:quality(80)/p7i.vogel.de/wcms/54/9f/549f14c551279681b7bb3366931986cc/0110445608.jpeg "Das Team des Start-ups CNC24 freut sich über die Auszeichnung „Arbeitgeber der Zukunft“. Dieses Siegel, das vom Business Magazin DUP Unternehmer verliehen wird, darf die innovative Online-Beschaffungsplattform nun offiziell verwenden. (Bild: CNC24)")
:quality(80)/p7i.vogel.de/wcms/e2/95/e295ed97035d3a0496eda1d9e1fdf9cf/0110095026.jpeg "Die Open Source Edge Computing und IoT Cloud Plattform Starling-X ist jetzt verfügbar. Sie gilt als Enabler für Anwendungen, die kurze Latenzzeiten und hohe Leistung erforderten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a3/23/a323aa362947fd3c342863102c787c79/0110072644.jpeg "Für die Digitalisierung industrieller IoT-Systeme hat der IT-Dienstleister Synostik jetzt neue Inspektions-Algorithmen entwickelt, die es erlauben, dass die Anwender Standards vorgeben können, mit denen deren Systeme dann geprüft werden. Hier mehr dazu. (Bild: Carrywise)")
:quality(80)/p7i.vogel.de/wcms/ab/ab/abab6cfd91bcc1fe02cbeb4d01d042ab/0109169011.jpeg "Das Konzept des industriellen Metaverses basiert im Wesentlichen auf der Kombination bereits bekannter Technik wie zum Beispiel digitaler Zwillinge und Virtual oder Augmented Reality. (Bild: frei lizenziert)")
Virtueller Raum :quality(80)/p7i.vogel.de/wcms/d2/9e/d29eb16e2cbea48418def461e6e9d638/0110271051.jpeg "Werden elektronische Teile heute mittels 3D-Druck produziert, kommt ein zweistufiger Prozess zum Einsatz. Ein neues Verfahren der TH Köln verspricht dies einfacher, schneller und kostengünstiger zu gestalten. Es nutzt die vorhandene Prozesswärme des FDM-Druckers gleichzeitig zur Materialsinterung der leitfähigen Strukturen. (Bild: TH Köln)")
:quality(80)/p7i.vogel.de/wcms/7a/f7/7af743e503ea01020fa58c24bf7fcaf4/0110208689.jpeg "Vier neue 3D-Drucker kaufte das BWT Alpine F1 Team für eine Optimierung der Windkanalmodelle. (Bild: 3D Systems)")
:quality(80)/p7i.vogel.de/wcms/5a/39/5a39181b4565500d8c1f2b8d2025480a/0110256958.jpeg "Im Januar 2023 fiel der Startschuss für das Forschungsprojekt „MADE-3D“. Es wird für die nächsten dreieinhalb Jahre mit rund 6,7 Millionen Euro im „Horizon Europe 2022“-Programm der Europäischen Union gefördert. Das internationale Team kam dafür in der Universität Paderborn, u. a. in der Maschinenbauhalle, zusammen. (Bild: Jennifer Bounoua - Universität Paderborn)")
:quality(80)/p7i.vogel.de/wcms/ff/95/ff954950442c193459736c6968b8207a/0110255445.jpeg "Sebastian Kallenberg, Projektingenieur bei Naddcon, mit dem durch Siemens NX optimierten Bauteil: „Unser digitaler NX-Ansatz soll die CEM-Maschinentechnik von AIM3D unter Konstruktionsgesichtspunkten besser erschließen. Hier liegen erhebliche Potentiale für Freiformflächen und bionische Konstruktionsstrategien.“ (Bild: AIM3D)")
:quality(80)/p7i.vogel.de/wcms/bd/67/bd674878a24a7c9fe281e50a23905bde/0109045961.jpeg "Unternehmen sollen Pentests in Zukunft enttabuisieren und für mehr Cyberresilienz einsetzen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f2/9b/f29b8d18d6e8b1a1c374fee917145401/0110090005.jpeg "Die Ergebnisse ihres Verbundforschungsprojekts „Sequoia“ haben die Wissenschaftler in einer Studie veröffentlicht. (Bild: Panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/6emJkkGM771kzTDQR-8DatrLsuo=/500x500/gauntlet/13/99/1399957_1562861169.jpg "Dipl.-Inf. Klaus Mochalski")
Lückenlose Sicherheitsstrategie Anomalieerkennung im Steuernetz Kritischer Infrastrukturen
Quizfrage: Was war gut an WannaCry? Der Ransomware-Angriff hat zumindest die Welt wachgerüttelt. Der Vorfall hat aber nicht nur gezeigt, dass längst auch industrielle Steuernetze angreifbar sind.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/0a/610a823781562/o2-telefonica-logo-dualbranding-06-2021-1280x720-blue--1-.jpeg "o2-telefonica-logo-dualbranding-06-2021-1280x720-blue--1- (Telefonica)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/61/5a/615ac2ee6e619/paessler-logo-mit-claim-me-blue.jpeg "paessler-logo-mit-claim-me-blue (Paessler AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d1371cff23/logo.jpg "Logo.jpg (NetModule)"){kind=logo}
Die Erpressersoftware hat bewiesen, wie blind die gängigen Sicherheitslösungen eigentlich sind. Anstelle sich auf eine vordefinierte Gefahrenabwehr zu beschränken, muss die Antwort eine lückenlose Sicherheitsstrategie sein. Eine Möglichkeit ist die Anomalieerkennung.
Kritische Infrastrukturen (Kritis) und Industrieunternehmen mit vernetzter automatisierter Produktion stehen bei der Realisierung der Netzwerksicherheit vor vier grundlegenden Dilemmas:
- Verzögerte Reaktionszeiten der IT-Sicherheitslösungen
Gängige Sicherheitslösungen für Netzwerke wie Virenscanner, Firewalls und Intrusion-Detection-Systeme haben ein grundlegendes Problem: sie erkennen ausschließlich Gefahren, die vom jeweiligen Sicherheitsdienstleister (z. B. Kaspersky oder Symantec) im Vorfeld als solche definiert wurden. Sind die Gefährdungen noch unbekannt, erkennen auch die IT-Sicherheitslösungen diese nicht. Eine Infektion ist damit unvermeidbar. - Programmierlücken in eingesetzten Softwares
Hinzu kommen Sicherheitslücken – sogenannte Backdoors – in Betriebssystemen oder anderer Software, die selbst dem Hersteller entweder unbekannt sind oder von diesem aus verschiedenen Gründen offen gehalten werden. Im Fall von WannaCry wurde bekanntermaßen eine Hintertür im Windows-Betriebssystem genutzt, die verschiedenen Akteuren – u.a. der US-amerikanischen National Security Agency NSA – lange bekannt waren. Microsoft erfuhr sehr verspätet von dieser Sicherheitslücke und veröffentliche erst im März dieses Jahr das Sicherheits-Patch, um diese zu schließen. - Sicherheitslücken durch verzögerte Updates
Doch selbst wenn der Software-Hersteller alle Sicherheits-Patches veröffentlicht hat und der IT-Sicherheitsdienstleister mit seiner Gefahrenliste up-to-date ist, bleibt das gängige Problem verzögerter oder ausgelassener Aktualisierungen bei den Unternehmen. Das Credo »Never change a running system« ist aus guten Gründen noch immer weit verbreitet. So lange Programm-Updates zu Störungen im eigenen Netzwerk führen können und eine Prüfung auf Kompatibilität aufwendig ist, werden Softwareaktualisierung so weit hinausgezögert, bis es zu spät ist. - Risikosteigerung durch Industrie 4.0 und Industry of Things (IoT)
Bei allen Vorteilen der fortschreitenden Vernetzung von Netzwerken und der Abflachung der Automatisierungspyramide, steigt auch die Anfälligkeit der Steuertechnik in Kritis und Industrie. Die Steuernetze werden zum einen komplexer. Zum anderen werden sie nach außen geöffnet – durch VPN-Zugänge, den Zugriff über WLAN und die Anbindung an weitere Netzwerke oder das Internet. Die Effizienzsteigerung des industriellen IoT lässt auch eine offene Flanke in der Steuernetzsicherheit entstehen.
Was also tun, wenn sowohl IT-Sicherheitslösungen als auch Softwarehersteller nicht wissen, welche Gefahren sie übersehen und die eigene IT-Infrastruktur ohnehin anfällig auf ständige Sicherheitsupdates reagiert?
Eine selbstlernende Anomalieerkennung ist lückenlos
Anstelle sich auf die Abwehr bekannter Gefahren zu fokussieren, braucht es eine Lösung, die grundsätzlich Anomalien in Netzwerken meldet. Anomalien beschreiben hierbei jede Veränderung der erlaubten und bekannten Standardkommunikation in Steuernetzen. Dieser Ansatz ist insbesondere in industriellen Steuernetzen möglich.
Diese sind durch eine sich wiederholende und vorhersagbare Kommunikationsstruktur geprägt. Fertigungsprozesse und die Leitwartensteuerung Kritischer Infrastrukturen folgen klar definierten Befehlsstrukturen und Kommunikationsmustern. Im Gegensatz zur Office-IT ist somit die Definition einer Standardkommunikation viel leichter möglich. Über einen kontinuierlichen Abgleich der aktuell ablaufenden Kommunikation mit diesem Standardmuster können Veränderungen lückenlos erkannt und für die Überprüfung an den Betreiber gemeldet werden.
Grundlage dieser Funktion ist eine detaillierte Analyse der Datenpakete auf Inhaltsbasis. Für die Anomalieerkennung reicht das Auslesen der Sender, Empfänger und ggf. noch einer URL nicht aus. Vielmehr müssen die Datenpakete selbst komplett transparent gemacht werden. Hierfür kommt die sogenannte Deep-Packet-Inspection-Technologie zum Einsatz. Diese liest auch die eigentlichen Befehle aus, welche in den Datenpaketen »versteckt« sind. So haben Steuernetzadministratoren stets 100 % Transparenz.
Weiterhin darf die Sicherheitslösung nicht ausschließlich an den Peripherien des Netzwerkes sitzen. Anstelle nur die Grenzen zu schützen, wird ausnahmslos jede Kommunikation innerhalb des Netzwerkes überwacht, analysiert und mit der Standardkommunikation abgeglichen. Nur so wird eine lückenlose Meldung von Anomalien gewährleistet.
Dieser Ansatz garantiert, dass ganz unabhängig vom Gefährdungsvektor (Hintertür, Fremdzugriff, Schadsoftware, schleichende Manipulation) jede verdächtige Handlung im Steuernetz gemeldet wird – unabhängig davon, ob diese bereits als Gefahr bekannt ist oder nicht. Ein Zugriff über eine Hintertür im System wird sofort als neuer Kommunikationspfad erkannt und dem Administrator angezeigt. Ein Schadprogramm wird z. B. als bisher unbekanntes Protokoll wahrgenommen und gemeldet. Eine Manipulation der Steuerbefehle identifiziert die Lösung als veränderte und somit verdächtige Kommunikationsmuster.
Anomalieerkennung in der Praxis
Die Sicherheitslösung » Anomalieerkennung« wirkt dabei minimal-invasiv und rückwirkungsfrei. Eine Installation auf Steuernetzkomponenten ist nicht erforderlich. Die Anomalieerkennungssoftware wird sicher auf einem separaten, autonomen Server installiert, der keinerlei Rückwirkung auf das Steuernetz zulässt. Die Installation und der Betrieb erfolgen dabei immer nach demselben Ablauf:
- Verbindung des Anomalieerkennungsservers mit dem Steuernetz über passive Mirror Taps oder Switches.
- Analyse der Netzwerk- und Kommunikationsstruktur. Dabei werden sowohl alle aktuell laufenden Datenpakete als auch alle Teilnehmer im System und deren Abhängigkeiten visualisiert.
- Initiale Bereinigung des Netzwerkes auf Basis der Erstanalyse. Hierbei werden unbekannte Teilnehmer entfernt, nicht sinnvolle oder gefährdende Verbindungen zwischen Komponenten getrennt und verdächtige Kommunikationsmuster analysiert und bei Bedarf beendet.
- Die Anomalieerkennung definiert über maschinelles Lernen binnen weniger Minuten die Standardkommunikation im Steuernetz. Diesem Basismuster kann der Administrator bei Prozessänderungen später selbstständig neue Muster hinzufügen oder alte Muster entfernen.
- Die Anomalieerkennung überwacht in Echtzeit und lückenlos den gesamten Kommunikationsverkehr innerhalb des Steuernetzes und meldet alle nicht erlaubten bzw. verdächtigen Kommunikationen, Zugriffe und Handlungen im Steuernetz.
- Der Administrator kann auf einem übersichtlichen Dashboard alle Meldungen in Echtzeit einsehen, Details abfragen und eine Entscheidung über die weitere Handhabung einer verdächtigen Kommunikation fällen.
Das Monitoring des Steuernetzes erfolgt somit ganzheitlich, lückenlos und in Echtzeit. Die Administratoren haben zu jedem Zeitpunkt volle Transparenz über alle Vorgänge im Steuernetze und können schnell und effektiv reagieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1935800/1935822/original.jpg "Um auf etwaige Cyberattacken vorbereitet zu sein, verstärken Deutschland und weitere EU-Staaten ihre Security-Aktivitäten. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1897600/1897644/original.jpg "Das vergangene Jahr war geprägt von einer deutlichen Ausweitung cyber-krimineller Erpressungsmethoden. Nicht nur die Anzahl der Schadprogramm-Varianten stieg zeitweise rasant an – mit bis zu 553.000 neuen Varianten pro Tag der höchste jemals gemessene Wert. Auch die Qualität der Angriffe nahm weiterhin beträchtlich zu. (gemeinfrei)")