Anzeige
Anzeige
Anzeige
Beitrag drucken

Verhaltensbasierte Erkennung

Die Industrie im Fadenkreuz

Der industrielle Mittelstand gehört mittlerweile zu den begehrten Zielen von illegalen Aktivitäten im Internet: Ein Viertel der Einbruchsversuche in große IT-Umgebungen zielt auf Automatisierungs- und Fertigungs-Know-how ab. Für Unternehmen kann sich daher der Blick auf logbasierte Systeme für Gegen- und Abwehrmaßnahmen lohnen. Entsprechende Lösungen sind inzwischen erschwinglicher und einfacher einzusetzen als noch vor wenigen Jahren.

Bild: Fotolia/aetb

Der Trend zur Re-Industrialisierung in vielen westlichen Staaten verstärkt die Begehrlichkeit nach vertraulichen Daten, geschützten Patenten und Prozessabläufen der hiesigen Mittelstandsindustrie. Noch nie waren Erfindungen, Lieferbeziehungen und andere Wettbewerbsfaktoren so wertvoll wie heute – und die Möglichkeiten, diese auf illegalem Weg zu erlangen oder zu eliminieren, sind einfach und günstig. Innovationen sowie neue Produkte und Dienstleistungen sind sehr kostenintensiv – und damit wertvoll genug, um geschützt zu werden. Stichworte wie Industrie 4.0 oder ‚Cyber-Physical Systems‘ (CPS) weisen auf den steigenden Bedarf nach umfassenden Sicherheitsmaßnahmen im Produktionsumfeld hin: Viren in E-Health-Anwendungen, Trojaner in mobilen Geräten aller Art und Bot-Netze auf E-Mail- oder Webserverfarmen können inzwischen Vertriebsmitarbeiter und Konstrukteure genauso betreffen wie die Produktion und IT-Abteilung.

Den Angreifern einen Schritt voraus sein

Unternehmen sind sich bewusst, dass Schranken und Zäune für einen wirkungsvollen Werkschutz nicht ausreichend sind: Ein global aufgestelltes Unternehmen wird im Hinblick auf IT-Sicherheit auf Firewalls, Systeme für ‚Intrusion Detection‘ und ‚Intrusion Prevention‘ (IDS/IPS), also dem Erkennen und Vorbeugen von unerlaubten Zugriffen, sowie auf bewährte E-Mail- und Internet Security-Standardlösungen setzen. Aber so wie eine gute Videoüberwachung dem Anwender gestattet, durch Kamerapositionen zu schalten und bei Bedarf zu zoomen, sollte auch die IT-Security imstande sein, Zusammenhänge schnell zu erkennen und im Fall der Fälle zügig zu alarmieren. Eine automatisierte Alarmierung bei Anomalien und festgelegten ‚Cases‘ ist heute übliche Praxis. Das Echtzeit-Monitoring wichtiger Netzwerk- und Security-Komponenten sowie verteilte Sensoren oder ‚Agenten‘ in technisch und geografisch exponierten Lagen können dafür sorgen, dass auch unkonventionelle Versuche einzudringen erkannt werden. Eine solch umfassende, logbasierte Lösung wird auch als ‚Security information and event management‘-System (SIEM) bezeichnet.

Auf gezielte Angriffe angemessen reagieren

Gezielte IT-Angriffe ‚passieren‘ nicht einfach, sie werden vielfach strategisch geplant ausgeführt. Im besten Falle handelt es sich dabei um beauftragte IT-Audits, die abgewehrt werden können. Verantwortliche in der IT und auch im Vorstand können so für eine gute Reputation sorgen und diese als Beurteilungskriterium für Sicherheitsstandards verwenden. Schlimmstenfalls jedoch werden Daten unerkannt gestohlen, Telefongespräche abgehört oder gar die Liniensteuerung beeinflusst. Vordefinierte Betriebshandbücher, die aktive Suche nach Bot-Netzen und Trojanern in der IT und umfangreiche Pen-Tests sowie Checks der vorhandenen Security-Software auf Kosten und Nutzen sowie die technische Aktualität sollten daher als grundlegende Sicherheitsmaßnahmen noch vor jeder Entscheidung für oder gegen eine SIEM- und Log-Managementlösung stehen.

Übergreifendes Zusammenspiel für sichere Produktion

Geht man davon aus, dass gezielte Angriffe auf den industriellen Mittelstand zunehmen, steht vor allem die Frage im Mittelpunkt, wie noch unbekannte Trojaner, Malware und BotSysteme eliminiert werden können. Eine besondere Herausforderung stellt dabei die Absicherung von Produktionsumgebungen dar. Historisch sind Office IT und Leittechnik meist mehr oder weniger strikt getrennt. Das führt nicht selten dazu, dass existierende Schnittstellen nachlässig behandelt werden. Im Hinblick auf IT-Sicherheit sollten aber die beteiligten Unternehmensbereiche kooperativ und übergreifend agieren. Das umfasst Leittechnik, Wachschutz, Produktionstechnik und die Office IT. Deren Verantwortliche benötigen dazu auch passende Werkzeuge, um gemeinsam Gefahren abwehren zu können. Dies reicht von Konzepten, die einen Stromausfall simulieren, über Brandalarme bis hin zu Maßnahmen gegen Einbruchsversuche über Wireless LAN oder den Netzwerkanschluss am Gang oder der Steuerung. Eine umfassende IT-Sicherheitsplattform sollte somit auch Power Management und Alarmierung umfassen. SIEM muss daher viele Sprachen sprechen können. Je nach Anbieter werden dazu Kommunikationsstandards ‚Out-of-the-box‘ implementiert, angepasst oder nachträglich integriert, etwa um auch physikalische Kontakte ‚bearbeiten‘ zu können. Leittechnik und Haussteuerungen, Ventile und Pumpen, verteilte Kameras oder Stromleisten können im Notfall so schnell aus- oder eingeschaltet und damit Schaden abgewendet werden – bei Bedarf auch ortsunabhängig und mobil via Smartphone.

‚Honigtöpfe‘ ziehen auch unbekannte Schädlinge an

Da Schadsoftware wie Bots, Trojaner und Würmer immer erst bekämpft werden kann, wenn bereits Schaden verursacht wurde oder nachdem die Softwarehersteller im Zuge ihrer Präventivarbeit Updates zur Verfügung stellen, ergibt sich für Unternehmen eine ‚Zeitspanne der Wehrlosigkeit‘. Hinzu kommt die Erkenntnis, dass sich Bot-Netze und Malware verteilen können, bevor Updates eingespielt werden, da vielfach keine regelmäßigen Voll-Scans der Systeme erfolgen. ‚Honeypot‘-Systeme, die Angreifern lohnenswerte Datenbestände oder Systemfunktionen vorgaukeln, lassen sich vor diesem Hintergrund dazu einsetzen, dass unerwünschte Kontaktaufnahmen zu einem ‚Anlocksystem‘ sofort eine Alarmierung auslösen.

Die Investitionshemmschwelle überwinden

Nichtstandardisierte Angriffe und Einbruchsversuche erfordern mitunter unkonventionelle Abwehrmethoden. Logarchivierung und forensische Datenanalyse können dabei eine zentrale Rolle spielen: Mit diesen ‚Bordmitteln‘ können Angreifer auch im Unternehmen enttarnt, die Strafverfolger unterstützt sowie Gefahren im Vorfeld ausgeschlossen werden. Solche Abwehrmaßnahmen könnten etwa so aussehen, dass Honeypot-Systeme gezielt eingerichtet oder typische Malware-Verhaltensmerkmale zur Alarmierung vorbereitet werden. Doch ‚große‘ Sicherheitsmanagementsysteme werden in vielen Unternehmen oft erst zu spät eingeführt – oder stiefmütterlich betreut. Damit stellen auch per se leistungsfähige Lösungen im schlimmsten Fall keine allzu große Hürde für Profi-Hacker dar. Eine Lösung für den Mittelstand kann sein, nach einer SIEM-Teststellung exponierte Standorte beispielsweise in den USA, Asien oder Osteuropa mit Honeypot-Agenten zu überwachen, die entsprechenden Module ‚auf‘ den Firewalls und Netzwerkkomponenten auszubringen und lediglich ausgewählte Systeme abzusichern. Der Zeitaufwand dafür beträgt wenige Tage, die Kosten bleiben überschaubar. Die weiteren Maßnahmen ergeben sich aus Vorgaben von Vorstand, IT oder Fachabteilungen für Compliance, Recht sowie Controlling und Revision.

Best Practices in der Organisation abbilden

Die Einführung einer Log-Management-Lösung bedeutet für ein Unternehmen jedoch auch, organisatorische Abläufe zu definieren und für den Zugriff auf fundierte Informationen bisher ‚tote‘ Datenberge und Logs wiederzubeleben. Dies ist spätestens dann notwendig, wenn Meldungen an Behörden notwendig werden. Eine umfassende Sicherheitsstrategie erfordert, dass Netzwerkänderungen und neue Bedrohungen automatisiert abgearbeitet und berücksichtigt werden. Dafür verspricht eine Systemlösung, die verschiedenen Appliances und Applikationen einbinden kann, hohen Mehrwert. Log-Agenten an den Sicherheitsperimetern können die schnelle Wahrnehmung ungewöhnlicher IT-Vorgänge erleichtern und stellen auch Bordmittel zur Verfügung, um das ‚Sicherheitstuning‘ im Verdachtsfall massiv zu erhöhen. Damit ist auch Compliance-Vorgaben Genüge getan, und es können rasch rechtlich fundierte Maßnahmen veranlasst werden.


Das könnte Sie auch interessieren:

Falsch geplante Anlagen können unnötige Kosten in großer Höhe verursachen. Sorgfältiges Engineering zeichnet sich dadurch aus, gängige Fallstricke zu vermeiden und verfügbare technische Hilfsmittel wie CAD-Tools und Virtual Reality passend einzusetzen.‣ weiterlesen

Wie bereits im April blieb der Auftragseingang der deutschen Maschinenbauer auch im Mai weit unter dem Niveau des Vorjahres. Die Bestellungen blieben 28 Prozent unter dem Vorjahreswert.‣ weiterlesen

Selbst in hoch automatisierten Fertigungsumgebungen gibt es Maschinenbediener, Instandhalter oder Logistikmitarbeiter, die eine Produktion beobachten und eingreifen. Und solange Menschen Verantwortung tragen, müssen Informationen im Werk vermittelt werden. Mit einer Andon-Anwendung lässt sich das motivierend und effizienzsteigernd strukturieren, gerade wenn weitere Prozessoptimierungsmethoden umgesetzt werden.‣ weiterlesen

Augenstein Maschinenbau plant, entwickelt und fertigt individuelle Automatisierungslösungen für Produktionsprozesse. Eine Visualisierungssoftware liefert dabei früh ein erstes Bild der Anlage. Das schafft Klarheit und hilft dem Vertrieb quasi nebenbei, den Auftrag überhaupt an Land zu ziehen.‣ weiterlesen

Im Projekt ‘Kitos – Künstliche Intelligenz für TSN zur Optimierung und Störungserkennung‘ arbeiten Wissenschaftler und Ingenieure gemeinsam an Lösungen für ein dynamisches Netzwerkmanagement in der Industrie.‣ weiterlesen

Laut statistischem Bundesamt hat sich die Industrie im Mai von den Einbrüchen verursacht durch die Corona-Pandemie etwas erholt. Die Produktion legte zu, verfehlt das Mai-Ergebnis des Vorjahres jedoch um 19,3 Prozent.‣ weiterlesen

Zwei Drittel (66 Prozent) der Unternehmensleiter weltweit sind optimistisch, dass sich der europäische Markt relativ schnell vom wirtschaftlichen Abschwung durch die COVID-19-Pandemie erholen wird. Das geht aus einem Report des Beratungsunternehmens Accenture hervor, der auf einer Umfrage unter fast 500 C-Level-Führungskräften in Europa, Nordamerika und im asiatisch-pazifischen Raum in 15 Branchen basiert.‣ weiterlesen

Wie die Kommunikation in der Arbeitswelt zukünftig aussehen kann, erforschen derzeit die Fraunhofer-Institute für Arbeitswirtschaft und Organisation IAO und für Produktionstechnik und Automatisierung IPA. Dabei steht der digitale Zwilling im Mittelpunkt.‣ weiterlesen

Der ERP-Anbieter Proalpha hat einen neuen Chief Sales Officer. Zum 1. Juli hat Michael T. Sander die Position übernommen. Er folgt auf Andree Stachowski.‣ weiterlesen

Ein Produkt online konfigurieren und sofort bestellen: Was für Verbraucher alltäglich ist, gewinnt auch im B2B-Bereich an Bedeutung. Mit dem Configure-Price-Quote-Ansatz und entsprechender Software kann diese Variantenvielfalt angeboten werden, ohne den Vertrieb zu überlasten oder die Customer Journey aus dem Blick zu verlieren.‣ weiterlesen

Kürzere Durchlaufzeiten, Abläufe und Sequenzen simulieren und frühe Aussagen zu Konzepten und deren Verifikationen treffen zu können - das waren die Wünsche der österreichischen SEMA Maschinenbau. Die Software IndustrialPhysics von Machineering leistet genau das.‣ weiterlesen

Anzeige
Anzeige
Anzeige