Intrusion Detection in ICS/OT-Systemen für militärische Einrichtungen

Industrielle Steuerungssysteme (ICS) und Operational Technology (OT) in militärischen Einrichtungen — Energiemanagementsysteme, Kraftstoffverteilung, HLK-Systeme, Zugangskontrolle und physische Sicherheit — sind kritische Infrastruktur, die häufig außerhalb traditioneller unternehmensweiter Cybersicherheitsprozesse liegt. Diese Systeme verwenden oft Legacy-Protokolle, die mit agentenbasierten Sicherheitslösungen inkompatibel sind, betreiben in Netzwerken, wo Verfügbarkeitsunterbrechungen inakzeptabel sind, und können eine 20–30-jährige operative Lebensdauer haben — was bedeutet, dass Patching technisch unmöglich sein kann, selbst wenn ein entsprechender Patch existiert.

Die Erkennung von Eindringlingen in ICS/OT-Umgebungen löst eine fundamental andere Aufgabe als die unternehmensweite IT-Intrusion-Detection: Die Umgebung ist weitgehend unveränderlich und gut charakterisiert, was anomalie-basierte Erkennung erheblich effektiver macht. Eine SPS, die eine bestimmte Befehlssequenz an einen Antriebsmotor sendet, hat einen vorhersehbaren Rhythmus; Abweichungen von diesem Rhythmus sind Indikatoren für Eindringen oder Fehlfunktionen — und beide Zustände erfordern die Aufmerksamkeit des Bedieners.

Warum industrielle Protokolle spezialisierte Erkennung erfordern

Modbus — eines der ältesten Industrieprotokolle, das in militärischer Infrastruktur und Steuerungssystemen weit verbreitet ist — wurde für Zuverlässigkeit und Einfachheit konzipiert, nicht für Sicherheit. Modbus TCP verfügt über keine integrierte Authentifizierung: Jedes System im Netzwerk kann Schreibbefehle an jede SPS senden, wenn es eine TCP-Verbindung zu Port 502 herstellen kann. Ein IDS, das Modbus versteht, kann normales Verhalten als Baseline erfassen — welche Master-Geräte typischerweise mit welchen Slave-Geräten kommunizieren, welche spezifischen Funktionscodes (FC01–FC16) erwartet werden, welche Registeradressen gelesen oder geschrieben werden — und Abweichungen von dieser Baseline erkennen.

DNP3 (Distributed Network Protocol 3) wird in SCADA-Systemen für die Kommunikation zwischen Remote Terminal Units (RTUs) und Master-Stationen verwendet. DNP3 verfügt in einigen Implementierungen über grundlegende Authentifizierungsfähigkeiten (DNP3-SA), wird jedoch häufig ohne Authentifizierung eingesetzt. Besondere Beachtung verdienen DNP3-Replay-Angriffe — wo legitime Nachrichten abgefangen und erneut gesendet werden, um Aktionen auszulösen — da sie für rein signaturbasiertes Monitoring unsichtbar sind.

IEC 61850 — der Standard für Unterwerk-Kommunikation in elektrischen Umspannwerken — kommt zunehmend in modernen Militärstützpunkten mit verteilter Stromerzeugung und Netzmanagement vor. IEC 61850 ist komplexer als Modbus oder DNP3 und umfasst mehrere Protokolle (GOOSE für Schutzbenachrichtigungen, MMS für Stationsmanagement, Sampled Values für Messungen). Das Sicherheitsprofil IEC 62351 existiert, aber die Implementierung bleibt in der Praxis inkonsistent. Das BSI hat in seinen ICS-Sicherheitsempfehlungen mehrfach auf die Besonderheiten von IEC 61850 in militärischen Kontexten hingewiesen.

Passives Monitoring: Goldstandard der OT-Sicherheit

Der Goldstandard für ICS/OT-Intrusion-Detection ist passives Monitoring: Erfassen und Analysieren des Industrienetzwerkverkehrs ohne jegliche Interaktion mit den überwachten Geräten. Der passive Ansatz ist in OT-Umgebungen obligatorisch, wo eine fehlgeschlagene aktive Abfrage an eine SPS zu einem Gerätereset, einer Betriebsstörung oder einem Hardwarefehler führen kann. Die Sicherheit der Prozessfortsetzung hat Vorrang vor Sicherheitsabdeckung. Industrielle IDS (Claroty, Dragos, Nozomi Networks) sind um diese Einschränkung herum konzipiert: Sie hören Netzwerkverkehr über konfiguriertes Port-Mirroring oder passive Netzwerk-Taps, ohne das Netzwerk aktiv zu sondieren.

Passives Monitoring bietet drei Schlüsselfähigkeiten: Asset Discovery (Inventarisierung von SPSen, RTUs, HMIs und anderen OT-Geräten mit ihrer Firmware und Konfiguration), Kommunikationsmonitoring (Baseline normaler Kommunikationsmuster und Signalisierung von Anomalien) und Änderungsverfolgung (Erkennung, wann Gerätekonfiguration oder Firmware geändert wurden).

Baseline-Erstellung: Normales Verhalten in OT-Umgebungen

Die Wirksamkeit anomaliebasierter Erkennung hängt von der Genauigkeit der Baseline für normales Verhalten ab. Industrielle Umgebungen haben einzigartige Eigenschaften, die eine effektive Baseline-Erstellung begünstigen: Sie sind deterministisch (derselbe Prozess wird täglich auf dieselbe Weise ausgeführt), rhythmisch (viele Industrieprozesse folgen vorhersehbaren zeitlichen Mustern) und geschlossen (der Satz von Geräten und Protokollen in einem ordnungsgemäß verwalteten Industrienetz ist stabil).

Die Baseline-Sammlung umfasst typischerweise einen 30–60-tägigen stillen Monitoring-Modus, in dem das Erkennungssystem Netzwerkverkehr beobachtet, ohne Alarme zu generieren. In diesem Zeitfenster baut das System ein Modell normalen Netzwerkverhaltens auf: Welche Geräte kommunizieren miteinander, mit welchen Protokollen, mit welchem Verkehrsvolumen und in welchen spezifischen Zeitfenstern. Einige industrielle IDS wenden ML an, um die Baseline automatisch zu verfeinern; andere erfordern die Bestätigung eines OT-Ingenieurs, dass die Baseline korrekt ist, bevor der Erkennungsmodus aktiviert wird.

Anomalie-Detektoren: Von einfachen Regeln zu ML

Die Erkennungsansätze in industriellen IDS reichen von einfachen signaturbasierten Regeln bis hin zu komplexen ML-Modellen. Für bekannte Angriffsmuster — Modbus-Schreibversuche auf normalerweise schreibgeschützte Register, anomaler Datenverkehr zwischen Netzwerksegmenten, DNP3-PKI-Befehle aus nicht autorisierten Quellen — ist signaturbasierte Erkennung notwendig. Sie bietet schnelle, deterministische Erkennung bekannter Angriffsvektoren mit minimalen Falsch-Positiven.

ML-Ansätze lösen das, was signaturbasierte Erkennung nicht kann: unbekannte Angriffe und subtile Verhaltensanomalien. Zeitreihenmodelle können erkennen, wenn eine SPS mehr oder weniger Sensorwerte als erwartet produziert, selbst wenn die Werte innerhalb des zulässigen Bereichs liegen. Graph Neural Networks können Änderungen in Netzwerkkommunikationsmustern erkennen, die keinem spezifischen bekannten Angriff entsprechen, aber statistisch anomal gegenüber der erlernten Baseline sind.

Integrationsherausforderungen: OT trifft auf IT-Sicherheit

Die größte operative Herausforderung bei der Einführung von ICS/OT-Intrusion-Detection ist organisatorischer, nicht technischer Natur: OT-Ingenieure und IT-Sicherheitsteams haben unterschiedliche Prioritäten, Terminologie und Annahmen darüber, was normal und akzeptabel ist. Was für einen IT-Sicherheitsanalysten wie verdächtiges Netzwerkverhalten aussieht, kann eine normale Betriebsverfahren sein, die nur OT-Ingenieuren bekannt ist.

Erfolgreiche ICS-Intrusion-Detection-Deployments beziehen OT-Ingenieure in den Baseline-Erstellungs- und Alert-Validierungsprozess ein. Der operative Kontext, den OT-Ingenieure liefern — "Diese SPS befindet sich immer sonntags morgens im Wartungsmodus", "Diese Konfigurationsänderung wurde im Rahmen eines geplanten Updates erwartet" — ist notwendig, um echte Alarme von normalen Betriebsänderungen zu unterscheiden. Im BMVg-Kontext erfordern ICS-Sicherheitsprogramme eine enge Zusammenarbeit zwischen OT-Betriebsteams und BSI-zertifizierten Sicherheitsteams.