mit dem Betreiber zusammen, um die gefundene Kommunikation zu bewerten und zu entscheiden, ob die Alarme im Rahmen eines normalen Vorgangs aufgetreten sind oder nicht. Im ersten Fall wird dieser Alarm „quittiert“ und zukünftig nicht mehr berücksichtigt. Dieses Verfahren hat den Vorteil, unabhängig von Signaturen zu sein, birgt aber das Risiko, Aktivitäten von Schadsoftware, die sich vor Beginn der Lernphase im OT-Netz befand, als normal zu bewerten. Der langwierige Lernvorgang ist zeit-, personal- und kostenintensiv. Auf Spezifikationen basierter Ansatz Für Anlagen gibt es meist ausreichend dokumentierte Spezifikationen (IEC-61850-SCL-Dateien, Signallisten, IP-Adresslisten). Diese beschreiben die Anlage und deren Kommunikation vollumfänglich. Das Wissen über die Anlage wird dem SzA übermittelt, welches damit unmittelbar einsatzfähig ist. Es analysiert sofort den gesamten Datenverkehr und prüft, ob diese Kommunikation im Systemmodell erlaubt ist. Damit werden sowohl mögliche Angriffe als auch funktionale Störungen effizient und unverzüglich erkannt. Keine aufwendige Anlernphase und aktuell zu haltenden Signaturen sind notwendig. Im direkten Vergleich zeigt sich, dass die Allowlist-basierten Lösungen für die OT-Netze im Energiesektor zu bevorzugen sind, da man hier einen geringen Implementierungsaufwand und durch das tiefe Verständnis der gewohnten Abläufe (Schutzprüfungen, Wartungsarbeiten, etc.) wesentliche Erleichterungen im täglichen Betrieb mit IT- und OT-Mitarbeiter:innen genießt. Dies schont die angespannten personellen Ressourcen. IT Cyber Security ≠ OT Cyber Security Doch alle drei derzeit verfügbaren Möglichkeiten der Angriffserkennung auf Netzwerkebene haben eine Gemeinsamkeit. Sie müssen passiv und rückwirkungsfrei in die Prozessnetze der Betreiber integriert werden. Hier zeigt sich ein wesentlicher Unterschied zu den Cyber-Security- Systemen der klassischen (Office-) IT. Während es in den OT-Steuernetzen unabdingbar ist, dass z. B. Schaltbefehle für 24
RkJQdWJsaXNoZXIy NTkxNzY=