Anzeige
Anzeige
Anzeige
Beitrag drucken

Testverfahren für IT-Security

Wenn Firewall und Virenschutz nicht reichen

In der jüngsten Vergangenheit gab es Cyberangriffe mit einer noch nicht dagewesenen Professionalität. Zudem ist nun hinlänglich bekannt, dass sich auch Staaten am Cyberkrieg beteiligen. Da stößt der Schutz durch Firewalls und Antivirussysteme an Grenzen. Oft ist es Unternehmen nicht bewusst, wie verwundbar sie für geübte Angreifer sind. In Zeiten von vernetzten Produktionsanlagen steigt die Gefahr durch Cyberangriffe noch einmal zusätzlich. Dabei positionieren sich Angreifer auch als sogenannte Advanced Persistent Threats. Viele solcher APTs wählen ihre Ziele sorgfältig aus und wollen keine einzelne Komponente, sondern ganze Unternehmensnetzwerke infiltrieren. Mit den passenden Maßnahmen können sich Unternehmen jedoch ganz gut wehren.



Bild: IT-Cube Systems AG

Umfassende Informationen über das Sicherheitsniveau eines Netzwerkes samt verschiedener Systeme und Applikationen zu erhalten ist schwierig. Oft ist die Bewertung für Administratoren schwer und komplex. Penetrationstests und Infiltrationstests verfolgen ein gemeinsames Ziel: das Aufdecken von Sicherheitsproblemen in der IT-Infrastruktur, allerdings mit zwei völlig unterschiedlichen Ansätzen. Bei einem Penetrationstest wird aktiv nach Angriffsvektoren und Schwachstellen gesucht, die ein Angreifer ausnutzen könnte. Im Gegensatz dazu handelt es sich beim Infiltration Testing um einen Prozess von eher passiver Natur, wobei die IT-Infrastruktur analysiert beziehungsweise die Kommunikation der Hosts auf Anomalien überprüft wird. Grob gesagt liefert der Penetrationstest die Antwort auf die Frage, ob es möglich ist, die Infrastruktur zu infiltrieren und beim Infiltration Testing stellt sich heraus, ob und wie stark ein Netz bereits infiltriert ist. Der Dienstleister IT-Cube Systems bietet produzierenden Unternehmen die Möglichkeit, sie bei den verschiedenen IT-Sicherheitstests zu unterstützen.

Maßgeschneiderte Penetrationstests

Bei Penetrationstests wird meist der Fokus auf die jeweilige Applikation, den jeweiligen Dienst oder die jeweilige Infrastruktur gelegt – nur selten finden nicht fokussierte Penetrationstests auf die gesamte Infrastruktur statt. Für einen erfolgreichen Penetrationstest müssen bereits im Vorfeld der Rahmen und die Zielsetzung definiert werden. Nicht jede Anwendung und Infrastruktur besitzt die gleichen Sicherheitsanforderungen für die verarbeiteten Daten – die Kritikalität der einzelnen Aspekte wie Business-Workflow, Schutzbedarf der Daten und so weiter sollte vor dem eigentlichen Test ausgearbeitet werden. Die Prüfung selbst gliedert der IT-Dienstleister in folgende Phasen, die an Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik angelehnt sind:

  • Phase 1 − Projektvorbereitung: In der Projektvorbereitung erfolgt die Abstimmung mit dem Fertigungsunternehmen, um die Anforderungen an den Penetrationstest zu konturieren.
  • Phase 2 − Informationsbeschaffung und Auswertung sowie der passive Penetrationstest: In der zweiten Phase sammeln Prüfer Informationen, um die weiteren Testschritte durchzuführen.
  • Phase 3 − Bewertung der Informationen sowie Risikoanalyse: Für ein nachvollziehbares und wirtschaftlich effizientes Vorgehen müssen die gesammelten Informationen analysiert und bewertet werden, bevor die zeitaufwendigen Prüfungsschritte im Rahmen der qualifizierten Schwachstellenanalyse durchgeführt werden.
  • Phase 4 − Qualifizierte Schwachstellenanalyse: Anhand der Ergebnisse aus den anderen Phasen erfolgt nun eine intensive Prüfung des Testgegenstands auf Sicherheitsauffälligkeiten.
  • Phase 5 − Abschlussanalyse: Die Abschlussanalyse ist ein wichtiger Teil der Prüfung und dient der Ergebnisdarstellung und Präsentation. Ein umfangreicher Maßnahmenkatalog wird erstellt und dient als Entscheidungsvorlage für die nachgelagerten Tätigkeiten, etwa um gefundene Lücken zu schließen.

Warum Penetrationstests nicht ausreichen

Ein Penetrationstest sagt viel über die Gefahr und die Voraussetzungen für einen erfolgreichen Angriff auf den Testgegenstand aus – er kann allerdings keine Aussage über aktuell laufenden Angriffe liefern und ob sich bereits Angreifer Zugang zu dem Firmennetzwerk verschaffen konnten. Er ist nur eine Momentaufnahme und zeigt die Verwundbarkeit des Testgegenstands. Da jedoch täglich Sicherheitslücken veröffentlicht und Angriffstechniken so schnell weiterentwickelt werden, könnte schon kurz nach dem aufwendigen Test ein erfolgreicher Angriff erfolgen – die Arbeit geht also weiter. Auch hierzu bietet IT-Cube seine Deinste an.



Im Netzwerk platzierte Sensoren lauschen im Datenverkehr, ob sich etwas unerwünschtes tut. Werden Anomalien und Angreifer erkannt, können die IT-Verantwortlichen zügig Gegenmaßnahmen einleiten.Bild: IT-Cube Systems AG


Herausfinden, was im Netzwerk vor sich geht

Im Gegensatz zum Penetrationstest zielt Infiltration Testing als andauernder Prozess darauf ab, laufende Cyberangriffe in Echtzeit zu erkennen. Dabei wird eine Verkehrsdatenanalyse mithilfe von strategisch platzierten Sniffern, einer Netzwerküberwachungsanwendung, über einen Zeitraum von etwa vier Wochen erstellt. Mit einer Kombination aus Normalisierung, Datenanalyse, Verhaltensmustererkennung und maschinellem Lernen werden Kommunikationsverhalten, Verkehrsbeziehungen und -charakteristika automatisiert erfasst, korreliert, kontextuell bewertet und schließlich graphisch evaluiert. Aktuelle Malware-Erkennungssysteme liefern nur zufriedenstellende Ergebnisse bei der Erkennung von Erstinfektionen. Jedoch haben sie den Nachteil, dass je nur spezifische Protokolle wie HTTP oder SMTP untersucht werden können. Durch die Einschränkung auf den Internetperimeter können diese Systeme die laterale Ausbreitung im Netzwerk nach der Erstinfektion nicht erkennen. Der IT-Sicherheitsdienstleister kombiniert in seinen Analysen daher die Perimeterüberwachung mit verteilten Sensoren, um die die Nachteile eines reinen Sandboxing-Verfahrens für die Malware-Erkennung auszuschalten. So lassen sich Bedrohungen wie Malware, Bots, CnC-Kommunikationen, Datenausleitungen und Reconnaissance-Verhalten mit hoher Zuverlässigkeit aufspüren und die jeweilige Phase im Lebenszyklus des Angriffes erkennen.

Schaden eindämmen mit Post Breach Detection

Setzt man voraus, dass es bereits zu einem erfolgreichen Angriff gekommen ist, rückt die Post Breach Detection in den Fokus. Gerade bei dem Verdacht auf Industriespionage stellt sich die Frage, welche unternehmenskritischen Daten bereits entwendet wurden, damit man einen Überblick bekommt, welchen Risiken das Unternehmen ausgesetzt ist und welche Gegenmaßnahmen einzuleiten sind. Das Verfahren kann sowohl lateralen als auch ein- und ausgehenden Internet-Traffic analysieren. Typische Host-to-Peer-Beziehungen werden in Clustern zusammengefasst und normale Interaktionen im Baselining erfasst. Davon abweichende Verhaltensweisen werden erkannt, da typische Muster der eingesetzten Ausbreitungstechniken mit hoher Wahrscheinlichkeit identifiziert werden können. Die hier beschriebene Kombination aus Penetrationstests und Infiltration Testing vermitteln Unternehmen einen Einblick in das Innenleben ihres Netzwerks. Das ist der erste Schritt, um Risiken rechtzeitig zu beseitigen und um laufende Angriffe abzuwehren. Und offene Angriffsvektoren können sich digitalisierte Fertigungsbetriebe genauso wenig leisten wie Ausschuss in der Produktion.

google plus


Das könnte Sie auch interessieren:

Zum Portfolio des Kunststoffschweißspezialisten Munsch gehört auch die Reparatur der eigenen Erzeugnisse. Den Arbeitsfortschritt an den eingeschickten Geräten von Peakboard stellten die Werker lange auf einem Card-Board dar, das in der Praxis aber so gut wie nie den aktuellen Stand in der Werkstatt spiegelte.‣ weiterlesen

In Diskussionen um Blockchain-Technologie rücken zunehmend auch Smart Contracts in den Fokus. Bei dieser Form der Vertragsabwicklung lässt sich die Einhaltung ausgehandelter Bedingungen zwar transparent und sehr manipulationssicher dokumentieren, das vertragliche Rahmenwerk ersetzen Smart Contracts aber nicht.‣ weiterlesen

Mit der All about Automation in Leipzig, findet am 12. und 13. September eine regional ausgerichtete Messe für Industrieautomation für den mitteldeutschen Raum statt. Etwa 100 Aussteller werden dann in Leipzig erwartet.‣ weiterlesen

Um Wertstrom-Analysen durchzuführen oder neue Fertigungskonzepte zu untersuchen, muss man nicht unbedingt auf kostspielige Expertensysteme setzen. Dies zeigt die Anwendung der 3D-Software taraVRbuilder von der Tarakos GmbH in der Werksplanung des Automobilzulieferers Magna Exteriors in Idar-Oberstein. In mehreren Schritten ließen sich hier mit Hilfe realitätsnaher 3D-Visualisierung die komplexen Fertigungsprozesse verketten und an die Anforderungen von Kunden und Ressourcen anpassen.‣ weiterlesen

In einem Lager mit mehr als 25.000 Bestandsartikeln verlieren selbst Profis ohne IT-Unterstützung schnell den Überblick. Deshalb ergänzt der Produzent DDM Hopt+Schuler sein 2013 eingeführtes ERP- und PPS-System Fepa von Planat mit einem Datenbrillen-Kommissioniersystem samt Ringscannern.‣ weiterlesen

In vielen Betrieben wird mit Hochdruck an der Einführung von neuen Manufacturing Execution Systemen (MES) oder Advanced Planning Systemen (APS) gearbeitet. Dabei ist die Qualität der eingesetzten Algorithmen wichtig, aber oftmals wird die Benutzerschnittstelle vernachlässigt. Dies führt zu Frustrationen und schlussendlich einem Mangel an Akzeptanz. Dabei stehen bessere Visualisierungen längst bereit.‣ weiterlesen

Anzeige
Anzeige
Anzeige