Anzeige
Anzeige
Beitrag drucken

Sicherheitsinformations- und Ereignismanagement

Angriffsvektoren von Infrastrukturen schließen

Während die klassische Unternehmens-IT über die vergangenen Jahre hinweg immer besser auf Sicherheitsvorfälle vorbereitet wurde, gestaltet sich die Absicherung industrieller Infrastrukturen meist als sehr viel schwieriger. Mit der wachsenden Zahl an Industrie 4.0-Projekten oder Internet der Dinge-Installationen rollt schon die nächste große Welle an Sicherheitsherausforderungen auf die Unternehmen zu.



Bild: IBM Deutschland GmbH

Bereits heute werden betriebliche IT-Infrastrukturen weltweit rund 60.000 Mal pro Tag angegriffen – dabei verändern sich die Methoden regelmäßig und werden zunehmend ausgefeilter und effizienter. Exemplarische Berechnungen für US-Handelsunternehmen verzeichneten zwischen 2012 und 2014 zwar eine Abnahme der Angriffe um rund 50 Prozent, gleichzeitig jedoch stieg die Anzahl erfolgreich gehackter Datensätze 2014 im Vergleich zu 2013 um über 43 Prozent. Findet also ein Angriff statt, so ist dieser zunehmend auch erfolgreich. Diese Entwicklungen sind auch im industriellen Umfeld zu befürchten, das im Vergleich zur restlichen Unternehmens-IT über weitaus weniger Maßnahmen für digitale Security verfügt.

Nach den Analysen von IDC werden bis zum Jahr 2020 mehr als 30 Milliarden Geräte an das IoT angeschlossen sein, ein guter Teil davon betrifft Industrie 4.0-Projekte. Die Menge und Einsatzbereiche der zu erwartenden ’smarten Geräte‘ öffnen Angriffsvektoren für bisher nicht gekannte Sicherheitsbedrohungen. Dies gilt insbesondere dann, wenn Maschinen im Sinn einer Industrie 4.0 vielfälter vernetzt werden. Untersuchungen von IBM zeigen, dass ein erfolgreicher Angriff im Durchschnitt erst nach 242 Tagen erkannt wird und dann meist sogar von nicht betroffenen Externen. Dies kann dramatische Folgen haben und drängt Unternehmen in eine reaktive Rolle.

Schutz der IT, ohne Prozesse zu durchbrechen

Die Absicherung industrieller Infrastrukturen ist nicht trivial – häufig wird zu wenig Rücksicht auf die Besonderheiten industrieller Anforderungen im Unterschied zur herkömmlichen Unternehmens-Security genommen. Sicherheitsbedingte Unterbrechungen, etwa für die Durchführung einer Passwort-Wiederherstellung durch den zentralen Helpdesk, sind in industriellen Prozessen – zum Beispiel beim Leitstellenbetrieb – nicht umsetzbar. Oberstes Gebot für industrielle Sicherheitskonzepte ist dabei die Rückwirkungsfreiheit von Sicherheitsmaßnahmen. Mit anderen Worten: Der zu schützende Prozess sollte nicht von einem Sicherheitsmechanismus unterbrochen werden können.

Denn es macht einen Riesenunterschied, ob ein E-Mail-Server für vier Stunden nicht mehr arbeitet oder ob das System der Fahrzeugschlüssel-Codierung ausfällt, was sehr schnell zu Produktionsproblemen in der Fertigung führt. Oder ob der Lackierroboter manipuliert wird, der dann zu dünne Lackschichten aufträgt, was noch Jahre später zu Rückrufen führen kann. Hinzu kommt: Moderne Angriffe sind oft komplex, verschlüsselt, verschachtelt und nutzen ‚legitime‘ Kommunikationswege. Sie sind minimal invasiv und damit nur sehr schwer zu erkennen.

Mit kompensierenden Maßnahmen dagegenhalten

Moderne Angriffe sind von legitimen Zugriffen oft nicht zu unterscheiden. Dies stellt das Sicherheitsmanagement vor größere Probleme. Unternehmen können damit verschieden umgehen. Zu den Optionen zählen neben der Prävention und Risikobegrenzung durch möglichst frühe Erkennung auch detektive und korrektive Maßnahmen, falls der Angriff schon weiter fortgeschritten ist. Auch sollte der Einsatz forensischer Mittel für eine nachträgliche Analyse in Betracht gezogen werden. Sicherheitsverantwortliche können also mit einer ganzen Reihe von Maßnahmen die Angriffsvektoren, wenn auch nicht ganz, so doch bis auf ein noch akzeptables Maß verkleinern.

Dazu gehört es einerseits, Informationen über aktuell bekannte Bedrohungen bei den wichtigsten zuständigen Behörden, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland und seinem amerikanischem Pendant, dem US ICS-Cert, einzuholen. Andererseits müssen verschiedene Hausaufgaben im Hinblick auf die unternehmenseigenen Sicherheitskonzepte erledigt werden. Das Ziel muss sein, mit intelligenten Lösungen Bedrohungen früh zu erkennen (präventiv) und auf Attacken, während sie geschehen (detektiv) sowie nachdem sie erfolgt sind (forensisch korrektiv), reagieren zu können. Um den Herausforderungen des Sicherheitsmanagements zu begegnen, sollten Unternehmen insbesondere folgende Schritte in Betracht ziehen:

  • klassische und industrielle Sicherheitsmaßnahmen integrieren und harmonisieren
  • kontinuierliches Sicherheits-Monitoring auch in Kontroll- und Prozessnetzen
  • Möglichkeiten zur Risikoanalysen und Forensik in Echtzeit
  • Voraussetzungen schaffen, um schnell auf Unregelmäßigkeiten reagieren zu können
  • Maßnahmen bereitstellen, die die Schadenshöhe eines erfolgreichen Angriffs reduzieren.
  • Security Intelligence zur verbesserten Erkennung

    Für den Erfolg der Vision Industrie 4.0 wird es darauf ankommen, wie robust die Prozesse von der Office-IT bis zum Sensor über Unternehmensgrenzen hinweg laufen. Dabei muss den wachsenden Gefahren, die durch die dynamische Vernetzung mit Dienstleistern entstehen ebenso wie den Gefahren durch Echtzeit-Verarbeitung und modernen Angriffsformen Rechnung getragen werden. Bei der Absicherung der IT-Systeme helfen Lösungen, die mit Sicht auf die gesamte Infrastruktur Sicherheitsanalysen durchführen. Damit lassen sich Erkennungs- und Alarmierungsprozesse gestalten, die im Schadensfall dazu beitragen sollen, einen Schaden möglichst gering zu halten. Für diese Aufgabe hat IBM die IT-Security-Lösung IBM QRadar im Portfolio.

    Die Plattform für das Sicherheitsinformations- und Ereignismanagement (SIEM) kann unterschiedliche Ebenen der überwachten IT-Systeme im Gesamtkontext analysieren. Hierzu werden sicherheitsrelevante Meldungen von Infrastruktur-, Betriebssystem- und Anwendungskomponenten erfasst, in Beziehung zueinander gesetzt und gegebenenfalls ein Alarm erzeugt. Erkannt werden dabei ungewöhnliche Verhaltensmuster, Anomalien und weitere Auffälligkeiten, die Indizien für Manipulation, Verfügbarkeits- Integritäts- und Vertraulichkeitsverlust sein können. Dadurch können Unregelmäßigkeiten, Anomalien und auf bestehende Schwachstellen ausgerichtete Angriffe erkannt und einfachen forensischen Untersuchungen unterzogen werden.



    IBM hat mit der SIEM-Plattform QRadar eine Lösung im Portfolio, die Unternehmen bei ihren IT-Sicherheitsmaßnahmen unterstützt.
    Bild: IBM Deutschland GmbH
    google plus


    Das könnte Sie auch interessieren:

    Der Autozulieferer ZF Friedrichshafen AG berechnet und optimiert seine logistischen Prozesse mit SAP-Software und einem zertifizierten Add-on. Die eingesetzten Module unterstützen das Unternehmen beim bedarfs- und bestandsoptimalen Controlling sowie der länder- und werksübergreifenden Aussteuerung aller Aktivitäten.‣ weiterlesen

    Bei Plastic Molded Concepts (PMC), einem Kunststoff-Spritzgusshersteller aus Eagle (USA), arbeiten die Werker mit dem kollaborativen Roboter Sawyer zusammen. Durch die Zusammenarbeit von Werker und Cobot will PMC die Effizienz seiner 38 Spritzgussmaschinen erhöhen.‣ weiterlesen

    Anzeige
    Anzeige
    Anzeige