Startseite » Digitalisierung »

Die Anomalie-Erkennung durch Deep Packet Inspection

Anomalie-Erkennung im Netzwerk
mdex bietet Cyber-Security für höhere Produktivität in der Industrie

Mit Industrie 4.0 und der zunehmenden Digitalisierung steigt das Risiko potenzieller Cyberangriffe auf die vernetzte Produktionsumgebung. OT-Systeme sind nicht nur denselben Gefahren wie IT-Systeme ausgesetzt, sondern sie sind häufig auch – bedingt durch veraltete und oft nicht mehr aktualisierbare Soft- und Firmware – ein leichtes Ziel für digitale Angreifer. Ein sabotiertes System in einer Industrieanlage kann einen erheblichen finanziellen Schaden verursachen. Entsprechende Schutzmaßnahmen rechnen sich deshalb recht schnell.

Dennis Paul, Bereichsleiter IoT-Projekte bei der mdex GmbH in Tangstedt

Inhaltsvereichnis

1. Den Datenverkehr kontrollieren
2. Der tiefe Blick in die Datenkommunikation
3. Ablauf einer Infektion

 

Schreckensszenarien durch Cyberangriffe sind leider keine theoretischen Ideen mehr. Der Netzwerkübergang zwischen der Office-IT und dem Produktionsnetzwerk (OT) stellt ein Einfallstor für Cyberkriminelle dar. So können beispielsweise Würmer, Trojaner oder andere unerwünschte Programme von der herkömmlichen Infrastruktur aus in die Produktionsumgebung gelangen und dort den Produktionsprozess erheblich beeinträchtigen. Stuxnet, WannaCry und Emotet sind dafür bekannte Beispiele.

Doch wie kann die Gefahr durch solche Bedrohungen minimiert werden, ohne auf die zahlreichen Vorteile einer durchgängigen Vernetzung zu verzichten? Schließlich sind ohne sie viele innovative Konzepte gar nicht realisierbar, angefangen von Fernwartung und Remote-Zugriffe zur Produktionssteuerung bis hin zu Production on Demand oder Pay per Use. Hundertprozentigen Schutz wird es für OT-Systeme allerdings genauso wenig geben wie für IT-Systeme. Für einen bestmöglichen Schutz lassen sich aber verschiedene Maßnahmen miteinander kombinieren.

Den Datenverkehr kontrollieren

Im ersten Schritt gilt es, den Datenverkehr zu kontrollieren, beispielsweise durch eine Firewall, die idealerweise nicht nur die internen IT-Systeme vom Internet trennt, sondern auch von den eigenen OT-Systemen. Hier kann nicht nur sehr fein geregelt werden, welche IT-Systeme mit welchen OT-Systemen kommunizieren dürfen, sondern auch welche Protokolle sie dafür verwenden dürfen. Wenn ein IT-System also beispielsweise ausschließlich über eine HTTPS-Verbindung mit einem OT-System kommunizieren soll ist es sinnvoll, die Kommunikation auf genau dieses Protokoll einzugrenzen. Damit sind dann Angriffe, die z.B. auf dem SMB-Protokoll basieren, nicht mehr möglich. Genauso kann es gegebenenfalls sinnvoll sein, die Kommunikationsrichtung einzuschränken, wenn ein OT-System immer nur Daten an ein IT-System sendet, z.B. für Dokumentationszwecke. Zugriffe aus der Ferne gilt es natürlich ebenfalls abzusichern. Der bloße Schutz durch die Kombination aus Passwort und Benutzername genügt hier keineswegs. Verschlüsselte Verbindungen, z.B. per VPN (Virtual Private Network), sind hier eine bessere Wahl.

Diese Überlegungen zeigen bereits, dass es keine universelle Sicherheitslösung gibt, die für alle Betriebe passt, sondern dass die entsprechenden Maßnahmen immer auf die betrieblichen Erfordernisse abzustimmen sind. Nur so ist ein sinnvoller Schutz gewährleistet. Darauf hat sich mdex spezialisiert und bietet alles für eine sichere, verschlüsselte Datenanbindung für Maschinen und Anlagen. Dazu gehört auch die sogenannte Anomalie-Erkennung, die heute zunehmend wichtiger wird. Das Erkennen von Angriffen auf ein System wird immer schwieriger, vor allem angesichts der immer komplexer werdenden Attacken. Deshalb gilt es auch, bereits erfolgreich durchgeführte Angriffe zu erkennen und wirksame Gegenmaßnahmen zu ergreifen.

Der tiefe Blick in die Datenkommunikation

Die Anomalie-Erkennung durch Deep Packet Inspection, also den tiefen Blick in die Datenkommunikation, bringt in der Industrie nicht nur einen erheblichen Sicherheitsvorteil, sondern kann auch die Produktivität deutlich erhöhen. Hierdurch werden z.B. neue Kommunikationsteilnehmer, neue Protokolle oder auch Messwerte, welche sich nicht in einem definierten Rahmen bewegen, in Echtzeit erkannt. Dadurch kann sehr schnell auf einen Angriff oder einen sich einschleichenden, noch unbekannten Fehler reagiert werden, bevor ein Schaden entsteht.

Bei diesem Ansatz ist – nach einer Einlernphase – also das normale Verhalten des Systems bekannt. Alles, was in der Folge in irgendeiner Hinsicht davon abweicht, wird als Anomalie erkannt und löst einen Alarm aus. Die Gründe für eine solche Abweichung können vielfältig sein, etwa ein defekter Sensor, ein neuer Laptop eines Service-Mitarbeiters, oder auch ein Angriff durch einen Virus. Wie das in der Praxis funktioniert, ist einfach zu verstehen, wenn man den typischen Ablauf einer Infektion näher betrachtet.

Ablauf einer Infektion

Um eine Maschine oder Anlage mit einem Schadprogramm zu infizieren, reicht ein USB-Stick, der Laptop eines Servicetechnikers oder auch ein Fernzugriff aus. Der WannaCry-Virus beispielsweise verbreitet sich über eine Schwachstelle in Microsoft-Windows-Betriebssystemen. Er verschlüsselt bestimmte Daten auf dem befallenen System und fordert anschließend zu einer Lösegeldzahlung auf, damit die Daten wieder entschlüsselt werden. Bevor dies geschieht, sucht der Virus jedoch erst gezielt nach weiteren Systemen im Netzwerk, die ebenfalls diese Sicherheitslücke aufweisen. Er will also zunächst unerkannt bleiben. Das heißt, es gibt ein Zeitfenster, in dem ein befallenes System noch gerettet werden kann, falls der Angriff rechtzeitig erkannt wird.

Diese Inkubationszeit gibt es bei nahezu allen Schadprogrammen, da sie ja an einer möglichst weiten Verbreitung interessiert sind. In diesem Zeitfenster werden gleich mehrere Anomalien erkannt: Zum einen hat die Suche nach neuen, verwundbaren Systemen haufenweise neue Kommunikationsbeziehungen, die alle eine entsprechende Alarmierung bedeuten. Des Weiteren hat z.B. WannaCry das Protokoll SMB verwendet, da die entsprechende Sicherheitslücke genau hierauf aufsetzt. Somit wird also neben dem plötzlichen Auftreten von sehr vielen neuen Kommunikationsbeziehungen auch ein Protokoll massiv verwendet, das bisher typischerweise kaum in Gebrauch war. Anhand der Kommunikation kann zudem ausgemacht werden, welches System von dem Virus befallen wurde. Im besten Fall kann hier also – eine entsprechend schnelle Reaktion vorausgesetzt – der Befall weiterer Systeme sowie eine Verschlüsselung des befallenen Systems verhindert werden. Im schlimmsten Fall muss nun lediglich der betroffene Industrie-PC neu aufgesetzt werden, ein kostspieliger Produktionsausfall lässt sich noch verhindern.

Es lohnt sich also, die IT-/OT-Sicherheit der gesamten Kommunikationsinfrastruktur in ihrem Gesamtkontext zu bewerten und durch ein sorgfältig abgestimmtes IT-Sicherheitskonzept (auch für die OT-Systeme) das Risiko durch die Vernetzung in einem wirtschaftlich sinnvollen Rahmen zu minimieren. ge

www.mdex.de

Weitere Informationen über den

Service des Unternehmens

http://hier.pro/L9N1f

Unsere Whitepaper-Empfehlung
Systems Engineering im Fokus

Ingenieure bei der Teambesprechung

Mechanik, Elektrik und Software im Griff

Video-Tipp

Unterwegs zum Thema Metaverse auf der Hannover Messe...

Aktuelle Ausgabe
Titelbild KEM Konstruktion | Automation 3
Ausgabe
3.2024
LESEN
ABO
Newsletter

Abonnieren Sie unseren Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts
Webinare

Technisches Wissen aus erster Hand

Whitepaper
Whitepaper

Hier finden Sie aktuelle Whitepaper


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de