Case Study
Stadtwerke Bad Reichenhall: Anomalieerkennung schützt internen Datenverkehr
Der klassische IT-Security-Schutz mit Firewalls, IDS- oder IPS-Systemen hat eine gravierende Lücke: Die Systeme erkennen nicht, wenn manipulierte Netzkomponenten ihr Kommunikationsverhalten ändern und beispielsweise Schadcode an andere Clients im Netz versenden. Die Stadtwerke Bad Reichenhall KU haben deshalb zur Bedrohungsabwehr eine Anomalieerkennung eingerichtet.
Die Stadtwerke Bad Reichenhall KU sind ein regionales Dienstleistungsunternehmen, das seine Kunden mit Strom, Erdgas, Wasser, öffentlichem Personennahverkehr sowie Internet, Telefon und Kabelfernsehen versorgt. Als kritische Infrastruktur legen sie einen besonderen Fokus auf IT-Security. Das Unternehmen ist nach der internationalen IT-Sicherheits-Norm ISO 27001 zertifiziert und betreibt ein Information Security Management System (ISMS).
Lücken bei klassischen IT-Security-Systemen
In regelmäßigen Audits und Penetrationstests wurde bestätigt, dass die nach dem ISMS-Standard ergriffenen Sicherheitsmaßnahmen wirksam sind. „Die Tests sind allerdings immer nur Momentaufnahmen. Wenn durch Social Engineering und anderen, immer professionelleren Angriffen, Sicherheitslücken ausgenutzt werden, wollen wir vorbereitet sein. Uns fehlte bisher eine Anomalieerkennung als permanente Echtzeitkontrolle, um auch Angriffe im internen Datenverkehr frühzeitig erkennen zu können“, berichtet Carsten Viell, IT-Leiter bei den Stadtwerken.
Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS) zum Monitoring von Office-Netzen haben sich seit Jahren bewährt. Ein wesentlicher Nachteil dieser Systemen ist, dass sie nicht für Auffälligkeiten im internen Datenstrom ausgelegt sind. Kommuniziert eine Arbeitsstation, die bisher nur Verbindungen mit dem Anmelde- und File-Server hatte, plötzlich mit anderen Rechnern innerhalb des Netzwerks, wird das nicht erkannt. Wenn eine Workstation in kurzer Zeit Verbindungen zu vielen Ports aufnimmt (Netzwerkscan) oder ein Drucker andere Geräte im Netz kontaktiert und Code aus dem Netz nachladen will, bleibt auch das zunächst unerkannt. IDS- und IPS-Systeme überprüfen nicht, ob diese Netzkomponenten dafür berechtigt sind und ob das Verhalten ungewöhnlich ist. So können Angreifer Geräte im Netz übernehmen, ohne dass dies sofort auffällt.
„Wir haben nach einem Monitoring des internen Netzwerks mit Anomalieerkennung gesucht und sind auf den cognitix Threat Defender von genua aufmerksam geworden. Da wir mit den Produkten und Leistungen von genua seit Langem sehr zufrieden sind, waren wir gespannt auf diese Lösung“, erläutert der IT-Leiter.
Die Stadtwerke hatten ein intelligentes System gesucht, welches die Netzkomponenten selbstständig erfasst und ihr Verhalten analysiert. „Wir wollten nicht händisch tausende von Regeln eingeben und diese ständig manuell aktualisieren“, so Carsten Viell. Das IT-Monitoringsystem sollte auch für ein mittelständisches System wie die Stadtwerke leicht administrierbar sein.
Anomalieerkennung als permanente Echtzeitkontrolle
Die Cyber-Sicherheits-Empfehlung des BSI (BSI-CS 134) hebt die Anomalieerkennung als ein Mittel zum Schutz von Netzwerken besonders hervor: „Sie ermöglicht die Erkennung untypischen Verhaltens und somit neben technischen Fehlerzuständen und Fehlkonfigurationen auch die Detektion bisher unbekannter Angriffsformen auf solche Netze. Dies unterscheidet die Anomalieerkennung von anderen Maßnahmen, die auf der Erkennung bereits bekannter Angriffe beruhen.“
Der cognitix Threat Defender überwacht den gesamten Netzwerkverkehr und analysiert das Verhalten der Netzkomponenten (Assets). Dabei werden bisher getrennte Funktionen wie Netzwerkanalyse, Intrusion Detection, Asset Tracking und eine dynamische Policy Engine in einem System zusammengeführt.
Der cognitix Threat Defender schließt mit seiner Anomalieerkennung die Sicherheitslücke von IDS- und IPS-Systemen. Er überwacht den gesamten Netzwerkverkehr und analysiert auch das Verhalten der Netzkomponenten (Assets). Er richtet ein überwachtes sicheres Netzwerk ein, in dem er Verhaltensmuster der Netzwerkgeräte erkennt und definierten Regeln zuordnet. Der Fokus liegt nicht auf einem einzelnen Gerät oder einer einzelnen Netzverbindung, sondern auf der Kommunikation im gesamten Netzwerk und dem Verhalten aller Netzwerkteilnehmer. Dabei werden bisher getrennte Funktionen wie Netzwerkanalyse, Intrusion Detection, Asset Tracking und eine dynamische Policy Engine in einem System zusammengeführt.
„Die Einführung des Systems ging erstaunlich reibungslos. Wir wurden durch den Support von genua sehr gut unterstützt und haben direkte Hilfestellungen beim Aufbau und der Skalierung des Systems erhalten. Außerdem wurden unsere Verbesserungsvorschläge aufgegriffen und zeitnah umgesetzt“, beschreibt der IT-Leiter die Einführungsphase. Zu Beginn erfolgte ein erstes Asset Tracking mit Realtime-Analyse. Dabei wurde eine Asset-Datenbank mit allen 700 Geräten im Netzwerk, einschließlich der WLAN-Netze, angelegt und ein Netzwerkstatus im „Grundzustand“ erstellt. In dieser Lernphase wurde ermittelt, welche Devices sich im Netzwerk befinden und welcher gewollte Netzwerkverkehr in diesem Grundzustand stattfindet. Kommen neue Geräte hinzu, werden sie sofort erkannt und müssen freigegeben und den definierten Regeln zugeordnet werden.
Administration eines Systems für die Anomalieerkennung
„Die Anomalieerkennung läuft sehr stabil und performant. Das System ist für das Echtzeit-Tracking gut aufgestellt. Auf einem separaten Bildschirm können wir in Echtzeit den Traffic und die genutzten Dienste verfolgen. Bei Auffälligkeiten erhalten wir eine Warnmeldung. Nach der Anfangslernphase ist die Erkennungsrate inzwischen gut und Fehlermeldungen (False Positives) werden immer seltener“, zeigt sich der IT-Leiter sehr zufrieden mit dem Alltagsbetrieb. Er erlebt das System als gut bedienbar und selbsterklärend.
Angriffe und Anomalien im Netzwerkverkehr sind bisher nicht aufgetreten. Die von den Administratoren selbst produzierten Attacken wurden richtig erkannt und als Warnmeldungen ausgegeben. Bei solchen Vorkommnissen kann der betroffene Client sofort entkoppelt werden, um beispielsweise eine weitere Verbreitung eines Verschlüsselungstrojaners zu unterbinden. Bei Bedarf kann sich der Administrator auch über Mobilfunk alarmieren lassen.
Die Stadtwerke planen, nach voraussichtlich einem Jahr Regelbetrieb auch die erweiterte Automatisierungsfunktionen des cognitix Threat Defender zu nutzen. Dann führen ungewöhnliche und vom üblichen Standardverhalten abweichende Muster (Anomalien) im Datenstrom zur automatischen Unterbrechung der Kommunikation, ohne dass der Administrator eingreifen muss.
Nutzen der Lösung
Der IT-Leiter der Stadtwerke gibt dem cognitix Threat Defender in einer Zusammenfassung eine gute Note: „Wir betreiben die Lösung auf einer acht Jahre alten Hardware und sind überrascht von der guten Performance des Systems. Wir haben wenig Konfigurationsaufwand und die Integration in das Netzwerk war einfacher als erwartet.“ Bei den Stadtwerken wurde aufgrund der guten Erfahrungen im Office-Netz damit begonnen, mit dem Leitnetz auch das Kommunikationsnetz für die Energieversorgung in die Anomalieerkennung einzubeziehen.
Carsten Viell bestätigt ein gutes Preis-Leistungsverhältnis der Lösung: „Da steckt sehr viel Intelligenz im System. Wir haben ohne zusätzlichen manuellen Aufwand eine permanente 24/7-Überwachung des Netzwerk-Traffics. Unser Netzbetrieb ist gegenüber immer komplexeren Angriffen nochmals ein gutes Stück sicherer geworden.“