ACHT:WERK NEWS

Aktuellste News

Adhoc: Log4shell – Mögliche Handlungen zur Verringerung von Schäden

Unser Support hat verstärkt Anfragen zu aktuellen Alarmen zu neuen Verbindungen bekommen. Die Wahrscheinlichkeit, dass Geräte und Systeme, die Log4j nutzen und kompromittiert wurden und sodann ihr Kommunikationsverhalten ändern, ist aktuell durchaus groß. Die Anbieter sind mit Hochdruck dabei entsprechende Patches zeitnah oder mit der nächsten Version zur Verfügung zu stellen. Es wird meistens wohl mehrere Tage, vielleicht sogar Wochen dauern. Bei vielen Geräten und Systeme ist es sogar schwer herauszufinden, ob Log4j in einer der kompromittierten Versionen genutzt wird. Was nun?

Vorab: Die Lage ist kritisch. 

Klopf Klopf – Vorbereitung zur Ausnutzung Log4j

Es handelt sich um eine Schwachstelle, die sehr einfach die Ausführung von Schadsoftware (remote code execution) auf ihrem Systemen ermöglicht. Dies bedeutet, dass jeder Angreifer mit ziemlicher Sicherheit in der Lage sein wird, Schadsoftware auszuführen! Des Weiteren werden wohl eine Vielzahl von Geräte oder Systemen die Log4j Instanzen nutzen. 

In den Meldung wird besonders auf Anwendungen, die direkt aus dem Internet erreichbar sind, hingewiesen. Hier ist bereits eine deutliche Erhöhung von zielgerichteten Systemscans auf Web- und Javabasierte Anwendungen feststellbar. Das BSI setzt die Warnstufe ROT. HIER!

Wenn Sie können, d.h. wenn ein Patch zur Verfügung steht, dann patchen Sie die betroffenen Assets umgehend. Jedoch, aus welchem Grund auch immer, wenn Sie nicht patchen können, beachten Sie die folgenden Maßnahmen:

————————————————————————————————

HINWEIS in eigener Sache: Das IRMA® System nutzt kein Log4j v2.x und ist somit sicher gegen diese schwere Schwachstelle.

————————————————————————————————

Isolieren 

Wenn möglich, trennen Sie die auffälligen Geräte und betroffenen Systeme vom Netzwerk oder „verschieben“ diese in ein „gesichertes Netzwerk Segment“. Wenn das nicht möglich ist, sollten Sie die Firewall-Regeln zwischen den betroffenen Assets und dem Rest Ihrer vernetzten Automatisierung sorgfältig beobachten und prüfen. Leider ist es meist sehr aufwändig jede Firewall der Netzwerksegmentierung und von jedem Switch/Router die Logdaten einzusehen und nach Auffälligkeiten zu durchsuchen. Oft ist es unmöglich die Assets zu stoppen oder zu „verschieben“. 

Gehen Sie grundsätzlich davon aus, dass es Geräte und Systeme gibt, die infiziert werden.

Suchen Sie nach merkwürdigen Verkehrsmustern zu oder von den Geräten und Systemen. 

Monitoring

Durch das Beobachten sind die Assets in der vernetzten Automatisierung, die jetzt neue ausgehende Verbindungen initiieren, besonders zu kontrollieren. Normalerweise antworten die Web- und Javabasierte Anwendungen nur auf Anfragen. Sollte ein Angreifer aber bereits erfolgreich den Zugriff erreicht haben, folgen aktive Verbindungsversuche zu anderen, zu externen und nachfolgend auch Anfragen zu internen, nicht vorhandenen Systemen. Das manipulierteAsset versucht zunächst den Angreifer mitzuteilen, das es auf weitere Aktionen ausführen könnte oder lädt automatisiert weitere Schadsoftware nach. 

Natürlich initiieren einige der Assets in ihrer Produktionsanlagen ausgehende Verbindungen. Es sind in der Regel aber nur einige Wenige. Auch wenn Sie nicht wissen, welche Assets dies tun und welche nicht, stehen die Chancen sehr gut, die „schädlichen“ Verbindungen schnell zu erkennen und sodann zu handeln.

Fangen Sie jetzt an, nach ausgehenden Verbindungen zu suchen.

Viele der ersten Angriffe, die aktuell gesehen und beschrieben wurden, nutzen bekannten Verfahrensweisen, um Ihre vernetzte Automatisierung zu erkunden. Diese Netzwerkscans nach weiteren Geräten und erreichbaren Services (IP Ports), speziell konfektionierte Datenpakete (z.B. für das FireWalking zum Erkunden und Überwinden von Firewalls) oder die Nichtübereinstimmung von z.B. IP-Port zu genutzten Protokollen, um nur ein paar möglicher Anomalien zu nennen, sind im Netzwerkmonitoring sofort erkennbar. 

IRMA® hilft hierbei besonders!

Für weitere Informationen kontaktieren Sie ihren Ansprechpartner oder den Support.

IRMA® hilft bei log4shell

Die kürzlich identifizierte Schwachstelle log4shell (CVE-2021-44228) zeigt wie Softwarefunktionen und eine anderweitige Benutzung zu einer gefährlichen Bedrohungen werden. Analysten, Sicherheitsteams und SOCs verbringen seit dem viel Zeit damit ihre Infrastruktur zu Prüfen, die Möglichkeiten zur Entschärfung zu identifizieren oder zu prüfen ob Angriffe erfolgreich waren. 
Siehe auch News vom 12.12.2021

Für das IRMA® System stellen wir daher zwei funktionale Erweiterungen und ein Möglichkeit zum retropersepectivischen Prüfen vorhandener Daten im IRMA®-System zur Verfügung.

VERFÜGBAR in IRMA® V21.09.1

1. Anomalie Erkennen: Alarm Kategorie: CVE_2021_44228 —

Im Monitoring des Netzwerkverkehrs wird ein UserAgent Settings mit < XXXXXXXXX>  erkannt. 

2. Simulieren und Prüfen:  Alarm Kategorie: DNS_CANARY_DETECTED

IRMA® DNS_Canary Prüfung für 0-day Exploits, neue und alte Schwachstellen oder auch Monitoring Datenfluss-Tests. Identification eines DNS request mit dem Inhalt <irma.dns.canary….> erzeugen!

Für das retropersepectivische Prüfen:

Auf Anfrage stellen wir ihnen ein LUKS Script zur Prüfung zur Verfügung.  Bitte sprechen Sie ihren Vertriebskontakt oder den Support an.

Erfolgreicher Abschluss des SEC-I4.0-Projekts

Am 25. November 2021 wurde mit dem letzten Konsortialtreffen das ZIM-Forschungsprojekts SEC-I4.0 (www.sec-i40-project.de) erfolgreich abgeschlossen. Das Projektziel, nämlich eine intelligente Anomalie-Erkennung in Industrienetzen in einem Prototypen zu ermöglichen und diese vorab in einer Virtualisierungsumgebung an der Hochschule Bremen (HSB) zu simulieren, wurde umgesetzt. 

Im Projektverlauf wurden in der Laborumgebung der HSB exemplarisch gezielte Angriffe gefahren, die von IRMA® als intelligenten Sensor erkannt und durch qualifizierte Alarme an den SEC-I4.0-Prototypen gemeldet wurden. Die Projektergebnisse zur sicheren Anbindung eines Security Information and Event Management (SIEM) werden in die neue Version von IRMA® als Standard Schnittstelle integriert. 

Die erfolgreich pilotierte Entwicklungspartnerschaft und die vertriebliche Zusammenarbeit mit DECOIT® soll zukünftig weiter ausgebaut werden. 

Sechs Basisschritte zur OT-Security

Dem Aufruf, die Projekte im Bereich Digitalisierung zu beschleunigen, wurde in den letzten 2 Jahren verstärkt nachgekommen. In der Situation durchaus verständlich. Unter diesem Druck wurde allerdings häufig ein wichtiger Aspekt aus den Augen verloren.

Aus den Erfahrungen unserer Kundenprojekte und mit unseren Partnern der Systemintegration haben wir sechs wichtige Handlungsempfehlungen zusammengestellt, die eine solide Basis für eine wirksame Risikominimierung und eine zuverlässige Cybersicherheit für OT-Umgebung legen.

In allen Projekten zeigte sich, dass diese sechs Schritte eine wichtige Grundlage für den Aufbau der Cybersicherheit nach dem Stand der Technik sind.

Sicherlich sind diese Punkte nicht allumfassend, aber sie beschreiben die Basics – und damit geht es meistens los.

Schritt 1 – Das Bewusstsein bei den Mitarbeitern für die Gefährdungen schärfen

Es ist nicht richtig sichtbar. Es ist raffiniert und komplex. Es ist vorhanden.

Täglich gibt es mehr als 320.000 Varianten (*BSI-Lagebericht) von Schadsoftware, die hochprofessionell in Phishing-Mails verteilt werden, um Passwörter auszuspionieren und ungesicherte Systeme zu finden.

So infizierte Geräte, Management Laptops und Software sind mit den Produktionsanlagen verbunden. Das Hauptaugenmerk der Betriebsverantwortlichen liegt darauf, die Verfügbarkeit der Produktion zu gewährleisten. Es ist notwendig, diese Gefährdungen kennenzulernen, zu beurteilen und Vorbereitungen für den Fall zu treffen, dass diese Gefährdungen eintreten.

Deswegen macht es durchaus Sinn, die Mitarbeiter ebenfalls auf diese Gefahren zu sensibilisieren.

HINWEIS: Je besser die Mitarbeiter geschult sind, desto besser funktioniert die Abwehr.

Schritt 2 – Die Systeme, die kritisch für die Produktion sind, kennen

Was man nicht kennt, lässt sich nicht schützen! Daher beginnen alle Security-Management Programme und Standards mit dem Asset-Register oder vollständigen logischen Netzstrukturplan.

Im Security-Management sind Assets die Werte der Unternehmen. Dazu zählen

  • Gebäude
  • Personal
  • Lager
  • Produktionsanlagen

Für die Absicherung der Produktionsanlage sind Assets die Geräte und Systeme der vernetzten Automatisierung. Türen, Tore, Zäune, Brandmelder, Helme oder Kleidung sind sichtbar. Die vielen Steuerungen, HMIs, Sensoren, Motoren, PLC sind “unsichtbar” in der Maschine und Anlage verbaut. Des Weiteren sind auch die PCs im Leitstand oder z.B. der Arbeitsvorbereitung im Office verbunden. Nicht zu vergessen, die Remote-Zugänge der Integratoren und Hersteller. Das Erkennen dieser “riskanten und offenen” Assets ist vielleicht der wesentlichste Schritt für OT-Sicherheit.

Schritt 3 – Netzwerksegmentierung der OT-Umgebung für mehr Kontrolle

Wir kennen Schotten im Schiffbau und Brandmauern bei Gebäuden. Für vernetzte Produktionsanlagen ist es das Air-Gap-Modell, von dem so viele Anlagen als primäres Sicherheitselement abhängig sind. Doch ist die Trennung von Internet, Office-IT und Produktionsanlage kaum noch vorhanden. Auch werden immer mehr IT-Systeme im Zuge von Industrie 4.0 / der Digitalisierung in der Produktion eingeführt.

Um ein sicheres Zusammenspiel von IT- und OT-Infrastruktur zu ermöglichen und die Digitalisierung zu beschleunigen, ist es wichtig, die Anforderungen an die Netzwerksegmentierung zu durchdenken.

Im Notfall ist es besser, eine System-zu-System-Konnektivität in einem Purdue-Modell herzustellen. Das Ziel muss es sein, diese getrennten kontrollierbaren Bereiche, die sich schützen lassen, wieder bestmöglich zu errichten.

Die Lösung hier ist, “Managed Switches” und Firewalls einzusetzen. Zusätzlich sind Kontrollen der ordnungsgemäßen Funktion (vgl. Schritt 4) einzurichten. So entstehen Segmente (Zonen) und Übergänge (Conduits), die die detaillierte Absicherung im Netzwerk erzeugen.

Schritt 4 – Konsequente Bedrohungsüberwachung und Vorfallmanagement

Transparenz ist der entscheidende erste Schritt für ein wirksames Echtzeit-Monitoring von Cyberbedrohungen. Für Unternehmen ist es unverzichtbar zu wissen, welche Geräte und Systeme sich in ihrer Umgebung befinden, wie die Anlagen miteinander verbunden sind und wie die Netzwerksegmentierung eingerichtet ist.

Sobald Sichtbarkeit hergestellt ist, gilt es zu klären, wie das Netzwerk rund um die Uhr lückenlos überwacht werden soll.

Informationsfluss und Alarmierungsszenarien sind dabei wichtige Bausteine in einer Gesamtstrategie.

HINWEIS: Für Kritische Infrastrukturen (KRITIS) ist mit dem ITSiG 2.0 der Einsatz von Angriffserkennungssystemen in der Automatisierung Pflicht!

Schritt 5 – Konnektivität und Zugangskontrollen

Während es für IT-Umgebungen etablierte Praktiken für das Identitäts- und Zugriffsmanagement gibt, besteht im Bereich OT vielerorts Nachholbedarf. Berechtigungsnachweise werden oft gemeinsam, intern und extern genutzt und der Zugriff ist nicht auf bestimmte Netzwerkgeräte oder -segmente beschränkt.

Strategie 6 – Schwachstellen- und Patch-Management

Altsysteme, geschäftskritische Rahmenbedingungen und die begrenzten Patch-Fenster von OT-Umgebungen erschweren es typischerweise, eine ganzheitliche Strategie für das Gefahrenabwehr- und Patch-Management zu entwickeln.

Anstatt sich durch Hunderte von Schwachstellen zu patchen müssen Anwender verstehen, welche potenziell gefährdeten Systeme für die Produktion am wichtigsten sind. Idealerweise werden Sicherheitslücken im Zuge der nächsten regelmäßigen Wartung geschlossen – mit dem Wissen im Hinterkopf, dass für viele OT-Schwachstellen überhaupt kein Patch oder Firmware-Update verfügbar ist.

HINWEIS: Viele der bekannten Software-Schwachstellen der eingesetzten Systeme sind nicht zwingend zu Patchen. Die Maßnahmen der Schritte 1-5 sind oft ausreichend!

Den Original-Artikel finden Sie hier:
Sechs Basisschritte zur OT-Security, 10|2021

Aus Digital Factory, Ausgabe 5/2021, Special: Safety & Security, VDE Verlag, S. 2-3

23.-25. Nov – SPS Smart Production Solutions 2021

Praxisnah. Zukunftsweisend. Persönlich. Wir haben die Lösungen – und Sie alle Möglichkeiten!

Mit ihrem einzigartigen Konzept bildet die SPS das komplette Spektrum der smarten und digitalen Automation ab – vom einfachen Sensor bis hin zu intelligenten Lösungen, vom heute Machbaren bis hin zur Vision einer umfassend digitalisierten Industriewelt.

Aktuell ist die IT- / OT-Security eines der wesentlichen Themen der Automatisierung. Einerseits sind die Digitalisieirungs-und Daten-Projekte nur mit IT-/OT-Sicherheit realisierbar, anderseits hat sich die Gesetzeslage und Vorgaben den Automatisierung Standards konkretisiert. In beiden Fällen ist ein Netzwerk Monitoring mit Anomalieerkennung die effiziente Lösung. die gefordert wird. Sie erfassen Betriebsdaten, Sie erfassen Maschinendaten. Sie nutzen Cloud Dienste. Sie vernetzen dei Produktionsanlagen mit dem Büro.

Wir zeigen ihnen, wie Sie die Verfügbarkeit dieser Daten mit Monitoring und Anomalieerkennung absichern. Den nur aktuelle und integere Daten die auch zur Verfügung stehen, sind gute Daten.

Achtwerk GmbH & Co KG, ITSiG 2.0, KritisV, IEC62443, Namur 169, B3S Wasser/Abwasser,… „Angriffserkennung“

Im Fokus stehen dabei praxisnahe Lösungen für Ihren spezifischen Arbeitsbereich. Finden Sie vor Ort bei einem Austausch auf Augenhöhe die Antwort auf Ihr konkretes Anliegen sowie Lösungsansätze für die Herausforderungen von morgen.

Die Teilnahme hochqualifizierter Aussteller und Besucher ermöglicht einen Austausch auf Augenhöhe und garantiert eine erfolgreiche Messeteilnahme – vor Ort in Nürnberg sowie global über unsere ergänzende digitale Plattform.

Sicher ist sicher

Die Vorfreude auf ein Wiedersehen in Nürnberg ist groß. Dabei stehen der Schutz und die Gesundheit aller Beteiligten vor Ort an oberster Stelle.

Für den Zugang zum Messegelände gilt inzidenzunabhängig die 3-G-Regelung. Alle Details zu den Schutzmaßnahmen finden Sie in dem, nach gesetzlichen Vorgaben erstellten, Schutz-und Hygienekonzept der SPS.

Besuchen Sie IRMA® bei der Videc GmbH Stand Nr. 6-308 in Halle 6 – wir freuen uns auf Sie

Mi 24.11. ab 09:00 Uhr – Vortrag auf der VKU-Digitalkonferenz IT 360° – DIGITALISIERUNG, CYBERSICHERHEIT, IT-ARCHITEKTUR

Bedrohungen managen! Zwischen Datenschutz und Versorgungssicherheit

Um 11:15 Uhr als Breakoutsession 1: Bedrohungen managen! Zwischen Datenschutz und Versorgungssicherheit

# Neue rechtliche und technische IT-Sicherheitsvorgaben für kommunale Unternehmen

# OT-Sicherheitsarchitektur nach dem Stand der Technik

# ITSiG 2.0 und Angriffserkennung – eine praxisbewährte Umsetzung

Vortrag und Diskussion mit Jens Bußjäger, Geschäftsleitung Achtwerk GmbH & Co. KG als Partner der VIDEC GmbH

Die VKU-Digitalkonferenz IT 2021 ist der ideale Branchentreffpunkt für Geschäftsführerinnen und IT-Expertinnen, um sich über die aktuellsten IT-Herausforderungen und -Trends zu informieren.
IT-Entscheiderinnen und Branchenkolleginnen stellen Beispiele aus der kommunalen Praxis vor. Neben spannenden Diskussionen bieten Themensessions in kleinerer Runde die Chance für Austausch und Interaktion.

Hier geht es zur Anmeldung – Jetzt Buchen (ext. Link zur VKU).

MI 27.10 Clusterworkshop – IT-Sicherheit in der Produktion – Einblicke für das Management

Mit dem Mechatronikcluster und Teletrust zu Gast bei der Hermos AG in Mistelgau

Stefan Menge wird zu „Integriertes Security Monitoring – die Voraussetzung für Digitalisierung in der Produktion“ vortragen. Der Blick richtet sich auf die Einfachheit die notwendigen Voraussetzung der IT-Security und im gleichen Schritt die Digitalisierung zu schaffen. Die Verfügbarkeit und der Datenschutz mit Monitoring erreichen!

Die IT-Sicherheit von Maschinen und Produktionsanlagen gerät z.B. durch Angriffe auf Produktionsanlagen immer mehr in den Fokus. Essenziell erscheint es, frühzeitig Sicherheitsstrategien zu entwickeln, damit ein mögliches ‚Worst-Case-Szenario‘ ausbleibt. Dabei zeigt sich deutlich: Management und Führungskräfte haben eine zentrale Rolle, wenn es darum geht, das Unternehmen widerstandsfähig gegenüber Angriffen auf IT und OT zu machen.

Für die Entwicklung solcher Strategien ist praxisorientiertes Wissen und der Austausch mit erfahrenen Anwendern hilfreich, um den individuellen Weg zum Schutz der eigenen betrieblichen IT/OT-Infrastruktur in der Produktion zu finden. Dieses Wissen kann ebenfalls helfen, um sich einen Wettbewerbsvorsprung aufzubauen, up-to-date zu bleiben und die Komplexität eines hochsensiblen Themas für alle Akteure etwas aufzulösen.

Bei unserer Kooperationsveranstaltung zusammen mit dem Bundesverband IT-Sicherheit e.V. (TeleTrusT) geben wir den Teilnehmenden die Möglichkeit, vom Wissen der Referenten zu profitieren, mit den ausgewiesenen Experten exklusiv ins Gespräch zu kommen und Kontakte zu anderen Anwendern zu knüpfen. Durch praxisnahe Beispiele und die Betrachtung des Themas der ‚IT-Sicherheit in der Produktion‘ aus verschiedenen Blickwinkeln erhalten Sie als Führungskraft und Projektverantwortlicher wichtige Impulse für die Umsetzung in Ihrem Unternehmen.

Hier geht es zur Anmeldung bei Bayern Innovativ

Mit unserem Partner IAT aus Brandenburg wieder eine kritische Infrastruktur sicherer gemacht.

Erschienen in der ETZ 09.2021. Der Ingenieurbetrieb für Automatisierungstechnik Rudolphi & Rau GmbH (IAT), ein erfahrener Automatisierer in den Bereichen Industrie, Energie, Umwelt, Wasser und Abwasser, nutzt bei seinen Kunden zur Erkennung von Cyberangriffen die Security Appliance IRMA®

Tobias Fünfstück und Christian Sladek von Ingenieurbetrieb für AutomatisierungsTechnik Rudolphi & Rau GmbH erkundigen sich über die Neuheiten der Security Appliance IIRMA® von Achtwerk (Quelle: Videc)

(…)

Wir haben für das Thema Security-Management-Systeme eine Marktanalyse durchgeführt und die Securitylösung Irma ausgewählt“, betont IAT-Geschäftsführer Jirka Rau. „Unsere Kunden erwarten von uns eine Lösung mit umgehender Wirkung. Mit den Kernfunktionen Monitoring und Anomalieerkennung, bzw. Angriffserkennung ist die Irma-Appliance nach wenigen Stunden in der Lage, alle Änderungen im Automatisierungsnetzwerk zu erkennen und zu alarmieren. Das ist unseren Kunden wichtig.“ J. Rau setzt fort: „Wir können auf Basis der automatisierten Asset- und Geräteerkennung unmittelbar mit der Beurteilung und Risikoanalyse starten. Auf Knopfdruck gibt es stets den aktuellen Netzwerkplan, der für den Nachweis zum Stand der Technik wichtig ist.“

(…)

Projekt mit Wasser- und Abwasserverband umgesetzt


Eines der ersten Projekte wurde 2018 mit einem regionalen Wasser- und Abwasserverband umgesetzt. Der verantwortungsvolle Umgang mit dem Lebensmittel Nr.1 hat hier oberste Priorität. Der Verband betreibt u.a. eine Kläranlage für ca. 40.000 Einwohner und für die Gewerbeunternehmen. Im Bereich der Wasserversorgung wurden mehrere Wasserwerke modernisiert und dem Stand der Technik angepasst, sodass die Wasserversorgung der Bevölkerung kontinuierlich und qualitätsgerecht erfolgen kann.

Neben den kontinuierlichen Verbesserungen der Anlagen sowie der notwendigen Vernetzung sind auch die Gefahren gegen Angriffe im Fokus. „Die Anforderungen des ITSiG aus 2015 waren für uns unterstützend, um das Projekt in 2017 starten zu können“, so der Leiter EMSR des Verbands. „Wir sind nun in der Lage, die Anforderungen des Security Management einfach und sehr detailreich zu realisieren. Wichtig war es uns, neben der Prüfung der weiteren Security-Funktionen auch auf die neuartigen Angriffe schnell reagieren zu können.“

Hier gelangen Sie zu dem gesamten online Artikel der ETZ.

Hier geht es zu unserem Partner Ingenieurbetrieb für AutomatisierungsTechnik Rudolphi & Rau GmbH (IAT)

Mi 06.10. 10.00 Uhr – Industrielle Netzwerke effizient und sicher betreiben – Netzwerksegmentierung / Firewall Konfiguration mit IRMA® (Modul 09)

Industrielle Netzwerke effizient und sicher betreiben
Firewall Konfiguration mit IRMA®

>>> Wieder ein „Training by Web“ von unserem Distributions Partner Videc GmbH. Netzwerksegmentierung ist eines der wesentlichen technischen element zur Verhinderung und Eindämmung von Schäden. Leider sind oft die verbauten Industrie Firewalls und die Parameter in der Netzwerk Infrastruktur (Switching / Routing) oftmals nicht optimal Konfiguriert.

Wie Sie durch die automatisierte Aufnahme des logischen Netzstrukturplans und der Auflistung aller wesentlichen Kommunikationsverbindungen ihrer vernetzten Automatisierung diese Parameterisierung Exportiert und Importieren können, zeigt ihnen Ruben Bay live in dieser Websession

Hier geht es zur Anmeldung!

Kontakt