Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Verhaltensbasierte Erkennung

Die Industrie im Fadenkreuz

Der industrielle Mittelstand gehört mittlerweile zu den begehrten Zielen von illegalen Aktivitäten im Internet: Ein Viertel der Einbruchsversuche in große IT-Umgebungen zielt auf Automatisierungs- und Fertigungs-Know-how ab. Für Unternehmen kann sich daher der Blick auf logbasierte Systeme für Gegen- und Abwehrmaßnahmen lohnen. Entsprechende Lösungen sind inzwischen erschwinglicher und einfacher einzusetzen als noch vor wenigen Jahren.

Bild: Fotolia/aetb

Der Trend zur Re-Industrialisierung in vielen westlichen Staaten verstärkt die Begehrlichkeit nach vertraulichen Daten, geschützten Patenten und Prozessabläufen der hiesigen Mittelstandsindustrie. Noch nie waren Erfindungen, Lieferbeziehungen und andere Wettbewerbsfaktoren so wertvoll wie heute – und die Möglichkeiten, diese auf illegalem Weg zu erlangen oder zu eliminieren, sind einfach und günstig. Innovationen sowie neue Produkte und Dienstleistungen sind sehr kostenintensiv – und damit wertvoll genug, um geschützt zu werden. Stichworte wie Industrie 4.0 oder ‚Cyber-Physical Systems‘ (CPS) weisen auf den steigenden Bedarf nach umfassenden Sicherheitsmaßnahmen im Produktionsumfeld hin: Viren in E-Health-Anwendungen, Trojaner in mobilen Geräten aller Art und Bot-Netze auf E-Mail- oder Webserverfarmen können inzwischen Vertriebsmitarbeiter und Konstrukteure genauso betreffen wie die Produktion und IT-Abteilung.

Den Angreifern einen Schritt voraus sein

Unternehmen sind sich bewusst, dass Schranken und Zäune für einen wirkungsvollen Werkschutz nicht ausreichend sind: Ein global aufgestelltes Unternehmen wird im Hinblick auf IT-Sicherheit auf Firewalls, Systeme für ‚Intrusion Detection‘ und ‚Intrusion Prevention‘ (IDS/IPS), also dem Erkennen und Vorbeugen von unerlaubten Zugriffen, sowie auf bewährte E-Mail- und Internet Security-Standardlösungen setzen. Aber so wie eine gute Videoüberwachung dem Anwender gestattet, durch Kamerapositionen zu schalten und bei Bedarf zu zoomen, sollte auch die IT-Security imstande sein, Zusammenhänge schnell zu erkennen und im Fall der Fälle zügig zu alarmieren. Eine automatisierte Alarmierung bei Anomalien und festgelegten ‚Cases‘ ist heute übliche Praxis. Das Echtzeit-Monitoring wichtiger Netzwerk- und Security-Komponenten sowie verteilte Sensoren oder ‚Agenten‘ in technisch und geografisch exponierten Lagen können dafür sorgen, dass auch unkonventionelle Versuche einzudringen erkannt werden. Eine solch umfassende, logbasierte Lösung wird auch als ‚Security information and event management‘-System (SIEM) bezeichnet.

Auf gezielte Angriffe angemessen reagieren

Gezielte IT-Angriffe ‚passieren‘ nicht einfach, sie werden vielfach strategisch geplant ausgeführt. Im besten Falle handelt es sich dabei um beauftragte IT-Audits, die abgewehrt werden können. Verantwortliche in der IT und auch im Vorstand können so für eine gute Reputation sorgen und diese als Beurteilungskriterium für Sicherheitsstandards verwenden. Schlimmstenfalls jedoch werden Daten unerkannt gestohlen, Telefongespräche abgehört oder gar die Liniensteuerung beeinflusst. Vordefinierte Betriebshandbücher, die aktive Suche nach Bot-Netzen und Trojanern in der IT und umfangreiche Pen-Tests sowie Checks der vorhandenen Security-Software auf Kosten und Nutzen sowie die technische Aktualität sollten daher als grundlegende Sicherheitsmaßnahmen noch vor jeder Entscheidung für oder gegen eine SIEM- und Log-Managementlösung stehen.

Übergreifendes Zusammenspiel für sichere Produktion

Geht man davon aus, dass gezielte Angriffe auf den industriellen Mittelstand zunehmen, steht vor allem die Frage im Mittelpunkt, wie noch unbekannte Trojaner, Malware und BotSysteme eliminiert werden können. Eine besondere Herausforderung stellt dabei die Absicherung von Produktionsumgebungen dar. Historisch sind Office IT und Leittechnik meist mehr oder weniger strikt getrennt. Das führt nicht selten dazu, dass existierende Schnittstellen nachlässig behandelt werden. Im Hinblick auf IT-Sicherheit sollten aber die beteiligten Unternehmensbereiche kooperativ und übergreifend agieren. Das umfasst Leittechnik, Wachschutz, Produktionstechnik und die Office IT. Deren Verantwortliche benötigen dazu auch passende Werkzeuge, um gemeinsam Gefahren abwehren zu können. Dies reicht von Konzepten, die einen Stromausfall simulieren, über Brandalarme bis hin zu Maßnahmen gegen Einbruchsversuche über Wireless LAN oder den Netzwerkanschluss am Gang oder der Steuerung. Eine umfassende IT-Sicherheitsplattform sollte somit auch Power Management und Alarmierung umfassen. SIEM muss daher viele Sprachen sprechen können. Je nach Anbieter werden dazu Kommunikationsstandards ‚Out-of-the-box‘ implementiert, angepasst oder nachträglich integriert, etwa um auch physikalische Kontakte ‚bearbeiten‘ zu können. Leittechnik und Haussteuerungen, Ventile und Pumpen, verteilte Kameras oder Stromleisten können im Notfall so schnell aus- oder eingeschaltet und damit Schaden abgewendet werden – bei Bedarf auch ortsunabhängig und mobil via Smartphone.

‚Honigtöpfe‘ ziehen auch unbekannte Schädlinge an

Da Schadsoftware wie Bots, Trojaner und Würmer immer erst bekämpft werden kann, wenn bereits Schaden verursacht wurde oder nachdem die Softwarehersteller im Zuge ihrer Präventivarbeit Updates zur Verfügung stellen, ergibt sich für Unternehmen eine ‚Zeitspanne der Wehrlosigkeit‘. Hinzu kommt die Erkenntnis, dass sich Bot-Netze und Malware verteilen können, bevor Updates eingespielt werden, da vielfach keine regelmäßigen Voll-Scans der Systeme erfolgen. ‚Honeypot‘-Systeme, die Angreifern lohnenswerte Datenbestände oder Systemfunktionen vorgaukeln, lassen sich vor diesem Hintergrund dazu einsetzen, dass unerwünschte Kontaktaufnahmen zu einem ‚Anlocksystem‘ sofort eine Alarmierung auslösen.

Die Investitionshemmschwelle überwinden

Nichtstandardisierte Angriffe und Einbruchsversuche erfordern mitunter unkonventionelle Abwehrmethoden. Logarchivierung und forensische Datenanalyse können dabei eine zentrale Rolle spielen: Mit diesen ‚Bordmitteln‘ können Angreifer auch im Unternehmen enttarnt, die Strafverfolger unterstützt sowie Gefahren im Vorfeld ausgeschlossen werden. Solche Abwehrmaßnahmen könnten etwa so aussehen, dass Honeypot-Systeme gezielt eingerichtet oder typische Malware-Verhaltensmerkmale zur Alarmierung vorbereitet werden. Doch ‚große‘ Sicherheitsmanagementsysteme werden in vielen Unternehmen oft erst zu spät eingeführt – oder stiefmütterlich betreut. Damit stellen auch per se leistungsfähige Lösungen im schlimmsten Fall keine allzu große Hürde für Profi-Hacker dar. Eine Lösung für den Mittelstand kann sein, nach einer SIEM-Teststellung exponierte Standorte beispielsweise in den USA, Asien oder Osteuropa mit Honeypot-Agenten zu überwachen, die entsprechenden Module ‚auf‘ den Firewalls und Netzwerkkomponenten auszubringen und lediglich ausgewählte Systeme abzusichern. Der Zeitaufwand dafür beträgt wenige Tage, die Kosten bleiben überschaubar. Die weiteren Maßnahmen ergeben sich aus Vorgaben von Vorstand, IT oder Fachabteilungen für Compliance, Recht sowie Controlling und Revision.

Best Practices in der Organisation abbilden

Die Einführung einer Log-Management-Lösung bedeutet für ein Unternehmen jedoch auch, organisatorische Abläufe zu definieren und für den Zugriff auf fundierte Informationen bisher ‚tote‘ Datenberge und Logs wiederzubeleben. Dies ist spätestens dann notwendig, wenn Meldungen an Behörden notwendig werden. Eine umfassende Sicherheitsstrategie erfordert, dass Netzwerkänderungen und neue Bedrohungen automatisiert abgearbeitet und berücksichtigt werden. Dafür verspricht eine Systemlösung, die verschiedenen Appliances und Applikationen einbinden kann, hohen Mehrwert. Log-Agenten an den Sicherheitsperimetern können die schnelle Wahrnehmung ungewöhnlicher IT-Vorgänge erleichtern und stellen auch Bordmittel zur Verfügung, um das ‚Sicherheitstuning‘ im Verdachtsfall massiv zu erhöhen. Damit ist auch Compliance-Vorgaben Genüge getan, und es können rasch rechtlich fundierte Maßnahmen veranlasst werden.


Das könnte Sie auch interessieren:

Der McKinsey ‘Quantum Technology Monitor’ zeigt eine Zunahme der globalen Markt – und Technologieentwicklungen von Quantentechnologien. Dabei sind die angekündigten Investitionen im laufenden Jahr dreimal so hoch wie in 2020.‣ weiterlesen

Jean-Paul Seuren tritt die Nachfolge von TDM Systems-Geschäftsführer Dietmar Bohn an, der das Unternehmen verlässt.‣ weiterlesen

Gegenüber dem Sommer verzeichnet das IAB-Arbeitsmarktbarometer zwar einen Rückgang, übertrifft jedoch immer noch den Wert aus den Vorjahren. Dabei senden die Aussichten bezüglich Arbeitslosigkeit und Beschäftigung sogar positive Signale.‣ weiterlesen

Nach einem Rückgang im August ist der Ifo-Geschäftsklimaindex auch im September gesunken. Belastet werden die Zahlen dabei durch die schlechtere Stimmung in der Industrie.‣ weiterlesen

Mit Version 2.0 des IT-Sicherheitsgesetzes kommen auf viele Firmen höhere Anforderungen an ihre IT-Sicherheit zu. Die Schwellenwerte sinken, ab wann ein Unternehmen zur Umsetzung der Kritis-Auflagen verpflichtet ist. Diese betreffen jetzt auch Firmen, die laut Gesetzestext von 'erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland' sind. Damit sind auch Industrieunternehmen gemeint.‣ weiterlesen

Für die Umsetzung von IoT-Projekten ist nicht nur eine präzise fachliche Planung des Anwendungsfalls von Bedeutung, sondern eine vorherige Überprüfung des Reifegrads der IT-Organisation sowie des Reifegrads der IT im Umgang mit Cloud-Technologien.‣ weiterlesen

Der Maschinenbauer Manz bündelt unter dem Namen Total Fab Solutions sein Angebot für die Automatisierung von Fertigungslinien. Im Paket abgedeckt sind Umsetzungsschritte von Automatisierungsprojekten von der Fabrikplanung über die Prozess- und Materialflusssimulation oder die Integration bestehender Fertigungsprozesse bis hin zu Aufbau, Hochfahren und Optimierung schlüsselfertig zu übergebender Produktionslösungen.‣ weiterlesen

Beim traditionellen Qualitätsmanagement werden gefertigte Bauteile analysiert, um die Qualität der nächsten zu verbessern. Beim Predictive Quality-Ansatz wollen Hersteller analysegestützt eine höhere Qualität erzielen, ohne in die Vergangenheit schauen zu müssen. Bereits verfügbare Lösungen für den Ansatz integrieren die erforderlichen Daten auf einer MES-Plattform.‣ weiterlesen

Yaskawa hat den Grundstein für eine neue Europa-Zentrale in Hattersheim gelegt. Das Unternehmen investiert rund 23Mio.€ in den neuen Standort.‣ weiterlesen

Der Aufbau einer kabelgebundenen Ortungsinfrastruktur auf großen Flächen wie Lagerhallen, Baustellen oder in der Prozessindustrie ist kostspielig und zeitaufwendig.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige