Tobias Nitzsche

ABB AG

ISA/IEC62443 Expert, CISSP, CISM
Global Cyber Security Practice Lead Europe/IMEA, Process Automation Energy Industries

 

Tobias Nitzsche ist Global Cyber Security Practice Lead in der Division Energy Industries bei ABB, er berät Kunden auf Entscheiderebene bei Entwicklung und Umsetzung von Cyber Security Strategien und Programmen. Er ist verantwortlich bei ABB für die Unterstützung der Service und Produkteinheiten bei der Weiterentwicklung und Förderung des ABB Portfolios an Cyber Security Lösungen und ist in verschiedenen Arbeitsgruppen und Gremien wie ABBs ICS Referenzarchitektur AG oder der Plattform Industrie 4.0-AG 3 Sicherheit vernetzter Systeme aktiv. Herr Nitzsche verfügt über langjährige Expertise in der Durchführung von Risikobewertungen und der Einführung von Cyber Security Programmen basierend auf Industriestandards als zertifizierter IT und OT Security Experte (ISA/IEC62443 Expert, CISSP, CISM).

„Angriffserkennung in der Praxis – kontextualisierte Erkennung von Angriffsversuchen in der Prozessleittechnik“

Das IT-Sicherheitsgesetz 2.0 fordert demnächst von Betreibern kritischer Infrastruktur den Einsatz von Systemen zur Angriffserkennung auf Basis geeigneter Parameter und Merkmale aus dem laufenden Betrieb. Diese sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen. Um geeignete Parameter und Merkmale zu definieren und geeignete Maßnahmen zu Identifizieren und zu ergreifen muss eine Kontextualisierung geschehen!

In diesem Vortrag beschreiben wir, wie der Anlagenkontext dafür genutzt werden kann. Wir verwenden bevorzugt validierte, systemeigene Informationen wie bspw. Asset Inventar, Konfigurationen und Logs in Verbindung mit einer zentralen Meldeinstanz. Abhängig vom jeweiligen kontextspezifischen Risiko müssen dem Kontext angepasste Gegenmaßnahmen ergriffen werden.

Ein Beispiel: DNS-Anfragen an externe DNS Domains sind in der IT die Norm, in deterministischen Systemen des OT Umfelds in aller Regel verdächtig. Wir erkennen diese Ereignisse im System und leiten sie an die zentrale Meldeinstanz weiter. Dort werden sie durch Kontextinformationen ergänzt. Anfragen an einen C&C Server einer bekannten Ransomware-Familie lassen auf eine Infektion schließen. Wenn diese ohne Kontakt zu C&C Server keine Verschlüsselung ausführt, ist das Risiko ein anderes als bei einer Schadsoftware, die auch ohne solchen Kontakt verschlüsselt. Bei einer Infektion auf einer Engineering Client wird auch die Reaktion anders ausfallen als auf einem Historian Server oder auf einem zentralen Server des Leitsystems.