Anzeige
Anzeige
Anzeige
Beitrag drucken

Verhaltensbasierte Erkennung

Die Industrie im Fadenkreuz

Der industrielle Mittelstand gehört mittlerweile zu den begehrten Zielen von illegalen Aktivitäten im Internet: Ein Viertel der Einbruchsversuche in große IT-Umgebungen zielt auf Automatisierungs- und Fertigungs-Know-how ab. Für Unternehmen kann sich daher der Blick auf logbasierte Systeme für Gegen- und Abwehrmaßnahmen lohnen. Entsprechende Lösungen sind inzwischen erschwinglicher und einfacher einzusetzen als noch vor wenigen Jahren.

Bild: Fotolia/aetb

Der Trend zur Re-Industrialisierung in vielen westlichen Staaten verstärkt die Begehrlichkeit nach vertraulichen Daten, geschützten Patenten und Prozessabläufen der hiesigen Mittelstandsindustrie. Noch nie waren Erfindungen, Lieferbeziehungen und andere Wettbewerbsfaktoren so wertvoll wie heute – und die Möglichkeiten, diese auf illegalem Weg zu erlangen oder zu eliminieren, sind einfach und günstig. Innovationen sowie neue Produkte und Dienstleistungen sind sehr kostenintensiv – und damit wertvoll genug, um geschützt zu werden. Stichworte wie Industrie 4.0 oder ‚Cyber-Physical Systems‘ (CPS) weisen auf den steigenden Bedarf nach umfassenden Sicherheitsmaßnahmen im Produktionsumfeld hin: Viren in E-Health-Anwendungen, Trojaner in mobilen Geräten aller Art und Bot-Netze auf E-Mail- oder Webserverfarmen können inzwischen Vertriebsmitarbeiter und Konstrukteure genauso betreffen wie die Produktion und IT-Abteilung.

Den Angreifern einen Schritt voraus sein

Unternehmen sind sich bewusst, dass Schranken und Zäune für einen wirkungsvollen Werkschutz nicht ausreichend sind: Ein global aufgestelltes Unternehmen wird im Hinblick auf IT-Sicherheit auf Firewalls, Systeme für ‚Intrusion Detection‘ und ‚Intrusion Prevention‘ (IDS/IPS), also dem Erkennen und Vorbeugen von unerlaubten Zugriffen, sowie auf bewährte E-Mail- und Internet Security-Standardlösungen setzen. Aber so wie eine gute Videoüberwachung dem Anwender gestattet, durch Kamerapositionen zu schalten und bei Bedarf zu zoomen, sollte auch die IT-Security imstande sein, Zusammenhänge schnell zu erkennen und im Fall der Fälle zügig zu alarmieren. Eine automatisierte Alarmierung bei Anomalien und festgelegten ‚Cases‘ ist heute übliche Praxis. Das Echtzeit-Monitoring wichtiger Netzwerk- und Security-Komponenten sowie verteilte Sensoren oder ‚Agenten‘ in technisch und geografisch exponierten Lagen können dafür sorgen, dass auch unkonventionelle Versuche einzudringen erkannt werden. Eine solch umfassende, logbasierte Lösung wird auch als ‚Security information and event management‘-System (SIEM) bezeichnet.

Auf gezielte Angriffe angemessen reagieren

Gezielte IT-Angriffe ‚passieren‘ nicht einfach, sie werden vielfach strategisch geplant ausgeführt. Im besten Falle handelt es sich dabei um beauftragte IT-Audits, die abgewehrt werden können. Verantwortliche in der IT und auch im Vorstand können so für eine gute Reputation sorgen und diese als Beurteilungskriterium für Sicherheitsstandards verwenden. Schlimmstenfalls jedoch werden Daten unerkannt gestohlen, Telefongespräche abgehört oder gar die Liniensteuerung beeinflusst. Vordefinierte Betriebshandbücher, die aktive Suche nach Bot-Netzen und Trojanern in der IT und umfangreiche Pen-Tests sowie Checks der vorhandenen Security-Software auf Kosten und Nutzen sowie die technische Aktualität sollten daher als grundlegende Sicherheitsmaßnahmen noch vor jeder Entscheidung für oder gegen eine SIEM- und Log-Managementlösung stehen.

Übergreifendes Zusammenspiel für sichere Produktion

Geht man davon aus, dass gezielte Angriffe auf den industriellen Mittelstand zunehmen, steht vor allem die Frage im Mittelpunkt, wie noch unbekannte Trojaner, Malware und BotSysteme eliminiert werden können. Eine besondere Herausforderung stellt dabei die Absicherung von Produktionsumgebungen dar. Historisch sind Office IT und Leittechnik meist mehr oder weniger strikt getrennt. Das führt nicht selten dazu, dass existierende Schnittstellen nachlässig behandelt werden. Im Hinblick auf IT-Sicherheit sollten aber die beteiligten Unternehmensbereiche kooperativ und übergreifend agieren. Das umfasst Leittechnik, Wachschutz, Produktionstechnik und die Office IT. Deren Verantwortliche benötigen dazu auch passende Werkzeuge, um gemeinsam Gefahren abwehren zu können. Dies reicht von Konzepten, die einen Stromausfall simulieren, über Brandalarme bis hin zu Maßnahmen gegen Einbruchsversuche über Wireless LAN oder den Netzwerkanschluss am Gang oder der Steuerung. Eine umfassende IT-Sicherheitsplattform sollte somit auch Power Management und Alarmierung umfassen. SIEM muss daher viele Sprachen sprechen können. Je nach Anbieter werden dazu Kommunikationsstandards ‚Out-of-the-box‘ implementiert, angepasst oder nachträglich integriert, etwa um auch physikalische Kontakte ‚bearbeiten‘ zu können. Leittechnik und Haussteuerungen, Ventile und Pumpen, verteilte Kameras oder Stromleisten können im Notfall so schnell aus- oder eingeschaltet und damit Schaden abgewendet werden – bei Bedarf auch ortsunabhängig und mobil via Smartphone.

‚Honigtöpfe‘ ziehen auch unbekannte Schädlinge an

Da Schadsoftware wie Bots, Trojaner und Würmer immer erst bekämpft werden kann, wenn bereits Schaden verursacht wurde oder nachdem die Softwarehersteller im Zuge ihrer Präventivarbeit Updates zur Verfügung stellen, ergibt sich für Unternehmen eine ‚Zeitspanne der Wehrlosigkeit‘. Hinzu kommt die Erkenntnis, dass sich Bot-Netze und Malware verteilen können, bevor Updates eingespielt werden, da vielfach keine regelmäßigen Voll-Scans der Systeme erfolgen. ‚Honeypot‘-Systeme, die Angreifern lohnenswerte Datenbestände oder Systemfunktionen vorgaukeln, lassen sich vor diesem Hintergrund dazu einsetzen, dass unerwünschte Kontaktaufnahmen zu einem ‚Anlocksystem‘ sofort eine Alarmierung auslösen.

Die Investitionshemmschwelle überwinden

Nichtstandardisierte Angriffe und Einbruchsversuche erfordern mitunter unkonventionelle Abwehrmethoden. Logarchivierung und forensische Datenanalyse können dabei eine zentrale Rolle spielen: Mit diesen ‚Bordmitteln‘ können Angreifer auch im Unternehmen enttarnt, die Strafverfolger unterstützt sowie Gefahren im Vorfeld ausgeschlossen werden. Solche Abwehrmaßnahmen könnten etwa so aussehen, dass Honeypot-Systeme gezielt eingerichtet oder typische Malware-Verhaltensmerkmale zur Alarmierung vorbereitet werden. Doch ‚große‘ Sicherheitsmanagementsysteme werden in vielen Unternehmen oft erst zu spät eingeführt – oder stiefmütterlich betreut. Damit stellen auch per se leistungsfähige Lösungen im schlimmsten Fall keine allzu große Hürde für Profi-Hacker dar. Eine Lösung für den Mittelstand kann sein, nach einer SIEM-Teststellung exponierte Standorte beispielsweise in den USA, Asien oder Osteuropa mit Honeypot-Agenten zu überwachen, die entsprechenden Module ‚auf‘ den Firewalls und Netzwerkkomponenten auszubringen und lediglich ausgewählte Systeme abzusichern. Der Zeitaufwand dafür beträgt wenige Tage, die Kosten bleiben überschaubar. Die weiteren Maßnahmen ergeben sich aus Vorgaben von Vorstand, IT oder Fachabteilungen für Compliance, Recht sowie Controlling und Revision.

Best Practices in der Organisation abbilden

Die Einführung einer Log-Management-Lösung bedeutet für ein Unternehmen jedoch auch, organisatorische Abläufe zu definieren und für den Zugriff auf fundierte Informationen bisher ‚tote‘ Datenberge und Logs wiederzubeleben. Dies ist spätestens dann notwendig, wenn Meldungen an Behörden notwendig werden. Eine umfassende Sicherheitsstrategie erfordert, dass Netzwerkänderungen und neue Bedrohungen automatisiert abgearbeitet und berücksichtigt werden. Dafür verspricht eine Systemlösung, die verschiedenen Appliances und Applikationen einbinden kann, hohen Mehrwert. Log-Agenten an den Sicherheitsperimetern können die schnelle Wahrnehmung ungewöhnlicher IT-Vorgänge erleichtern und stellen auch Bordmittel zur Verfügung, um das ‚Sicherheitstuning‘ im Verdachtsfall massiv zu erhöhen. Damit ist auch Compliance-Vorgaben Genüge getan, und es können rasch rechtlich fundierte Maßnahmen veranlasst werden.


Das könnte Sie auch interessieren:

Während im Gastgewerbe und im Handel im Februar wieder mehr Menschen in Kurzarbeit waren, ist der Anteil in der Industrie erneut zurückgegangen. Insgesamt wird die Zahl der in Kurzarbeit Beschäftigten im Februar auf 2,8 Millionen Menschen geschätzt.‣ weiterlesen

Der Aufsichtsrat von D.velop hat den bisherigen Vorstand Mario Dönnebrink als neuen Vorstandsvorsitzenden bestätigt.‣ weiterlesen

Zum Jahresende 2020 hat MES-Hersteller Cosmino aus Nürnberg das Funktionsmodul PreventiveAction weiterentwickelt. Das Modul soll durch das Einplanen und Erfassen der Wartungs- oder Reinigungsaktivität im MES sicherstellen, dass diese tatsächlich und regelmäßig stattfinden.‣ weiterlesen

Auf der Suche nach einer Fernzugriffslösung stieß Hansa Klimasysteme auf das Ixon-Portfolio. Überzeugt durch dessen Bedienung, wurde das ursprünglich angedachte Remote-System als weitreichendes Monitoring- und Visualisierungs-Paket umgesetzt - zum Vorteil der Kunden.‣ weiterlesen

MES-Anbieter und Dürr-Tochter iTAC Software hat das Instandhaltungsmodul Maintenance Manager angekündigt. Der digitale Wartungsmanager ist für Arbeitsplatzrechner und mobile Geräte wie Tablets verfügbar.‣ weiterlesen

Individuelle Anpassungen im ERP-System sind normal, doch sie können den Upgrade-Prozess verzögern. Die Heyligenstaedt Werkzeugmaschinen GmbH tritt diesem Problem mit den dynamischen Attributen und den QuickViews der Asseco-Lösung APplus entgegen.‣ weiterlesen

Bei KSB setzt man seit etwa einem Jahr auf ein Pick-by-light-System von Microsyst, was den Workflow an den Montagearbeitsplätzen effizienter gestaltet hat.‣ weiterlesen

Maschinen in der Produktion werden zunehmend schlauer. Eine von Reichelt Elektronik in Auftrag gegebene Umfrage zeigt, dass sich Predictive Maintenance in der deutschen Industrie etabliert.‣ weiterlesen

177 Ökonomen haben Ifo und FAZ im Rahmen des Ökonomenpanel zur aktuellen Corona-Wirtschaftspolitik der Bundesregierung befragt. Kurz vor der nächsten Ministerpräsidenten-Konferenz zeigt sich ein Großteil der Teilnehmer unzufrieden.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige