Standpunkte Threat-Hunting als proaktive Sicherheitsmaßnahme im Energiesektor

Die Lage im europäischen Energiesektor ist angespannt: Es besteht Verunsicherung über die Versorgung, der Winter steht vor der Tür und der Sektor wird physisch, durch Desinformationskampagnen sowie Cyberangriffe von Russland-nahen Akteure strategisch und wiederholt attackiert. Gerade Cyberangriffe könnten Europas Energiesektor in den kommenden Monaten vermehrt treffen, um die Versorgungssituation weiter zu verschärfen oder Angst vor Kontrollverlust in Europa zu schüren.

Dabei gibt es auch Warnungen, dass kritische Systeme wie etwa im Energiesektor bereits kompromittiert sein könnten. Proaktives Threat-Hunting wird deshalb immer wieder als zusätzliche notwendige Sicherheitsmaßnahme von unterschiedlichen Seiten ins Spiel gebracht.

Dem Energiesektor kommt eine zentrale Rolle in der Kritischen Infrastruktur zu, denn alle anderen Sektoren sind davon direkt oder indirekt abhängig. Das Interesse von Angreifern ist demnach groß. Mit 8,2 Prozent aller Cyberangriffe 2021 war der Energiesektor laut IBM der am dritthäufigsten betroffene Sektor (PDF, Dokument, 59 Seiten). Öffentlich bekannte Ransomware-Angriffe, die zwischen 2020 und 2021 basierend auf Daten von Recorded Future um 125 Prozent anstiegen, machten 25 Prozent aus.

Neben finanziell motivierten Angriffen steht der Energiesektor auch im Visier von Spionage und geopolitisch motivierten und teils destruktiven Angriffen: Seit Jahren hat es beispielsweise eine Gruppe namens „Berserk Bear“ (auch als „DragonFly“ bekannt), die vom US-amerikanischen Justizministerium dem russischen Inlandsgeheimdienst (FSB) zugeordnet wird, auf Europas Energiesektor abgesehen. Wie viele europäische Firmen dieser und anderen mit Russland affiliierten Spionagegruppen bisher tatsächlich zum Opfer fielen, ist unklar. Bei einer Operation von Berserk Bear über mehrere Monate hinweg sollen alleine in Deutschland 150 Firmen, viele davon aus der Kritischen Infrastruktur, kompromittiert worden sein. Es ist ebenfalls unklar, ob die Kompromittierungen tatsächlich vollständig beseitigt werden konnten oder ob vermutet werden muss, dass Angreifer bis heute Zugriff auf (einzelne) Systeme haben.

Destruktive Angriffe, wie durch Wiper-Malware, wurden in Europa dagegen bisher fast ausschließlich in der Ukraine beobachtet, wo seit der russischen Invasion mindestens neun verschiedene Wiper-Varianten eingesetzt wurden. Bis auf DDoS-Angriffe oder Spillover-Effekte, die beispielsweise dazu führten, dass 5.800 Enercon-Windkraftanlagen in Norddeutschland für eine Zeitraum nicht mehr erreichbar waren, blieb der Rest Europas bisher größtenteils verschont.

Aufgrund der sich zuspitzenden Bedrohungslage, die sich bereits vor der russischen Invasion abzeichnete und wie auch der kürzlich erschienene BSI Lagebericht 2022 unterstreicht, steht IT-Sicherheit bei Kritischen Infrastruktursektoren und Regierungen weit oben auf der Agenda. Viele der vorgeschlagenen Maßnahmen sind jedoch präventiv und sollen vor zukünftigen Angriffen schützen. Sie schützen nur bedingt, wenn Systeme schon kompromittiert sind.

Der Verdacht, dass IT-Infrastrukturen im Energiesektor bereits infiltriert sein könnten, ist nicht unbegründet: Zum einen warnen staatliche Behörden wie die US-Behörde CISA seit Jahren vor möglichen Kompromittierungen und verweisen, ohne jedoch ins Detail zu gehen, auf private und öffentliche Quellen und Abläufe bekannt gewordener Fälle. Zum anderen liegt dem Verdacht ein verbessertes Verständnis für das Vorgehen von Angreifern zugrunde, denn staatliche und finanziell motivierte Gruppen haben ihre Operationen optimiert, indem sich bestimmte Teilgruppen auf die bloße Zugangsbeschaffung spezialisieren oder Zugänge auf Initial Access Märkten eingekauft werden.

Dies spiegelt sich auch in der Verweildauer von Angreifern („Dwell Time”) in betroffenen Netzwerken wider, die zum Teil bei mehreren Monaten oder länger liegt. So deuten forensische Analysen beispielsweise darauf hin, dass der Solar-Winds-Breach tatsächlich im Jahr 2019 begann und sich die Angreifer bereits fast ein Jahr lang unbemerkt in den Netzwerken befanden.

Vor diesem Hintergrund wird die Relevanz von Threat-Hunting deutlich: Darunter versteht man das proaktive Aufspüren von Cyberbedrohungen, die unerkannt in einem Netzwerk lauern und von existierenden Sicherheitssystemen unentdeckt blieben.

Doch Threat Hunting ist nicht grundlos oft Organisationen mit ausgereiften und ressourcenreichen Sicherheitsprogrammen vorbehalten. Denn neben zeitlichen Ressourcen und fachlicher Expertise gibt es drei wesentliche Vorbedingungen, ohne die ein effektives Threat-Hunting-Programm nicht möglich ist:

Zunächst ist detailliertes Angreiferwissen notwendig. Das heißt neben historischen Indikatoren (etwa IPs), die in vergangenen Angriffen verwendet wurden, sollten auch strategischere Informationen wie Tool-Entscheidungen (zum Beispiel die Nutzung spezifischer Angreifer-Frameworks wie Havex) oder nicht-technische Aspekte wie die Angreifermotivation (beispielsweise Spionage) als Grundlage für Threat-Hunting verwendet werden. Proaktive Identifizierung von noch nicht eingesetzter Angreiferinfrastruktur gehört ebenfalls dazu. Quellen dafür gibt es reichlich und reichen von Open-Source-Quellen wie Threat-Fox, Industrievereinigungen (zum Beispiel EE-ISAC) bis hin zu Threat-Intelligence-Anbietern.

Wissen über das Vorgehen von Angreifer hilft jedoch wenig, wenn keine Daten vorliegen, die auf potenzielle Angriffe geprüft werden können. Hohe Visibilität in das Netzwerk (wie Firewall Logs), Endgeräte (zum Beispiel Event Logs) und andere Teilbereiche (wie E-Mail-Filter) ist deshalb unabdingbar. Die Daten sollten dabei vollständig, historisch betrachtbar und in Echtzeit abfragbar sein, was alleine schon eine große Herausforderung für viele Organisationen darstellt. Häufig wirft dies weitere architektonische und strategische Fragen auf und zwingt beispielsweise zur Abwägung zwischen Performanz und Vollständigkeit.

Spezifisches Organisationswissen ermöglicht es schließlich, kritische Technologien, Dienste oder sonstige Schlüsselressourcen zu identifizieren, die für eine Organisation besonders schützenswert sind – die „Kronjuwelen des Unternehmens”. Je nach Organisation können diese sehr unterschiedlich sein und sollten durch unterschiedliche Stakeholder bestimmt werden. Ziel ist es, mit Hilfe von Organisationswissen begrenzte Ressourcen priorisiert einzusetzen.

Threat-Hunting ist keine einmalige Aktivität, sondern ein Prozess, der das vorhandene Angreiferwissen, die Visibilität und das Organisationswissen in testbare Abfragen verwandelt, mit dem Ziel, Anzeichen von Kompromittierungen zu identifizieren. Ein klar definierter Prozess kann nicht nur potenziellen Ineffizienzen vorbeugen, sondern schützt vor allem weniger reife Organisationen vor Überforderung und dient als Richtlinie und Beschleunigung beim Aufbau eines Threat-Hunting-Programms – das mit der Entwicklung einer plausiblen Hypothese beginnt, die dann getestet werden muss. Eine Hypothese könnte zum Beispiel sein, dass ein bestimmter Schadstoff wie „CRASHOVERRIDE“ in der Vergangenheit von auf den Energiesektor fokussierte Angreifer verwendet wird und auf eine bestimmte Art mit dem angegriffenen System interagiert und somit Spuren hinterlässt.

Im Idealzustand sollten die Ergebnisse der Tests nicht nur potenzielle Kompromittierungen aufdecken, sondern auch das Wissen über Angreifer graduell verfeinern, helfen blinde Flecken im System zu identifizieren und die Tests selbst zu verbessern. Erkenntnisse von Threat-Hunting können dann auch andere Teams unterstützen.

Wie sich die Bedrohungslage im Energiesektor in den nächsten Monaten entwickeln wird, hängt von zahlreichen Faktoren ab. Nicht zuletzt vom Fortgang des Krieges in der Ukraine. Klar ist allerdings, dass staatlich gesponserte Gruppen sich nicht opportunistisch verhalten, sondern Ziele verfolgen und Planung betreiben. Der Energiesektor ist einer der sensibelsten Punkte Europas Kritischer Infrastruktur und damit ein lukratives Angriffsziel. Es sollte folglich von möglichen Kompromittierungen ausgegangen werden. Um sich vor dieser Bedrohung zu schützen, sollten proaktive Maßnahmen wie Threat-Hunting trotz der damit verbundenen Herausforderungen endlich umgesetzt werden.

Julian-Ferdinand Vögele ist Threat Researcher beim IT-Sicherheitsunternehmen Recorded Future.