Anzeige
Anzeige
Beitrag drucken

Testverfahren für IT-Security

Wenn Firewall und Virenschutz nicht reichen

In der jüngsten Vergangenheit gab es Cyberangriffe mit einer noch nicht dagewesenen Professionalität. Zudem ist nun hinlänglich bekannt, dass sich auch Staaten am Cyberkrieg beteiligen. Da stößt der Schutz durch Firewalls und Antivirussysteme an Grenzen. Oft ist es Unternehmen nicht bewusst, wie verwundbar sie für geübte Angreifer sind. In Zeiten von vernetzten Produktionsanlagen steigt die Gefahr durch Cyberangriffe noch einmal zusätzlich. Dabei positionieren sich Angreifer auch als sogenannte Advanced Persistent Threats. Viele solcher APTs wählen ihre Ziele sorgfältig aus und wollen keine einzelne Komponente, sondern ganze Unternehmensnetzwerke infiltrieren. Mit den passenden Maßnahmen können sich Unternehmen jedoch ganz gut wehren.



Bild: IT-Cube Systems AG

Umfassende Informationen über das Sicherheitsniveau eines Netzwerkes samt verschiedener Systeme und Applikationen zu erhalten ist schwierig. Oft ist die Bewertung für Administratoren schwer und komplex. Penetrationstests und Infiltrationstests verfolgen ein gemeinsames Ziel: das Aufdecken von Sicherheitsproblemen in der IT-Infrastruktur, allerdings mit zwei völlig unterschiedlichen Ansätzen. Bei einem Penetrationstest wird aktiv nach Angriffsvektoren und Schwachstellen gesucht, die ein Angreifer ausnutzen könnte. Im Gegensatz dazu handelt es sich beim Infiltration Testing um einen Prozess von eher passiver Natur, wobei die IT-Infrastruktur analysiert beziehungsweise die Kommunikation der Hosts auf Anomalien überprüft wird. Grob gesagt liefert der Penetrationstest die Antwort auf die Frage, ob es möglich ist, die Infrastruktur zu infiltrieren und beim Infiltration Testing stellt sich heraus, ob und wie stark ein Netz bereits infiltriert ist. Der Dienstleister IT-Cube Systems bietet produzierenden Unternehmen die Möglichkeit, sie bei den verschiedenen IT-Sicherheitstests zu unterstützen.

Maßgeschneiderte Penetrationstests

Bei Penetrationstests wird meist der Fokus auf die jeweilige Applikation, den jeweiligen Dienst oder die jeweilige Infrastruktur gelegt – nur selten finden nicht fokussierte Penetrationstests auf die gesamte Infrastruktur statt. Für einen erfolgreichen Penetrationstest müssen bereits im Vorfeld der Rahmen und die Zielsetzung definiert werden. Nicht jede Anwendung und Infrastruktur besitzt die gleichen Sicherheitsanforderungen für die verarbeiteten Daten – die Kritikalität der einzelnen Aspekte wie Business-Workflow, Schutzbedarf der Daten und so weiter sollte vor dem eigentlichen Test ausgearbeitet werden. Die Prüfung selbst gliedert der IT-Dienstleister in folgende Phasen, die an Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik angelehnt sind:

  • Phase 1 − Projektvorbereitung: In der Projektvorbereitung erfolgt die Abstimmung mit dem Fertigungsunternehmen, um die Anforderungen an den Penetrationstest zu konturieren.
  • Phase 2 − Informationsbeschaffung und Auswertung sowie der passive Penetrationstest: In der zweiten Phase sammeln Prüfer Informationen, um die weiteren Testschritte durchzuführen.
  • Phase 3 − Bewertung der Informationen sowie Risikoanalyse: Für ein nachvollziehbares und wirtschaftlich effizientes Vorgehen müssen die gesammelten Informationen analysiert und bewertet werden, bevor die zeitaufwendigen Prüfungsschritte im Rahmen der qualifizierten Schwachstellenanalyse durchgeführt werden.
  • Phase 4 − Qualifizierte Schwachstellenanalyse: Anhand der Ergebnisse aus den anderen Phasen erfolgt nun eine intensive Prüfung des Testgegenstands auf Sicherheitsauffälligkeiten.
  • Phase 5 − Abschlussanalyse: Die Abschlussanalyse ist ein wichtiger Teil der Prüfung und dient der Ergebnisdarstellung und Präsentation. Ein umfangreicher Maßnahmenkatalog wird erstellt und dient als Entscheidungsvorlage für die nachgelagerten Tätigkeiten, etwa um gefundene Lücken zu schließen.

Warum Penetrationstests nicht ausreichen

Ein Penetrationstest sagt viel über die Gefahr und die Voraussetzungen für einen erfolgreichen Angriff auf den Testgegenstand aus – er kann allerdings keine Aussage über aktuell laufenden Angriffe liefern und ob sich bereits Angreifer Zugang zu dem Firmennetzwerk verschaffen konnten. Er ist nur eine Momentaufnahme und zeigt die Verwundbarkeit des Testgegenstands. Da jedoch täglich Sicherheitslücken veröffentlicht und Angriffstechniken so schnell weiterentwickelt werden, könnte schon kurz nach dem aufwendigen Test ein erfolgreicher Angriff erfolgen – die Arbeit geht also weiter. Auch hierzu bietet IT-Cube seine Deinste an.



Im Netzwerk platzierte Sensoren lauschen im Datenverkehr, ob sich etwas unerwünschtes tut. Werden Anomalien und Angreifer erkannt, können die IT-Verantwortlichen zügig Gegenmaßnahmen einleiten.Bild: IT-Cube Systems AG


Herausfinden, was im Netzwerk vor sich geht

Im Gegensatz zum Penetrationstest zielt Infiltration Testing als andauernder Prozess darauf ab, laufende Cyberangriffe in Echtzeit zu erkennen. Dabei wird eine Verkehrsdatenanalyse mithilfe von strategisch platzierten Sniffern, einer Netzwerküberwachungsanwendung, über einen Zeitraum von etwa vier Wochen erstellt. Mit einer Kombination aus Normalisierung, Datenanalyse, Verhaltensmustererkennung und maschinellem Lernen werden Kommunikationsverhalten, Verkehrsbeziehungen und -charakteristika automatisiert erfasst, korreliert, kontextuell bewertet und schließlich graphisch evaluiert. Aktuelle Malware-Erkennungssysteme liefern nur zufriedenstellende Ergebnisse bei der Erkennung von Erstinfektionen. Jedoch haben sie den Nachteil, dass je nur spezifische Protokolle wie HTTP oder SMTP untersucht werden können. Durch die Einschränkung auf den Internetperimeter können diese Systeme die laterale Ausbreitung im Netzwerk nach der Erstinfektion nicht erkennen. Der IT-Sicherheitsdienstleister kombiniert in seinen Analysen daher die Perimeterüberwachung mit verteilten Sensoren, um die die Nachteile eines reinen Sandboxing-Verfahrens für die Malware-Erkennung auszuschalten. So lassen sich Bedrohungen wie Malware, Bots, CnC-Kommunikationen, Datenausleitungen und Reconnaissance-Verhalten mit hoher Zuverlässigkeit aufspüren und die jeweilige Phase im Lebenszyklus des Angriffes erkennen.

Schaden eindämmen mit Post Breach Detection

Setzt man voraus, dass es bereits zu einem erfolgreichen Angriff gekommen ist, rückt die Post Breach Detection in den Fokus. Gerade bei dem Verdacht auf Industriespionage stellt sich die Frage, welche unternehmenskritischen Daten bereits entwendet wurden, damit man einen Überblick bekommt, welchen Risiken das Unternehmen ausgesetzt ist und welche Gegenmaßnahmen einzuleiten sind. Das Verfahren kann sowohl lateralen als auch ein- und ausgehenden Internet-Traffic analysieren. Typische Host-to-Peer-Beziehungen werden in Clustern zusammengefasst und normale Interaktionen im Baselining erfasst. Davon abweichende Verhaltensweisen werden erkannt, da typische Muster der eingesetzten Ausbreitungstechniken mit hoher Wahrscheinlichkeit identifiziert werden können. Die hier beschriebene Kombination aus Penetrationstests und Infiltration Testing vermitteln Unternehmen einen Einblick in das Innenleben ihres Netzwerks. Das ist der erste Schritt, um Risiken rechtzeitig zu beseitigen und um laufende Angriffe abzuwehren. Und offene Angriffsvektoren können sich digitalisierte Fertigungsbetriebe genauso wenig leisten wie Ausschuss in der Produktion.


Das könnte Sie auch interessieren:

Die Parametrierung von Anlagen ist zeitintensiv und erfordert Fachwissen - und findet demnach nur statt, wenn es nicht anders geht. Doch Datenanalyse und Algorithmen können künftig helfen, Produktionsanlagen und eingesetzten Ressourcen stets das Bestmögliche zu entlocken.‣ weiterlesen

Verbraucher können Massenprodukte wie Schuhe und Autos längst nach individuellen Wünschen gestalten. Auch im Industriebereich erwarten Kunden immer individuellere Lösungen zum Preis von Serienprodukten - obwohl Komplexität und Kosten beim Hersteller steigen. Softwaregestützte Variantenkonfiguration adressiert diese Effekte.‣ weiterlesen

PSI Automotive & Industry hat Details zum neuen Release 9.4 des ERP-Systems Psipenta bekanntgegeben. Überarbeitet wurden demnach zum Beispiel die Unterstützung bei der Exportabwicklung, die Textverwaltung, die Standardberichte im Client sowie Mehrsprachenbelege.‣ weiterlesen

Viele Unternehmen rollen Funktionalität im IIoT als Microservice aus. Dazu erstellen IT-Teams kleine Software-Container, die oft mit Kubernetes verwaltet werden. Das könnte künftig häufiger mit Bare Metal Kubernetes erfolgen.‣ weiterlesen

Angesichts komplexer werdender Prozesse und dem Wunsch nach niedrigen Durchlaufzeiten parallelisieren Unternehmen Entwicklungsabäufe per virtuellen Inbetriebnahme.‣ weiterlesen

Wollen Hersteller mehrere Werke mit einer vergleichbaren MOM/MES-Infrastruktur versorgen, steigen die Projektrisiken deutlich. Klare Zielvorgaben, offene Kommunikation und ein Exzellenzzentrum helfen, die Risiken zu bewältigen - und instanziierbare MOM-Templates zu entwickeln, die trotzdem individuelle Anforderungen berücksichtigen.‣ weiterlesen

Die Stimmung in den Unternehmen hat sich im Mai etwas aufgehellt. Der Ifo-Geschäftsklimaindex stieg auf 93 Punkte. Trotz Inflationssorgen, Materialengpässen und Ukraine-Krieg erweise sich die deutsche Wirtschaft als robust, so Ifo-Präsident Clemens Fuest.‣ weiterlesen

Aptean DACH hat zwei neue Partner im Boot: den KI-Spezialisten Prodaso sowie das IT-Systemhaus Acomm.‣ weiterlesen

Im Gegensatz zur klassischen Produktions-IT bieten Cloud-Systeme höhere Rechen- und Speicherkapazitäten. Für Anwendungen mit deterministischen Anforderungen gelten diese Infrastrukturen aber als ungeeignet. Dabei können viele Hürden mit der richtigen Konfiguration und der Nutzung von TSN überwunden werden.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige