreiber wesentlicher Dienste (BWD) – auf Grundlage der europäischen Richtlinie zur Netzwerk- und Informationssystemsicherheit (NIS) vom November 2018 – entwickelt wurden, wurden auf zwei Ebenen getestet: Robustheit und die Fähigkeit, Vertraulichkeit zu gewährleisten.

Aber nicht alles, was „Sensor“ heißt, erfüllt die gleichen Zwecke.

Was ist ein Sensor oder eine Sonde?

Es ist gewissermaßen ein Sammelbegriff, der oft in vielerlei Hinsicht verwendet wird“, warnt Robert Wakim, Offers Manager bei Stormshield, bevor er hinzufügt: „Im Bereich der Cybersicherheit müssen wir von einem Sensor zur Netzwerkerkennung sprechen. Das ist ein passives Gerät, das den Fluss eines Netzwerks überwacht und entsprechend seinem Installationsort Informationen und Warnungen überträgt.

Dieses Gerät muss in der Lage sein, schwache Signale zu erkennen, die bei einem Cyberangriff erzeugt werden. Anders als ein Antivirusprogramm oder eine Firewall ermöglicht es jederzeit einen freien Datenfluss.

Um zu funktionieren, muss ein solcher Sensor transparent in einem Listening-Port installiert sein (Mirroring-Port) – im Gegensatz zu einer unterbrechungsfreien Installation. Diese Nutzung besteht in der Schaffung zusätzlicher Netzwerke: Jeder Datenfluss wird dupliziert und an den Sensor übermittelt. Im Falle eines Angriffs auf das ursprüngliche Netzwerk wird dieser vom Sensor identifiziert und durch Störungsprotokolle verfolgt.

„Ein Sensor kann die ‚Infektion’ einer Maschine nicht eindämmen oder diese unter Quarantäne stellen.“

Robert Wakim, Offers Manager bei Stormshield

Sobald ein Netzwerksensor eine Anomalie erkennt, treten zwei Szenarien ein.

  1. Ihr Unternehmen hat ein SOC (Sicherheitsbetriebszentrum). Es wird vom Sensor gewarnt (unter Berücksichtigung der Zeit, die der Sensor für die Berechnung und Beurteilung benötigt, ob eine Infektion vorliegt oder nicht) und ergreift Maßnahmen, um den Angriff innerhalb der Grenzen seiner Reaktionsfähigkeit zu stoppen.
  2. Sie haben kein SOC. Die gute Nachricht? Der Sensor teilt Ihnen mit, dass Ihr Netzwerk angegriffen wurde. Und die schlechte Nachricht? Wenn dieser Angriff auf die Zerstörung Ihrer Infrastruktur abzielt, ist es bereits zu spät.

Die Parallele zu einer Zecke ist gut geeignet, um Sensoren für die Netzwerkerkennung zu erklären. Wenn Sie von einer Zecke gebissen werden, kann die Information aus vielen Quellen stammen – sei es, weil Ihre Finger auf eine raue Stelle stoßen, die es vorher nicht gab, von Ihrer Haut, die juckt, oder von Ihren Augen, die sie erkennen. Aber keine dieser Quellen wird in der Lage sein, die Verbreitung von Krankheiten in Ihrem Blut zu verhindern. Genauso verhält es sich mit einem Sensor. Er kann die ‚Infektion’ der Maschine nicht eindämmen oder diese unter Quarantäne stellen“, unterstreicht Robert Wakim.

Erfassung vs. Schutz

Die Sensoren haben auch dank ihrer Integration in einen einfachen ‚Listening Port‘ eine gute Presse, besonders in der Industrie. Bis vor wenigen Jahren waren industrielle Netzwerke überhaupt nicht geschützt, weil sie von der Außenwelt und damit von Bedrohungen isoliert waren. Aber mit dem Aufkommen der Industrie 4.0 schafft die IT-OT-Konvergenz eine Verbindung der industriellen Netzwerke zur Außenwelt. Angesichts dieser Cyber-Bedrohungen muss man nun geeignete Sicherheitslösungen schaffen.

Im Falle eines erkannten Angriffs auf das Netzwerk kann die gesamte Produktion gestoppt werden – was erhebliche wirtschaftliche Folgen hätte. Das Risiko bei sogenannten Shutdown-Sicherheitseinrichtungen besteht darin, die Produktion nicht wegen eines Cyberangriffs blockiert wird, sondern bereits bei einer Anomalie oder einem „False Positive“, also einem Verhalten im Netzwerk, das fälschlicherweise als Teil eines Cyberangriffs angesehen wird.

Der Sensor hat diesen beruhigenden Aspekt für die Hersteller, da er nur erkennt, besteht kein Risiko eines Produktionsausfalls“, sagt Julien Paffumi, Leiter des Produktmanagements bei Stormshield. „In einer idealen Welt hätten wir eine getrennte Firewall mit integriertem IPS, um zuverlässig erkannte Cyberangriffe zu blockieren, und einen parallelen Netzwerksensor, um Verdachtsfälle für Bedrohungen zu erkennen und Alarme auszugeben“.

Die notwendige qualifizierte Firewall

Mit dem LPM in Frankreich und der NIS-Richtlinie auf europäischer Ebene gibt es für OIV in Frankreich eine gesetzliche Verpflichtung und für BWD in Europa eine starke Empfehlung, qualifizierte Sensorlösungen einzusetzen. Aber beim idealen Toolkit für diese Unternehmen und Einrichtungen dürfen wir neben den Sensoren auch qualifizierte Firewalls nicht vergessen. Neben der Erkennung – der Hauptaufgabe der Sensoren – sind sie für den konkreten Netzwerkschutz zuständig, indem sie Cyberangriffe blockieren.

Aber wie können solche Geräte getrennt integriert werden? Einige davon – wie z. B. unsere abgebildete SNi40-Firewall – können im IPS/IDS-Modus arbeiten: Bei einem größeren Ausfall lassen sie den Datenstrom passieren (fail-safe). Schließlich „gibt es immer eine Lösung, um die Unannehmlichkeiten eines Anlagenstillstands einzudämmen“, betont Julien Paffumi, „wie beispielsweise Hochverfügbarkeitsgeräte, die synchronisiert sind und sich im Problemfall untereinander ablösen“.

Teilen auf

Für industrielle Systeme mit erheblichen betrieblichen Einschränkungen ist die SNi40 die optimale Sicherheitslösung, die schützt, ohne die Produktion zu beeinträchtigen.
Um eine Datenintegrität sicherzustellen und den Dateninhalt zu kontrollieren, um so Angriffe auf Geschäftsabläufe zu verhindern, bietet die Stormshield Network Security-Serie neben einem Erfassungssensor auch optimalen Schutz.

Über den Autor

mm
Florian Bonnet
Director of Product Management, Stormshield

Florian kam im Oktober 2018 als Director of Product Management zu Stormshield. Er brachte mehr als 25 Jahren Erfahrung in der Informatik und der Forschung und Entwicklung mit sich. Er war lange Jahre leitend vor Ort tätig und verbreitet diesen Teamgeist unter den Produktmanagern von Stormshield. Egal ob mit den Teams oder nach der Arbeit, er betont die Werte, die Anstrengung und Freude verbinden: Respekt, Teamgeist und Engagement.