Drucken TOP-THEMEN
04.09.2015 - Fachartikel - Sicherheit
Schutz vor unbekannten Angriffen
Kritische Infrastrukturen bezeichnen Institutionen von großer Bedeutung für die nationale Gemeinschaft. Besonders der Energiesektor spielt dabei eine zentrale Rolle, da ein Ausfall oder eine nachhaltige Beeinträchtigung zu langfristigen, folgenschweren Li
Durch den Ausbau der erneuerbaren Energien wandelte sich die eher zentralisierte Stromerzeugung zu einem dezentral verwalteten Erzeugungsnetzwerk. Strom wird heute nicht mehr nur allein von wenigen großen Kraftwerken erzeugt, sondern von einer großen Anzahl kleinerer Energieproduzenten ergänzt. Diese müssen jedoch kontrolliert und dezentral über ICT-Systeme gesteuert werden.
Damit entstehen neue Gefahrenquellen, da die Prozessnetzwerke von Energieversorgern zunehmend mit Cyber-Kriminalität konfrontiert sind und eine konzeptionelle Sicherheitsarchitektur benötigt wird. Die Studie »Cost of Cyber Crime« des Ponemon Institute zeigt, dass, gemessen an den Kosten im Jahr 2013, im Bereich Energie und Versorgung in Deutschland der höchste Schaden durch Cyber-Kriminalität entstand.
Erfolgreiche Hacker-Attacken in diesem Bereich können zu Beschädigungen beziehungsweise dem Ausfall der Energieproduktion führen. Eine IT-Sicherheitsfirma entdeckte im Juni dieses Jahres eine Hacker-Gruppe, die auf breiter Front die westliche Energiewirtschaft angriff. Mit Hilfe von Schadsoftware war es der Gruppe gelungen, spezielle Infrastrukturbereiche zu sabotieren und damit die Energieversorgung in mehreren europäischen Ländern erheblich zu stören.
Um die Gemeinschaft vor diesen gefährlichen Szenarien zu schützen, hat die Bundesregierung den Entwurf für ein neues IT-Sicherheitsgesetz, das unter anderem Anforderungen an den Schutz Kritischer Infrastrukturen enthält, formuliert. Ebenfalls als Entwurf liegt der IT-Sicherheitskatalog der Bundesnetzagentur vor sowie das »ICS Security Kompendium« des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Herkömmliche Firewalls und ihre Sicherheitsstrategien sind nur bedingt in der Lage, den benötigten Schutz zu gewährleisten. Klassische Techniken wie Portfilterung sind oft ungenau. Zusätzliche Filter in UTM-Lösungen wie AV, A Spy, IDS oder Web-Filter basieren alle auf einem Blacklisting-Konzept, das den gesetzlichen Anforderungen nicht gerecht wird.
Genau hier setzt die Next-Generation-Firewall gateprotect NP an: Über feingranulare Applikationserkennung wird ein Whitelisting-Ansatz realisiert, der über Deep-Packet-Inspection sogar innerhalb der Applikation filtern und bewerten kann. Dieser Ansatz der sogenannten vollständigen Positivvalidierung entspricht den Erfordernissen der Energiebranche: Jeglicher Verkehr, der die Firewall passieren möchte, muss bei diesem Konzept eindeutig identifiziert und für valide befunden werden. Unbekannte Datenströme, ja sogar unbekannte Komponenten in bekannten Daten, werden zuverlässig geblockt bzw. deren Passieren ist „nicht erlaubt“.
