Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Testverfahren für IT-Security

Wenn Firewall und Virenschutz nicht reichen

In der jüngsten Vergangenheit gab es Cyberangriffe mit einer noch nicht dagewesenen Professionalität. Zudem ist nun hinlänglich bekannt, dass sich auch Staaten am Cyberkrieg beteiligen. Da stößt der Schutz durch Firewalls und Antivirussysteme an Grenzen. Oft ist es Unternehmen nicht bewusst, wie verwundbar sie für geübte Angreifer sind. In Zeiten von vernetzten Produktionsanlagen steigt die Gefahr durch Cyberangriffe noch einmal zusätzlich. Dabei positionieren sich Angreifer auch als sogenannte Advanced Persistent Threats. Viele solcher APTs wählen ihre Ziele sorgfältig aus und wollen keine einzelne Komponente, sondern ganze Unternehmensnetzwerke infiltrieren. Mit den passenden Maßnahmen können sich Unternehmen jedoch ganz gut wehren.



Bild: IT-Cube Systems AG

Umfassende Informationen über das Sicherheitsniveau eines Netzwerkes samt verschiedener Systeme und Applikationen zu erhalten ist schwierig. Oft ist die Bewertung für Administratoren schwer und komplex. Penetrationstests und Infiltrationstests verfolgen ein gemeinsames Ziel: das Aufdecken von Sicherheitsproblemen in der IT-Infrastruktur, allerdings mit zwei völlig unterschiedlichen Ansätzen. Bei einem Penetrationstest wird aktiv nach Angriffsvektoren und Schwachstellen gesucht, die ein Angreifer ausnutzen könnte. Im Gegensatz dazu handelt es sich beim Infiltration Testing um einen Prozess von eher passiver Natur, wobei die IT-Infrastruktur analysiert beziehungsweise die Kommunikation der Hosts auf Anomalien überprüft wird. Grob gesagt liefert der Penetrationstest die Antwort auf die Frage, ob es möglich ist, die Infrastruktur zu infiltrieren und beim Infiltration Testing stellt sich heraus, ob und wie stark ein Netz bereits infiltriert ist. Der Dienstleister IT-Cube Systems bietet produzierenden Unternehmen die Möglichkeit, sie bei den verschiedenen IT-Sicherheitstests zu unterstützen.

Maßgeschneiderte Penetrationstests

Bei Penetrationstests wird meist der Fokus auf die jeweilige Applikation, den jeweiligen Dienst oder die jeweilige Infrastruktur gelegt – nur selten finden nicht fokussierte Penetrationstests auf die gesamte Infrastruktur statt. Für einen erfolgreichen Penetrationstest müssen bereits im Vorfeld der Rahmen und die Zielsetzung definiert werden. Nicht jede Anwendung und Infrastruktur besitzt die gleichen Sicherheitsanforderungen für die verarbeiteten Daten – die Kritikalität der einzelnen Aspekte wie Business-Workflow, Schutzbedarf der Daten und so weiter sollte vor dem eigentlichen Test ausgearbeitet werden. Die Prüfung selbst gliedert der IT-Dienstleister in folgende Phasen, die an Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik angelehnt sind:

  • Phase 1 − Projektvorbereitung: In der Projektvorbereitung erfolgt die Abstimmung mit dem Fertigungsunternehmen, um die Anforderungen an den Penetrationstest zu konturieren.
  • Phase 2 − Informationsbeschaffung und Auswertung sowie der passive Penetrationstest: In der zweiten Phase sammeln Prüfer Informationen, um die weiteren Testschritte durchzuführen.
  • Phase 3 − Bewertung der Informationen sowie Risikoanalyse: Für ein nachvollziehbares und wirtschaftlich effizientes Vorgehen müssen die gesammelten Informationen analysiert und bewertet werden, bevor die zeitaufwendigen Prüfungsschritte im Rahmen der qualifizierten Schwachstellenanalyse durchgeführt werden.
  • Phase 4 − Qualifizierte Schwachstellenanalyse: Anhand der Ergebnisse aus den anderen Phasen erfolgt nun eine intensive Prüfung des Testgegenstands auf Sicherheitsauffälligkeiten.
  • Phase 5 − Abschlussanalyse: Die Abschlussanalyse ist ein wichtiger Teil der Prüfung und dient der Ergebnisdarstellung und Präsentation. Ein umfangreicher Maßnahmenkatalog wird erstellt und dient als Entscheidungsvorlage für die nachgelagerten Tätigkeiten, etwa um gefundene Lücken zu schließen.

Warum Penetrationstests nicht ausreichen

Ein Penetrationstest sagt viel über die Gefahr und die Voraussetzungen für einen erfolgreichen Angriff auf den Testgegenstand aus – er kann allerdings keine Aussage über aktuell laufenden Angriffe liefern und ob sich bereits Angreifer Zugang zu dem Firmennetzwerk verschaffen konnten. Er ist nur eine Momentaufnahme und zeigt die Verwundbarkeit des Testgegenstands. Da jedoch täglich Sicherheitslücken veröffentlicht und Angriffstechniken so schnell weiterentwickelt werden, könnte schon kurz nach dem aufwendigen Test ein erfolgreicher Angriff erfolgen – die Arbeit geht also weiter. Auch hierzu bietet IT-Cube seine Deinste an.



Im Netzwerk platzierte Sensoren lauschen im Datenverkehr, ob sich etwas unerwünschtes tut. Werden Anomalien und Angreifer erkannt, können die IT-Verantwortlichen zügig Gegenmaßnahmen einleiten.Bild: IT-Cube Systems AG


Herausfinden, was im Netzwerk vor sich geht

Im Gegensatz zum Penetrationstest zielt Infiltration Testing als andauernder Prozess darauf ab, laufende Cyberangriffe in Echtzeit zu erkennen. Dabei wird eine Verkehrsdatenanalyse mithilfe von strategisch platzierten Sniffern, einer Netzwerküberwachungsanwendung, über einen Zeitraum von etwa vier Wochen erstellt. Mit einer Kombination aus Normalisierung, Datenanalyse, Verhaltensmustererkennung und maschinellem Lernen werden Kommunikationsverhalten, Verkehrsbeziehungen und -charakteristika automatisiert erfasst, korreliert, kontextuell bewertet und schließlich graphisch evaluiert. Aktuelle Malware-Erkennungssysteme liefern nur zufriedenstellende Ergebnisse bei der Erkennung von Erstinfektionen. Jedoch haben sie den Nachteil, dass je nur spezifische Protokolle wie HTTP oder SMTP untersucht werden können. Durch die Einschränkung auf den Internetperimeter können diese Systeme die laterale Ausbreitung im Netzwerk nach der Erstinfektion nicht erkennen. Der IT-Sicherheitsdienstleister kombiniert in seinen Analysen daher die Perimeterüberwachung mit verteilten Sensoren, um die die Nachteile eines reinen Sandboxing-Verfahrens für die Malware-Erkennung auszuschalten. So lassen sich Bedrohungen wie Malware, Bots, CnC-Kommunikationen, Datenausleitungen und Reconnaissance-Verhalten mit hoher Zuverlässigkeit aufspüren und die jeweilige Phase im Lebenszyklus des Angriffes erkennen.

Schaden eindämmen mit Post Breach Detection

Setzt man voraus, dass es bereits zu einem erfolgreichen Angriff gekommen ist, rückt die Post Breach Detection in den Fokus. Gerade bei dem Verdacht auf Industriespionage stellt sich die Frage, welche unternehmenskritischen Daten bereits entwendet wurden, damit man einen Überblick bekommt, welchen Risiken das Unternehmen ausgesetzt ist und welche Gegenmaßnahmen einzuleiten sind. Das Verfahren kann sowohl lateralen als auch ein- und ausgehenden Internet-Traffic analysieren. Typische Host-to-Peer-Beziehungen werden in Clustern zusammengefasst und normale Interaktionen im Baselining erfasst. Davon abweichende Verhaltensweisen werden erkannt, da typische Muster der eingesetzten Ausbreitungstechniken mit hoher Wahrscheinlichkeit identifiziert werden können. Die hier beschriebene Kombination aus Penetrationstests und Infiltration Testing vermitteln Unternehmen einen Einblick in das Innenleben ihres Netzwerks. Das ist der erste Schritt, um Risiken rechtzeitig zu beseitigen und um laufende Angriffe abzuwehren. Und offene Angriffsvektoren können sich digitalisierte Fertigungsbetriebe genauso wenig leisten wie Ausschuss in der Produktion.


Das könnte Sie auch interessieren:

Fertiger sollten wissen, welche Assets in ihrem Unternehmen zum Einsatz kommen. So einfach ist es jedoch nicht, kommt in der Produktion doch schnell eine große Anzahl von Geräten und Komponenten zusammen. Software kann helfen und darüber hinaus auch anormales Verhalten vieler Geräte erkennen.‣ weiterlesen

Zur 22. Jahrestagung 'Portfolio- und Projektmanagement mit SAP' lädt TAC Events im November ein. Neben einer Präsenzveranstaltung ist auch die Online-Teilnahme möglich.‣ weiterlesen

Bosch Rexroth hat die App ValueStreamManager für digitales Mapping, Design und Visualisierung von Wertströmen vorgestellt. Viele Fertigungsbetriebe betreiben Lean Management, um den Wertstrom im Unternehmen immer besser zu planen und umzusetzen.‣ weiterlesen

Aktuelle IoT-Plattformen sollten einige Mindestanforderungen erfüllen, um als Grundlage für komplexere Projekte in Frage zu kommen. Um diese geht es im folgenden Artikel, beginnend bei der Konnektivität, also den unterstützten Protokollen und Schnittstellen.‣ weiterlesen

Die Steigerung von Produktivität und Effektivität in der Industrie und eine ressourcenschonende Nachhaltigkeit stehen sich nicht unversöhnlich gegenüber. Wirtschaftliche Ziele und ökologische Verantwortung unterstützen sich gegenseitig - nur ist das noch nicht überall erkannt.‣ weiterlesen

Die 16. FMB – Zuliefermesse Maschinenbau findet vom 10. bis 12. November 2021 im Messezentrum Bad Salzuflen statt. Zu den Topthemen kürte Veranstalter Easyfairs die Oberflächentechnik und Digitalisierung.‣ weiterlesen

Produktionsunternehmen sollen mit den neuen IoTmaxx-Mobilfunk-Gateways Maschinendaten besonders schnell in die AnyViz-Cloud übertragen können.‣ weiterlesen

Self-Service-Technologie, digitale Assistenten, künstliche Intelligenz - die Digitalwerkzeuge fürs Kundenbeziehungsmanagement werden immer ausgefeilter. Sind CRM- und ERP-System gut integriert, lassen sich im Sinn des xRM-Ansatzes auch leicht die Beziehungen zu Geschäftspartnern IT-gestützt pflegen.‣ weiterlesen

Vor allem KMU befürchten häufig, bei der IT-gestützten Prozessoptimierung im Vergleich zu Großkonzernen nicht mithalten zu können. Die beiden Technologieprojekte IIP Ecosphere und FabOS, die im Rahmen des KI-Innovationswettbewerbs vom BMWi gefördert werden, wollen diesen Firmen den Zugang zu KI-Anwendungen erleichtern.‣ weiterlesen

Emerson hat die Einführung der Software Plantweb Optics Data Lake bekanntgegeben. Die Datenmanagement-Lösung identifiziert, erfasst und kontextualisiert unterschiedliche Daten in großem Maßstab entweder vor Ort in industriellen Anlagen oder mithilfe von Cloud-Technologie.‣ weiterlesen

Im September 2021 erscheint die Richtlinie VDI/VDE 2185 Blatt 2 'Funkgestützte Kommunikation in der Automatisierungstechnik - Koexistenzmanagement von Funksystemen'. Wenn unterschiedliche Funksysteme bei Automatisierungsaufgaben unterstützen, ist mit einer gegenseitigen Beeinflussung der Systeme zu rechnen.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige