ABB AG
Global Cyber Security Portfolio Manager, Process Automation
Ragnar Schierholz ist seit 2006 für ABB tätig und derzeit als Global Cyber Security Portfolio Manager für das Portfolio an Managed Security Services des Geschäftsbereichs Prozessautomatisierung zuständig. Dr. Schierholz ist ein international anerkannter Experte für Cyber Security in der Prozessleittechnik und war lange als aktives Mitglied in verschiedenen Standardisierungsgremien zu Cyber Security für industrielle Leittechnik, bspw. Chairman der Working Group Cyber Security in der FieldComm Group, und Mitglied des ISA 99 Komitee und der IEC Arbeitsgruppe TC 65 WG 10.
Das IT-Sicherheitsgesetz 2.0 fordert demnächst von Betreibern kritischer Infrastruktur den Einsatz von Systemen zur Angriffserkennung auf Basis geeigneter Parameter und Merkmale aus dem laufenden Betrieb. Diese sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen. Um geeignete Parameter und Merkmale zu definieren und geeignete Maßnahmen zu Identifizieren und zu ergreifen muss eine Kontextualisierung geschehen!
In diesem Vortrag beschreiben wir, wie der Anlagenkontext dafür genutzt werden kann. Wir verwenden bevorzugt validierte, systemeigene Informationen wie bspw. Asset Inventar, Konfigurationen und Logs in Verbindung mit einer zentralen Meldeinstanz. Abhängig vom jeweiligen kontextspezifischen Risiko müssen dem Kontext angepasste Gegenmaßnahmen ergriffen werden.
Ein Beispiel: DNS-Anfragen an externe DNS Domains sind in der IT die Norm, in deterministischen Systemen des OT Umfelds in aller Regel verdächtig. Wir erkennen diese Ereignisse im System und leiten sie an die zentrale Meldeinstanz weiter. Dort werden sie durch Kontextinformationen ergänzt. Anfragen an einen C&C Server einer bekannten Ransomware-Familie lassen auf eine Infektion schließen. Wenn diese ohne Kontakt zu C&C Server keine Verschlüsselung ausführt, ist das Risiko ein anderes als bei einer Schadsoftware, die auch ohne solchen Kontakt verschlüsselt. Bei einer Infektion auf einer Engineering Client wird auch die Reaktion anders ausfallen als auf einem Historian Server oder auf einem zentralen Server des Leitsystems.