Anzeige

'Advanced persistant Threats' im Produktionsnetzwerk erkennen

Stuxnet auf der Spur

Beitrag drucken

Welche Unternehmen werden zum Opfer – und warum?

Es gibt vor allem zwei typische Situationen, bei denen ein Unternehmen auf dem Radar eines Angreifers auftauchen kann. Diese sind:

  • Das ‚einfache Ziel‘: Hier zählt, ob die Schutzeinrichtung einer Unternehmens-IT ausreichend ist, um einem ersten Angriff standzuhalten. Für Kriminelle, ‚Hacktivists‘ und ’script kiddies‘ sind einfache Ziele lukrativer, da diese Angreifer in der Regel weniger Aufwand für eine Attacke betreiben. Für Staaten und Wettbewerber sind solche Ziele als Beifang auch interessant, wobei diese Angreifer meist zielgerichteter arbeiten und somit intensiver angreifen dürften.
  • Das ‚kollaterale Ziel‘: Unternehmen können sich als Beifang im Netz von Cyber-Angreifern verfangen. Die Chance besteht insbesondere, wenn Unternehmen engen Kontakt mit Kunden halten, deren Staaten oder Branchen häufige Ziele von Angreifern sind.

Auch die Angreifer lassen sich kategorisieren. Zum Beispiel nach den Motivationen, denen die Angriffe zugrunde liegen:

    • Staaten oder Wettbewerber: Ihr Interesse ist es, die eigene Ökonomie zu sichern. Staaten haben zusätzlich noch politische oder gar militärische Interessen. Der Aufwand spielt meist eine untergeordnete Rolle, da das Ziel der wirtschaftlichen Schädigung in der Regel entsprechend hoch ist. Ein Beispiel: Eine unter dem Namen Dragonfly oder Energetic Bear bekannte Gruppe griff unter anderem mit dem 2014 bekannt gewordenen Schadprogramm Havex mehrere deutsche Unternehmen an.

 

    • Kriminelle: Hier geht es um Geld nach der Schutzgeld-Erpressungsmethode. Der Aufwand ist im direkten Bezug zum Erlös häufig sehr gering. Eine einmal entwickelte Art und Vorgehensweise wird vielfach für unterschiedliche Unternehmen und verschiedene Branchen angewendet. Sodann werden Unternehmensführungen adressiert, eine bestimmte Summe zu transferieren, sonst würden die Angreifer die Produktion lahmlegen. Gelegentlich beweisen die Täter zuvor, dass sie bereits Zugang zu den Produktionsanlagen haben.

 

    • Hacktivisten: Das Ziel der Cyber-Angriffe von Hacktivisten ist zumeist, Aufmerksamkeit für eine bestimmte Sache zu erzeugen. 2013 hat zum Beispiel eine Gruppe, die sich ‚Syrian Electronic Army‘ nannte, Webseiten und Twitter-Accounts kompromittiert und verändert. Ziele waren hier westliche Organisation, die sich kritisch über die Syrische Staatsführung geäußert haben. Gerne werden zur Verbreitung der Botschaft auch Unternehmen genutzt und somit indirekt geschädigt.

 

  • Script Kiddies: Täter mit diesem Profil haben keine direkte Motivation zum Angriff des ausgewählten Ziels. Sie probieren aus, was andere hergestellt haben, um sich mit ihren Erfolgen in der Hacker-Szene oder bei Freunden zu brüsten. Viele Tools sind frei im Internet verfügbar. Suchmaschinen bieten mögliche Ziele an und dann wird ausprobiert. Oft gibt es kein spezielles Ziel und somit gerichtete Motivationen, sondern dort, wo eine Möglichkeit zum Angriff gefunden wird, wird ein Schaden angerichtet.

Stuxnet hätte gefunden werden können

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sagt: „Zwar gibt es keinen absoluten Schutz, jedoch können Cyber-Angriffe durch geeignete Maßnahmen deutlich erschwert und in ihren Auswirkungen abgeschwächt werden. Neben den präventiven Maßnahmen kommt es dabei auch auf das möglichst frühe Erkennen und auf das professionelle Reagieren im Falle eines Cyber-Angriffs an.“ Für die Automatisierung in der Fertigung, die IT-Infrastruktur in der Produktion und die angebundenen Netzwerke ist es nicht ausreichend, die Funktion der einzelnen Netzwerk-, Steuerungs- und Automatisierungskomponenten zu überwachen. Stuxnet hinterlassen, wie auch andere APTs, Spuren im Netzwerk. Hinweise liefern zusätzliche Verbindungen zwischen zwei oder mehreren Systemen, wo keine Verbindungen sein sollte. Auch Datenkommunikation mit verändertem Volumen, zusätzliche genutzte Protokolle zwischen Systemen, neue ausgehende Verbindungen und andere Indizien für einen Cyber-Angriff lassen sich identifizieren.

Indem Industrieunternehmen kontinuierlich und über alle Netzwerke und Systeme hinweg die Produktionsanlage automatisiert überwachen, lässt sich Stuxnet ausfindig machen. Diese Daten müssen dann als Informationen im Kontext eines Cyber-Angriffes übersichtlich aufbereitet werden, um als Unternehmen handlungsfähig zu sein. Oft fehlt es an dieser Vorgehensweise. Dann wird unter Umständen erst sehr spät in Betracht gezogen, dass eine intelligente Manipulation der Produktionssteuerung der Grund für verzeichnete Ausfälle war. Eine Herausforderung stellt es häufig bereits dar, dass es keine aktuelle Übersicht über alle IT-Systeme gibt. Das lässt sich mit einer IT-Sicherheitsanwendung ändern, die entsprechende Funktionen bereitstellt. Sie sollte in der Lage sein, kontinuierlich und selbständig alle System des Netzwerkes zu identifizieren. Die übergreifende Kontrolle mit einem Logging des Netzwerkverkehrs ist die Grundlage, um Angriffsmuster dieser Ausprägung zu erkennen.

Das passende Konzept entwickeln

Wie läuft die Erkennung von Stuxnet? Eine IT-Sicherheitslösung erfasst zu Beginn automatisch und kontinuierlichen alle ‚Systeme‘ wie Produktionsanlagen, die per Ethernet verbunden sind. Folgend werden das Kommunikationsverhalten der Systeme aufgenommen und überwacht. Es wird nicht in hochkritische, kritische oder normale Systeme unterschieden, da jedes System initial infiziert und somit das Einstiegstor für einen Angriff sein kann. Wichtig ist bei alldem, neue und veränderte Systeme umgehend zu validieren. Wie im A-B B-C B-D B-E-Beispiel dargestellt ist die Vorgehensweise eines APT-Angriffes einerseits davon geprägt, weitere Informationen zu sammeln und andererseits sich weiter zu verbreiten. Dies führt immer zu zusätzlichen und erweiterten Verbindungen, die sich durch eine Sicherheitslösung erkennen lassen. Erkennt die Lösung etwas Auffälliges, löst sie Alarm aus. Eine Herausforderung vieler Angriffe liegt jedoch darin, das die auffällige Kommunikation oft erst mittelbar erfolgt. Nach einer Infektion können Tage vergehen, bis die nächsten Schritte des Angriffes erfolgen. Für Überwachungslösungen stellt dies jedoch in der Regel kein Problem dar. Ist der Schädling erst einmal erkannt, lassen sich Gegenmaßnahmen einleiten und der Eintritt eines weiteren Schadens in vielen Fällen verhindern.


Das könnte Sie auch interessieren:

Auch in ERP-Systemen auf Cloud-Basis kann KI-Technologie ihr Potenzial entfalten. Sie analysiert enorme Datenmengen in Sekundenbruchteilen, startet eigenständig Prozesse und gibt Handlungsempfehlungen. Grenzen für ihren Einsatz setzt aber der Gesetzgeber.‣ weiterlesen

Klaus Hübschle tritt Anfang 2020 die Nachfolge von Andreas Börngen als CEO von M&M Software an.‣ weiterlesen

Econ Solutions hat mit Philip Würfel einen neuen Geschäftsführer. Er tritt die Nachfolge von Dr. Stephan Theis an.‣ weiterlesen

Wohin entwickeln sich die Fabriken in den nächsten Jahren? Philipp Wallner von MathWorks wagt die Prognose, das fünf Faktoren darunter sein werden, die individuelles Fertigen und Ressourceneffizienz in Einklang bringen.‣ weiterlesen

Der einzige Trost beim Thema künstliche Intelligenz und Cybersicherheit? Dass auch die Angreifer nicht verstehen, wie die technologische Black Box KI genau funktioniert. Steve Rymell, Technikchef bei Airbus CyberSecurity, berichtet über die Notwendigkeit, künstliche Intelligenz auf dem Feld der IT-Sicherheit im Auge zu behalten - ohne ihr freilich einen Sonderstatus zuzuweisen.‣ weiterlesen

Weltweit streben Unternehmen nach digitalisierten Produktionsumgebungen. Schließlich verhelfen vernetzte Maschinen zu mehr Transparenz, Einsparpotentiale werden offenbar und die Produktionsplanung endlich realistischer. Doch vor der Vernetzung muss deren Zweck möglichst klar definiert sein, und auch das Koppeln der Maschinen selbst braucht Sachverstand.‣ weiterlesen

Dietmar Heinrich wird neuer Finanzvorstand der Dürr AG. Zudem ernannte der Aufsichtsrat Dr. Jochen Weyrauch zum stellvertretenden Vorstandsvorsitzenden.‣ weiterlesen

Die Maschinenbauer aus Deutschland müssen sich in einem zunehmend schwierigeren wirtschaftlichen Umfeld behaupten. Das Jahr 2019 war geprägt von einer schwachen Weltkonjunktur, immer härteren Drohungen und Sanktionen in den globalen Handelsstreitigkeiten, sowie einem tiefgreifenden Strukturwandel in der Autoindustrie.‣ weiterlesen

Nach einer Studie von Gartner soll bis 2022 der Geschäftswert von KI auf 2,85 Billionen Euro steigen. Der Löwenanteil davon wird voraussichtlich auf den Bereich der Kundenerfahrung entfallen, für das schon ausgereifte Tools am Markt existieren. Dieser Überblick zeigt, wie es heute um KI im Field Service Management steht und wohin die Reise geht.‣ weiterlesen

Eine Gießerei von Daimler-Motorblöcken rang mit Qualitätsproblemen und hohem Ausschuss. Nachdem sie eine KI-Lösung 15 Monate lang mit allen möglichen Unternehmensdaten fütterte, gab diese neue Betriebsparameter für die Produktion aus. Bereits im ersten Monat nach Anwendung dieser Parameter schleuste sie 50 Prozent weniger Motorblöcke aus.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige