Anzeige
Anzeige
Anzeige

'Advanced persistant Threats' im Produktionsnetzwerk erkennen

Stuxnet auf der Spur

Beitrag drucken

Welche Unternehmen werden zum Opfer – und warum?

Es gibt vor allem zwei typische Situationen, bei denen ein Unternehmen auf dem Radar eines Angreifers auftauchen kann. Diese sind:

  • Das ‚einfache Ziel‘: Hier zählt, ob die Schutzeinrichtung einer Unternehmens-IT ausreichend ist, um einem ersten Angriff standzuhalten. Für Kriminelle, ‚Hacktivists‘ und ’script kiddies‘ sind einfache Ziele lukrativer, da diese Angreifer in der Regel weniger Aufwand für eine Attacke betreiben. Für Staaten und Wettbewerber sind solche Ziele als Beifang auch interessant, wobei diese Angreifer meist zielgerichteter arbeiten und somit intensiver angreifen dürften.
  • Das ‚kollaterale Ziel‘: Unternehmen können sich als Beifang im Netz von Cyber-Angreifern verfangen. Die Chance besteht insbesondere, wenn Unternehmen engen Kontakt mit Kunden halten, deren Staaten oder Branchen häufige Ziele von Angreifern sind.

Auch die Angreifer lassen sich kategorisieren. Zum Beispiel nach den Motivationen, denen die Angriffe zugrunde liegen:

    • Staaten oder Wettbewerber: Ihr Interesse ist es, die eigene Ökonomie zu sichern. Staaten haben zusätzlich noch politische oder gar militärische Interessen. Der Aufwand spielt meist eine untergeordnete Rolle, da das Ziel der wirtschaftlichen Schädigung in der Regel entsprechend hoch ist. Ein Beispiel: Eine unter dem Namen Dragonfly oder Energetic Bear bekannte Gruppe griff unter anderem mit dem 2014 bekannt gewordenen Schadprogramm Havex mehrere deutsche Unternehmen an.

 

    • Kriminelle: Hier geht es um Geld nach der Schutzgeld-Erpressungsmethode. Der Aufwand ist im direkten Bezug zum Erlös häufig sehr gering. Eine einmal entwickelte Art und Vorgehensweise wird vielfach für unterschiedliche Unternehmen und verschiedene Branchen angewendet. Sodann werden Unternehmensführungen adressiert, eine bestimmte Summe zu transferieren, sonst würden die Angreifer die Produktion lahmlegen. Gelegentlich beweisen die Täter zuvor, dass sie bereits Zugang zu den Produktionsanlagen haben.

 

    • Hacktivisten: Das Ziel der Cyber-Angriffe von Hacktivisten ist zumeist, Aufmerksamkeit für eine bestimmte Sache zu erzeugen. 2013 hat zum Beispiel eine Gruppe, die sich ‚Syrian Electronic Army‘ nannte, Webseiten und Twitter-Accounts kompromittiert und verändert. Ziele waren hier westliche Organisation, die sich kritisch über die Syrische Staatsführung geäußert haben. Gerne werden zur Verbreitung der Botschaft auch Unternehmen genutzt und somit indirekt geschädigt.

 

  • Script Kiddies: Täter mit diesem Profil haben keine direkte Motivation zum Angriff des ausgewählten Ziels. Sie probieren aus, was andere hergestellt haben, um sich mit ihren Erfolgen in der Hacker-Szene oder bei Freunden zu brüsten. Viele Tools sind frei im Internet verfügbar. Suchmaschinen bieten mögliche Ziele an und dann wird ausprobiert. Oft gibt es kein spezielles Ziel und somit gerichtete Motivationen, sondern dort, wo eine Möglichkeit zum Angriff gefunden wird, wird ein Schaden angerichtet.

Stuxnet hätte gefunden werden können

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sagt: „Zwar gibt es keinen absoluten Schutz, jedoch können Cyber-Angriffe durch geeignete Maßnahmen deutlich erschwert und in ihren Auswirkungen abgeschwächt werden. Neben den präventiven Maßnahmen kommt es dabei auch auf das möglichst frühe Erkennen und auf das professionelle Reagieren im Falle eines Cyber-Angriffs an.“ Für die Automatisierung in der Fertigung, die IT-Infrastruktur in der Produktion und die angebundenen Netzwerke ist es nicht ausreichend, die Funktion der einzelnen Netzwerk-, Steuerungs- und Automatisierungskomponenten zu überwachen. Stuxnet hinterlassen, wie auch andere APTs, Spuren im Netzwerk. Hinweise liefern zusätzliche Verbindungen zwischen zwei oder mehreren Systemen, wo keine Verbindungen sein sollte. Auch Datenkommunikation mit verändertem Volumen, zusätzliche genutzte Protokolle zwischen Systemen, neue ausgehende Verbindungen und andere Indizien für einen Cyber-Angriff lassen sich identifizieren.

Indem Industrieunternehmen kontinuierlich und über alle Netzwerke und Systeme hinweg die Produktionsanlage automatisiert überwachen, lässt sich Stuxnet ausfindig machen. Diese Daten müssen dann als Informationen im Kontext eines Cyber-Angriffes übersichtlich aufbereitet werden, um als Unternehmen handlungsfähig zu sein. Oft fehlt es an dieser Vorgehensweise. Dann wird unter Umständen erst sehr spät in Betracht gezogen, dass eine intelligente Manipulation der Produktionssteuerung der Grund für verzeichnete Ausfälle war. Eine Herausforderung stellt es häufig bereits dar, dass es keine aktuelle Übersicht über alle IT-Systeme gibt. Das lässt sich mit einer IT-Sicherheitsanwendung ändern, die entsprechende Funktionen bereitstellt. Sie sollte in der Lage sein, kontinuierlich und selbständig alle System des Netzwerkes zu identifizieren. Die übergreifende Kontrolle mit einem Logging des Netzwerkverkehrs ist die Grundlage, um Angriffsmuster dieser Ausprägung zu erkennen.

Das passende Konzept entwickeln

Wie läuft die Erkennung von Stuxnet? Eine IT-Sicherheitslösung erfasst zu Beginn automatisch und kontinuierlichen alle ‚Systeme‘ wie Produktionsanlagen, die per Ethernet verbunden sind. Folgend werden das Kommunikationsverhalten der Systeme aufgenommen und überwacht. Es wird nicht in hochkritische, kritische oder normale Systeme unterschieden, da jedes System initial infiziert und somit das Einstiegstor für einen Angriff sein kann. Wichtig ist bei alldem, neue und veränderte Systeme umgehend zu validieren. Wie im A-B B-C B-D B-E-Beispiel dargestellt ist die Vorgehensweise eines APT-Angriffes einerseits davon geprägt, weitere Informationen zu sammeln und andererseits sich weiter zu verbreiten. Dies führt immer zu zusätzlichen und erweiterten Verbindungen, die sich durch eine Sicherheitslösung erkennen lassen. Erkennt die Lösung etwas Auffälliges, löst sie Alarm aus. Eine Herausforderung vieler Angriffe liegt jedoch darin, das die auffällige Kommunikation oft erst mittelbar erfolgt. Nach einer Infektion können Tage vergehen, bis die nächsten Schritte des Angriffes erfolgen. Für Überwachungslösungen stellt dies jedoch in der Regel kein Problem dar. Ist der Schädling erst einmal erkannt, lassen sich Gegenmaßnahmen einleiten und der Eintritt eines weiteren Schadens in vielen Fällen verhindern.


Das könnte Sie auch interessieren:

In einer Studie des IIoT-Spezialisten Relayr wurden je 100 Unternehmen in den USA und in Deutschland zu aktuellen Entwicklungen während der Coronakrise befragt. Dabei zeigen sich sogar positive Effekte.‣ weiterlesen

Als die Arbeit mit Excel und Access beim Verpackungshersteller Romwell an Grenzen stieß, war der Wunsch nach einer flexiblen Business-Software längst gereift. Nach einem harten Auswahlverfahren wurde caniasERP als zentrale Datenplattform integriert. Das flexible System verbindet Vertrieb, Management und Konstruktion – und lässt sich inhouse auf die wachsenden Bedürfnisse anpassen.‣ weiterlesen

Die Cosmo Consult-Gruppe eröffnet eine Niederlassung in Hongkong und plant darüber hinaus weitere Standorte in Asien.‣ weiterlesen

Leere Fabrikhallen können durch virtuelle Modelle mit Leben gefüllt werden, noch bevor eine einzige Maschine installiert wurde. Bei der Inspektion solcher Layouts kann Augmented Reality seinen Nutzen ausspielen.‣ weiterlesen

Falsch geplante Anlagen können unnötige Kosten in großer Höhe verursachen. Sorgfältiges Engineering zeichnet sich dadurch aus, gängige Fallstricke zu vermeiden und verfügbare technische Hilfsmittel wie CAD-Tools und Virtual Reality passend einzusetzen.‣ weiterlesen

Wie bereits im April blieb der Auftragseingang der deutschen Maschinenbauer auch im Mai weit unter dem Niveau des Vorjahres. Die Bestellungen blieben 28 Prozent unter dem Vorjahreswert.‣ weiterlesen

Selbst in hoch automatisierten Fertigungsumgebungen gibt es Maschinenbediener, Instandhalter oder Logistikmitarbeiter, die eine Produktion beobachten und eingreifen. Und solange Menschen Verantwortung tragen, müssen Informationen im Werk vermittelt werden. Mit einer Andon-Anwendung lässt sich das motivierend und effizienzsteigernd strukturieren, gerade wenn weitere Prozessoptimierungsmethoden umgesetzt werden.‣ weiterlesen

Augenstein Maschinenbau plant, entwickelt und fertigt individuelle Automatisierungslösungen für Produktionsprozesse. Eine Visualisierungssoftware liefert dabei früh ein erstes Bild der Anlage. Das schafft Klarheit und hilft dem Vertrieb quasi nebenbei, den Auftrag überhaupt an Land zu ziehen.‣ weiterlesen

Im Projekt ‘Kitos – Künstliche Intelligenz für TSN zur Optimierung und Störungserkennung‘ arbeiten Wissenschaftler und Ingenieure gemeinsam an Lösungen für ein dynamisches Netzwerkmanagement in der Industrie.‣ weiterlesen

Laut statistischem Bundesamt hat sich die Industrie im Mai von den Einbrüchen verursacht durch die Corona-Pandemie etwas erholt. Die Produktion legte zu, verfehlt das Mai-Ergebnis des Vorjahres jedoch um 19,3 Prozent.‣ weiterlesen

Zwei Drittel (66 Prozent) der Unternehmensleiter weltweit sind optimistisch, dass sich der europäische Markt relativ schnell vom wirtschaftlichen Abschwung durch die COVID-19-Pandemie erholen wird. Das geht aus einem Report des Beratungsunternehmens Accenture hervor, der auf einer Umfrage unter fast 500 C-Level-Führungskräften in Europa, Nordamerika und im asiatisch-pazifischen Raum in 15 Branchen basiert.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige