DATAKOM erhöht die Sicherheit in KRITIS Organisation.
Projektumfeld
Unser Kunde ist einer der größten Stadtversorger in Deutschland. Der Kunde fällt unter die Kategorie kritische Infrastrukturen (KRITIS). Im Zuge der Modernisierung der OT-Infrastruktur sollen alle Belange an die Umsetzung des Gesamtsystems nach dem Stand der Technik im Bereich der IT-Sicherheit gewährleistet werden. Dabei sind die Forderungen des BSI-IT-Grundschutz zwingend einzuhalten und die geforderten Nachweise zu erbringen. Die gesamte prozessleittechnische Infrastruktur (PLT) soll mit einem Vulnerability Assessment System (VAS) ausgestattet werden. Der Kunde hat sich hierbei für den Schwachstellen-Management Hersteller Greenbone entschieden, da Greenbone die PLT des weit verbreiteten PLT-Herstellers SIEMENS scannen kann. Der Kunde kam dabei aktiv auf uns zu, um dieses große Projekt zu stemmen.
Herausforderung
Ziel des Projektes war, in zwei Standorten in Deutschland die gesamte PLT, bestehend aus Hardware und Software, zu erneuern. Die PLT sollte in eine vollständig virtualisierte Umgebung migriert werden.
Durch uns, die DATAKOM, wird die gesamte PLT-Infrastruktur mit einem umfassenden Vulnerability Assessment System (VAS) ausgestattet. Der VAS-Scanner ermöglicht eine automatisierte Durchführung von sogenannten Schwachstellenanalysen. Hierzu wird das System gegen bekannte Schwachstellen, den sogenannten Network Vulnerability Test (NVT), geprüft. Das VAS wurde über Komponenten des Herstellers Greenbone realisiert. Die Herausforderung sollte dabei sein, dass in einer großen IT-Infrastruktur Schwachstellen-Scans einerseits von IT als auch von OT möglich sein musste. Dabei durften aus Sicherheitsgründen wesentliche Komponenten nicht mit dem Internet verbunden sein. Da es hier um zwei verschiedene Standorte handelt, war eine weitere Herausforderung, diese zwei Standorte zu verwalten und ihre Scan Ergebnisse und Updates an einer zentralen Stelle zusammenzuführen. Im Netz befinden sich zudem viele Subnetze, die einzeln voneinander abgesichert waren und daher jeweils individuelle Sensoren benötigen. Auch diese mussten an das Gesamtsystem angebunden werden.
Problemstellung/Komplikation
Mitten im Projekt musste dann das Betriebskonzept komplett umgestaltet werden, da erkennbar wurde, dass das Planungskonzept auf Basis inzwischen abgekündigter Komponenten entwickelt wurde und bestimmte Features nicht mehr verfügbar waren. Dies stellte uns vor große Herausforderungen, da die Projektlaufzeit eng bemessen war.
Damit die Schwachstellen-Scans alle Bereiche und Assets erreichen konnte, bedurfte es einer Anbindung des VAS an eine Privilege Access Management Lösung, das die benötigten Credentials für die Scans bereitstellte. Eine Identifikation der Schwachstellen sollte dann über eine weitere Anbindung an ein Security Information and Event Management (SIEM) weitergeleitet werden. Zudem sollte eine Anbindung an ein Ticketing System entsprechende Tickets automatisiert an die jeweiligen Stellen in der Organisation weitergeleiten, um über diese Tickets die richtigen Abteilungen/Teams mit der Behebung der gefunden Schwachstellen zu beauftragen.
Im Zuge des Projekts wurde bekannt, dass der Kunde dabei andere Anforderungen an die Schnittstellen stellte als der Standard vorsah. Dies sollte uns vor einer weiteren Komplikation stellen, die wir innerhalb des kurzen Projektzeitraums umsetzen mussten.
Lösung / Umsetzung
Mit Greenbone hatten wir die Möglichkeit, die Prozessleittechnik von zentralem Hersteller der OT abzudecken. Greenbone kann die PLT von renommierten Herstellern als OT einbinden und zählt seit Jahren als Spezialist im KRITIS-Bereich, weswegen die Wahl des Kunden auch auf Greenbone fiel.
Zusätzlich besitzt Greenbone auch eine BSI-Zertifizierung, was eine Anforderung des Kunden war. Die geforderte BSI-konforme Dokumentation wurde von uns erstellt und dem Kunden bei Projektabnahme übergeben.
GSM von Greenbone im Testlabor der DATAKOM
Wir, die DATAKOM arbeiten schon seit vielen Jahren mit Greenbone zusammen und haben zahlreiche solcher Projekte mit Greenbone erfolgreich umsetzen dürfen. Ein Vorteil, den wir unseren Kunden dabei bereitstellen können, ist, dass wir hierfür speziell ausgebildete Greenbone Experten bei der DATAKOM haben, die auch über die Erfahrungen der jeweilig zu integrierenden Umsysteme verfügen.
In unseren firmeneigenen Testlabor haben wir das Konzept erprobt, die Scans konfiguriert und in unserem Testnetz simuliert. So konnten wir dem Kunden eine Plug&Play Lösung anbieten Ein Umstand, der zu deutlich verkürzter Projektlaufzeit bei gleichzeitiger Reduktion von Implementierungsaufwand führte.
Schematische Darstellung
Die DATAKOM führte im Anschluss des Projekts mit dem Kunden vier Schulungen für bis zu zehn Personen aus. Für die Schulung wird eine einfache Datenverarbeitungs-Expertise und gute Prozess Kenntnisse vorausgesetzt.
Warum DATAKOM?
Wir, die DATAKOM haben in der Vergangenheit großartige Greenbone Projekte in komplexen Organisationen erfolgreich abgeschlossen. Durch diese Vielzahl an Projekte konnten unsere Experten viel Erfahrung sammeln und aufgrund dessen waren wir in der Lage, auch dieses Projekt erfolgreich abzuschließen. Unser Auftraggeber kam mit diesem Vorhaben aktiv auf uns zu, was uns sehr stolz macht. Hervorzuheben ist hierbei, dass wir trotz einigen Hürden in den dafür vorgegeben Budget und Zeitrahmen geblieben sind.
Über Greenbone
Greenbone Networks wurde im Jahr 2008 von führenden Experten für Netzwerksicherheit und freie Software gegründet. Seit 2012 ist Greenbone Partner von uns und wir konnten viele großartige Projekte im öffentlichen und privaten Bereich erfolgreich abschließen. Sitz des privaten Unternehmens ist Osnabrück, Deutschland. Die Lösungen kommen heute rund um die Welt zum Einsatz. Greenbone bietet eine Open-Source-basierte Lösung für Schwachstellen-Analyse und -Management: den Greenbone Security Manager (GSM). Er identifiziert Sicherheitslücken in der Unternehmens-IT, bewertet deren Risikopotenzial und empfiehlt Maßnahmen zur Behebung. Ziel ist es, Angriffe durch gezielte Vorsorgemaßnahmen zu verhindern. Damit ist der GSM die perfekte Ergänzung zu reaktiven Sicherheitstools wie Firewalls & Co.
Kunden erhalten ein komplett überprüfbares Produkt „made in Germany“, anstelle einer schwarzen Box. Das kommt selbst an oberster Stelle gut an: auf Basis eines Bundeslizenzvertrags mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt Greenbone auch deutsche Behörden beim Kampf gegen Cyber-Attacken.