Institutsteil Angewandte Systemtechnik AST des Fraunhofer IOSB
GAP-Analyse – Sicherheitscheck für die Prozess-IT
Netzbetreiber sind nach EnWG §11 Abs. 1a verpflichtet, einen angemessenen Schutz gegen Bedrohungen für IKT-Systeme einzurichten. Dieser Schutz liegt bei Einhaltung des IT-Sicherheitskatalogs der BNetzA vor, in welchem konkrete Sicherheitsvorgaben und -prozesse vorgeschrieben werden, wie z. B.: Etablierung eines IT-Sicherheitsmanagementsystems (ISMS) nach DIN ISO/IEC 27001 oder Ermittlung, Einschätzung und Behandlung von Sicherheitsrisiken.
Im Rahmen dieser Prozesse führte das Lernlabors Cybersicherheit im Auftrag eines Versorgungsnetzbetreibers eine praktische Analyse durch, die die Sicherheitsaspekte konkreter Fernwirkelemente eines digitalen UW detailliert untersucht. Die Hauptziele dieser sogenannten GAP-Analyse waren unter anderem:
- Überprüfung der kritischen Assets auf Schwachstellen und mögliche Sicherheitsdefizite,
- Erarbeitung möglicher Härtungsmaßnahmen und sicherer Parametrierungsvorgaben, und
- Entwicklung einer standardisierten Methodik für Sicherheitsanalysen weiterer relevanten OT-Systeme.
Um eine sorgfältige Vorbereitung und Durchführung dieser mehrschichtigen und sehr detaillierten Sicherheitsüberprüfung zu gewährleisten, wurden bei der Projektplanung die BSI-Vorgaben zur Methodik für Audit von ICS-Installationen berücksichtigt.
In der initialen Phase des Projekts wurde mit dem Auftraggeber der Umfang der GAP-Analyse definiert und die Rules of Engagement vereinbart, die beschreiben, welche Prüfmethoden in welchen Prüfbereichen angewendet werden dürfen. Eine genaue Festlegung solcher verbindlichen Einsatzregeln ist für Sicherheitsanalysen im industrielen und insbesondere im KRITIS-Bereich äußerst wichtig, da die Durchführung einiger Tests, wie zum Beispiel Schwachstellenscans oder Denial-of-Service-Angriffe, negative Auswirkungen auf wichtige Steuerungskomponente und folglich auf den zugrundeliegenden physikalischen Prozess haben kann. Damit die Penetrationsmethoden der GAP-Analyse nicht eingeschränkt werden mussten, wurde vom Auftraggeber ein Testaufbau als Nachbildung des Originalsystems in einer separaten Umgebung zur Verfügung gestellt.
In der weiteren Vorbereitungsphase wurde ein detaillierter Prüfplan erstellt, in dem zahlreiche Tests zur Überprüfung der Sicherheitsaspekte der Testanalage beschrieben wurden, einschließlich der Prüfziele, der Methodik und der Werkzeuge, des geschätzten Aufwands und der eventuellen Risiken. Der Schwerpunkt lag dabei auf zwei wesentlichen Sicherheitsbereichen der Anlage:
- Analyse der Gerätesicherheit – Überprüfung der sicheren Konfiguration und Härtungsmaßnahmen sowie Schwachstellenanalyse,
- Analyse der Netzwerksicherheit – Überprüfung der Sicherheit von Netzwerkschnittstellen und -protokollen.
Im letzten Schritt der GAP-Analyse wurden die physischen Aspekte der Sicherheit am Installationsort der Anlage überprüft.
Alle verwendeten Werkzeuge und Skripte, relevante Dokumente, Testschritte und -Ergebnisse wurden während der Durchführung einzelner Prüfungen detailliert, mit Bildschirmaufnahmen und Logdateien, protokolliert. Die abschließende Auswertung der Ergebnisse wurde in einem Abschlussbericht beschrieben und dem Auftraggeber in Form einer Präsentation vorgestellt.
Im Rahmen der GAP-Analyse hat das Lernlabor Cybersicherheit wichtige Erfahrungswerte für die weitere Optimierung der Methodik für Sicherheitsüberprüfungen gesammelt. Ziel war es dabei, den entwickelten Ansatz so flexibel zu gestalten, dass er jederzeit auch für Cyber-Security Assessments anderer ICS-Bereiche und -Systeme angewendet werden kann. Der Erfolg dieses Vorhabens zeigt sich u.a. auch darin, dass seitens des Auftraggebers eine Fortführung des Projektes in Planung ist. Hierbei erfolgt durch das Lernlabor Cybersicherheit die Überprüfung von OT-Geräten eines weiteren Herstellers, die für die Steuerung eines anderen Prozessabschnitts zuständig sind. Darüber hinaus konnten bei der Bearbeitung des Projektes eine Reihe von Forschungsfragen identifiziert werden, die für zukünftige (teil-) automatisierte Pen-Testing Frameworks für den OT-Bereich der Energieversorgung von hoher Relevanz sind.
