BSI hilft beim Absichern von Industrieanlagen
Snort-Regeln des BSI sollen Sicherheitsverantwortlichen helfen, Hackerangriffe auf Safety Instrumented Systems (SIS) von Schneider Electrics zu erkennen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Regeln für das Network Intrusion Detection System Snort veröffentlicht, die dabei helfen sollen, Angriffe auf Sicherheitssysteme für industrielle Anlagen (Safety Instrumented Systems, SIS) zu erkennen. Konkret sollen die Regeln das TriStation-Kommunikationsprotokoll der Firma Schneider Electric absichern. Es kommt weltweit auf "Triconex"-Sicherheitssystemen in der Chemie-, aber auch in der Energie- und Pharmaindustrie zum Einsatz.
Das BSI will die Snort-Regeln, an deren Entwicklung unter anderem der Sicherheitssoftwarehersteller FireEye und das National Cybersecurity and Communications Integration Center (NCCIC) beteiligt waren, als "zusätzliche Schicht einer Defense-in-Depth-Strategie" verstanden wissen. Die Regeln analysieren Netzwerkpakete und lösen unter anderem einen Alarm aus, wenn gültige Pakete von beziehungsweise zu unautorisierten Maschinen oder in besonders hoher Anzahl oder Frequenz gesendet werden. Weitere verdächtige Aktivitäten werden mitgeloggt, um etwa im Kontext eines Security Information and Event Management (SIEM) Systems mögliche Einbruchsspuren zu erkennen.
Die Regeln stehen – zusammen mit näheren Details zur Erkennungsmethodik der Netzwerkpakete – im "Tools"-Bereich der BSI-Internetpräsenz zum Download bereit. Von einer akuten, spezifischen Bedrohung ist dort nicht die Rede.
Regeln als Reaktion auf aktuelle Bedrohungslage
Erst vor knapp zwei Wochen hatte das BSI in einer Pressemeldung von Hackerangriffen auf deutsche Energieversorger berichtet. Demnach hatten es Einbrecher in einigen Fällen geschafft, in die Büronetzwerke der betroffenen Firmen einzudringen. Zwar waren Produktions- oder Steuerungsnetze nicht betroffen; dennoch hatte BSI-Präsident Schönbohm betont, dass Deutschland "mehr denn je im Fokus von Cyber-Angriffen" stehe.
Zu dieser Aussage passt auch die aktuelle Veröffentlichung der Snort-Regeln. Diese basieren allerdings auf Erkenntnissen aus einem Angriff, der bereits im Dezember 2017 eine Industrieanlage im Nahen Osten traf: Damals nutzten Angreifer gültige TriStation-Befehle, um eine Malware namens Triton auf Triconex-Safety-Controller zu übertragen.
Schneider Electric patchte bereits im Mai dieses Jahres eine Reihe kritischer SicherheitslĂĽcken in zwei anderen Softwareprodukten fĂĽr industrielle Kontrollsysteme (InduSoft Web Studio und InTouch Machine Edition). (ovw)