Cybersecurity zum Schutz von IT und OT

Sichere Vernetzung und Anomalieerkennung

Mit Industrie 4.0 und der zunehmenden Digitalisierung steigt das Risiko potenzieller Cyberangriffe auf die vernetzte Produktionsumgebung. OT-Systeme sind dabei nicht nur denselben Gefahren wie IT-Systeme ausgesetzt, sondern sind häufig auch - bedingt durch veraltete und oft nicht mehr aktualisierbare Soft- und Firmware - ein leichtes Ziel für digitale Angreifer. Für den bestmöglichen Schutz lassen sich verschiedene Maßnahmen, wie die Kontrolle des Datenverkehrs und Anomalieerkennung, miteinander kombinieren.


Ein sabotiertes System in einer Industrieanlage kann einen erheblichen finanziellen Schaden verursachen, z.B. durch den Ausfall einer Produktionsanlage. Entsprechende Schutzmaßnahmen rechnen sich deshalb schnell.
Bild: Mdex GmbH

Der Netzwerkübergang zwischen der Office-IT und dem Produktionsnetzwerk (OT) stellt ein Einfallstor für Cyberkriminelle dar. So können z.B. Würmer, Trojaner oder andere unerwünschte Programme von der herkömmlichen Infrastruktur aus in die Produktionsumgebung gelangen und dort den Produktionsprozess erheblich beeinträchtigen. Stuxnet, WannaCry und Emotet sind dafür bekannte Beispiele. Doch wie kann die Gefahr durch solche Bedrohungen reduziert werden, ohne auf die zahlreichen Vorteile einer durchgängigen Vernetzung zu verzichten? Schließlich sind ohne sie viele innovative Konzepte gar nicht realisierbar, angefangen von Fernwartung und Remote-Zugriffe zur Produktionssteuerung bis hin zu Production on Demand oder Pay per Use. Hundertprozentigen Schutz wird es für OT-Systeme allerdings genauso wenig geben wie für IT-Systeme. Für einen bestmöglichen Schutz lassen sich aber verschiedene Maßnahmen miteinander kombinieren.

Den Datenverkehr kontrollieren

Im ersten Schritt gilt es, den Datenverkehr zu kontrollieren, z.B. durch eine Firewall, die idealerweise nicht nur die internen IT-Systeme vom Internet trennt, sondern auch von den eigenen OT-Systemen. Hier kann nicht nur sehr fein geregelt werden, welche IT-Systeme mit welchen OT-Systemen kommunizieren dürfen, sondern auch welche Protokolle sie dafür verwenden dürfen. Wenn ein IT-System also z.B. ausschließlich über eine HTTPS-Verbindung mit einem OT-System kommunizieren soll, ist es sinnvoll, die Kommunikation auf genau dieses Protokoll einzugrenzen. Damit sind dann Angriffe, die z.B. auf dem SMB-Protokoll basieren, nicht mehr möglich. Genauso kann es gegebenenfalls sinnvoll sein, die Kommunikationsrichtung einzuschränken, wenn ein OT-System immer nur Daten an ein IT-System sendet, z.B. für Dokumentationszwecke. Zugriffe aus der Ferne gilt es natürlich ebenfalls abzusichern. Der bloße Schutz durch die Kombination aus Passwort und Benutzername genügt hier keineswegs. Verschlüsselte Verbindungen, z.B. per VPN (Virtual Private Network), sind hier eine bessere Wahl. Diese Überlegungen zeigen bereits, dass es keine universelle Sicherheitslösung gibt, die für alle Betriebe passt, sondern dass die entsprechenden Maßnahmen immer auf die betrieblichen Erfordernisse abzustimmen sind. Nur so ist ein sinnvoller Schutz gewährleistet. Darauf hat sich Mdex spezialisiert und bietet alles für eine sichere, verschlüsselte Datenanbindung für Maschinen und Anlagen. Dazu gehört auch die sogenannte Anomalieerkennung, die heute zunehmend wichtiger wird. Denn das Erkennen von Angriffen auf ein System wird immer schwieriger, vor allem angesichts der immer komplexer werdenden Attacken. Deshalb gilt es auch, bereits erfolgreich durchgeführte Angriffe zu erkennen und wirksame Gegenmaßnahmen zu ergreifen.

Anzeige

Anomalien erkennen

Die Anomalieerkennung durch Deep Packet Inspection, also den tiefen Blick in die Datenkommunikation, bringt in der Industrie nicht nur einen Sicherheitsvorteil, sondern kann auch die Produktivität erhöhen. Hierdurch werden z.B. neue Kommunikationsteilnehmer, neue Protokolle oder auch Messwerte, die sich nicht in einem definierten Rahmen bewegen, in Echtzeit erkannt. Dadurch kann sehr schnell auf einen Angriff oder einen sich einschleichenden (noch unbekannten) Fehler reagiert werden, bevor ein Schaden entsteht. Bei diesem Ansatz ist - nach einer Einlernphase - also das normale Verhalten des Systems bekannt. Alles, was in der Folge in irgendeiner Hinsicht davon abweicht, wird als Anomalie erkannt und löst einen Alarm aus. Die Gründe für eine solche Abweichung können vielfältig sein, ein defekter Sensor, ein neuer Laptop eines Service-Mitarbeiters oder auch ein Angriff durch einen Virus.

Ablauf einer Infektion

Um eine Maschine oder Anlage mit einem Schadprogramm zu infizieren, reicht ein USB-Stick, der Laptop eines Servicetechnikers oder auch ein (erlaubter) Fernzugriff aus. Der WannaCry-Virus z.B. verbreitet sich über eine Schwachstelle in Microsoft-Windows-Betriebssystemen. Er verschlüsselt bestimmte Daten auf dem befallenen System und fordert anschließend zu einer Lösegeldzahlung auf, damit die Daten wieder entschlüsselt werden. Bevor das geschieht, sucht der Virus jedoch erst gezielt nach weiteren Systemen im Netzwerk, die ebenfalls diese Sicherheitslücke aufweisen. Er will also zunächst unerkannt bleiben. Das heißt, es gibt ein Zeitfenster, in dem ein befallenes System noch gerettet werden kann, falls der Angriff rechtzeitig erkannt wird. Diese Inkubationszeit gibt es bei nahezu allen Schadprogrammen, da sie an einer möglichst weiten Verbreitung interessiert sind. In diesem Zeitfenster werden gleich mehrere Anomalien erkannt: Zum einen hat die Suche nach neuen, verwundbaren Systemen haufenweise neue Kommunikationsbeziehungen, die alle eine entsprechende Alarmierung bedeuten. Des Weiteren hat z.B. WannaCry das Protokoll SMB verwendet, da die entsprechende Sicherheitslücke genau hierauf aufsetzt. Somit wird also neben dem plötzlichen Auftreten von sehr vielen neuen Kommunikationsbeziehungen auch ein Protokoll massiv verwendet, das bisher typischerweise viel weniger oder gar nicht in Gebrauch war. Anhand der Kommunikation kann zudem ausgemacht werden, welches System von dem Virus befallen wurde. Im besten Fall kann hier also - eine entsprechend schnelle Reaktion vorausgesetzt - der Befall weiterer Systeme sowie eine Verschlüsselung des befallenen Systems verhindert werden. Im schlimmsten Fall muss nun lediglich der betroffene Industrie-PC neu aufgesetzt werden, ein kostspieliger Produktionsausfall lässt sich noch verhindern. Es lohnt sich also, die IT-/OT-Sicherheit der Kommunikationsinfrastruktur in ihrem Gesamtkontext zu bewerten und durch ein sorgfältig abgestimmtes IT-Sicherheitskonzept (auch für die OT-Systeme) das Risiko durch die Vernetzung in einem wirtschaftlich sinnvollen Rahmen zu reduzieren.

Anzeige