BSI hilft beim Absichern von Industrieanlagen

Sicherheit von Industrieanlagen: BSI veröffentlicht Snort-Regeln für SIS-Netzwerke

Zum besseren Schutz vor Cyber-Angriffen mit Schadsoftware wie „Triton/Trisis/HatMan“ hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) sogenannte Snort-Regeln für das TriStation-Kommunikationsprotokoll der Firma Schneider Electric veröffentlicht. Das Protokoll kommt in Sicherheitssystemen für industrielle Anlagen (Safety Instrumented Systems – SIS) zum Einsatz, insbesondere auch in der Chemischen Industrie weltweit, und wird unter anderem zur Diagnose, Konfiguration und Programmierung von Safetycontrollern des Herstellers eingesetzt. Snort ist ein Intrusion-Detection-System zur Analyse von Netzwerkverkehr und zur Protokollierung von Datenpaketen in Echtzeit, das als freie Software erhältlich ist und mithilfe von Signaturen – sogenannten Snort-Regeln – erweitert werden kann. Die Anwendung der Snort-Regeln ist eine zusätzliche Möglichkeit zur Detektion von Cyber-Angriffen und ergänzt die weiterhin notwendigen IT-Sicherheitsmaßnahmen nach dem Stand der Technik.

Bei einem im Dezember 2017 bekannt gewordenen Cyber-Angriff mit Triton/Trisis/HatMan auf ein SIS einer Industrieanlage im Nahen Osten wurden für die Übertragung der Schadsoftware auf die Safetycontroller gültige TriStation-Befehle eingesetzt. Unter anderem an diesem Punkt setzen die vom BSI gemeinsam mit Partnern wie FireEye und NCCIC entwickelten Regeln an. So lösen gültige Pakete, die nicht von bzw. zu einer autorisierten Maschine oder in ungewöhnlich hoher Anzahl oder Frequenz gesendet werden, einen Alarm aus. Diese Alarme können an eine zentrale Stelle weitergeleitet und dort bearbeitet werden. Zudem wird der Versand gültiger Pakete, die wichtige Funktionen beeinflussen können, geloggt. Diese Logs können automatisch an ein Security Information and Event Management (SIEM) weitergeleitet werden, welches ebenfalls Zugriff auf das Change Management System des Unternehmens hat. Durch den Abgleich mit dem Change Management System kann auf der Ebene des SIEM entschieden werden, ob es sich um eine gültige, intendierte Aktion oder einen zu untersuchenden Vorfall handelt.

Weitere Informationen und Details zu den Snort-Regeln stehen auf der Webseite des BSI unter https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/ICS/Tools/RAPSN_SETS/RAPSN_SETS_node.html zur Verfügung. Die als RAPSN SETS (Recognizing Anomalies in Protocols of Safety Networks: Schneider Electric‘s TriStation) bezeichneten Regeln wurden unter der Mozilla Public License Version 2.0 veröffentlicht. Neben dem TriStation-Protokoll gibt es weitere Kommunikationsprotokolle, die in SIS-Netzwerken eingesetzt werden. Im Austausch mit der „Interessengemeinschaft Automatisierungstechnik der Prozessindustrie“ (NAMUR) sowie der Fachcommunity prüft das BSI die Erstellung weiterer Snort-Regeln für andere Protokolle. Zudem erarbeitet das BSI derzeit im Rahmen des IT-Grundschutz einen Baustein zum Thema SIS. Dieser steht als Community Draft auf der BSI-Webseite zum Download und zur Kommentierung zur Verfügung.

Weitere Informationen finden Sie unter: www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/RAPSN_SETS_26062018.html

Quelle: www.bsi.bund.de