Mit unseren Vertriebspartnern Videc und Industrial Automation sind wir wieder national und international vor Ort um ihre Anfragen und Anforderungen zu diskutieren.
Lernen Sie persönlich IRMA kennen.
Mit IRMA ist das Security Management in Kritischen Infrastrukturen sowie den Branchen Pharma, Wind, Chemie, Stahl und Weiteren erfolgreich umsetzbar. Einfach, Effizient und Sofort.
Wir freuen uns auf ihren Besuch. Das Team von Achtwerk und unsere Partner
Über ein Jahr konnte ein Trojaner sich unbemerkt im Netzwerk des Auswärtigen Amtes bewegen. Der Angriff hat wieder einmal gezeigt: Es kann jeden treffen! In diesem Beitrag verraten wir Ihnen, wie Sie dennoch die Cybersicherheit in Ihrem Produktionsnetzwerk deutlich verbessern können.
Bundeshack: Wie hoch ist die Gefahr für die Industrie?
Seit der Veröffentlichung des Angriffs am 28.02.2018 erscheinen fast täglich neue Informationen und Vermutungen zum Bundeshack. Lesen Sie im Folgenden, ob der Angriff auch bei Ihnen erfolgreich gewesen wäre.
Was lässt sich bisher präzise über den Bundeshack sagen?
Generell sind die Informationen zu diesem Hack recht überschaubar, so wurde der Schadcode auch bisher noch nicht zur externen Analyse freigegeben.
Ein paar Punkte scheinen aber mittlerweile präzise zu sein:
1 Man weiß von 17 betroffenen Rechnern.
2 Hinter den Angriffen steckt vermutlich die Hackergruppe „Turla“.
3 Auch andere Staaten sollen betroffen sein, unter anderem Staaten in Skandinavien, Südamerika und Teile der ehemaligen UdSSR.
4 Der Trojaner befand sich über ein Jahr im System.
Verlauf des Bundeshacks:
Die Schadsoftware gelangte vermutlich über eine Lernplattform des Bundes in die Systeme. Hier wurde Lehrmaterial manipuliert und damit letztlich die Systeme infiziert. Im Januar 2017 soll dieser Trojaner dann über weitere Daten in Mail-Anhängen Befehle erhalten haben. Die Angreifer nutzten hierfür vermutlich das Mailprogramm Microsoft Outlook.
Der Trojaner erschlich sich im März 2017 Adminrechte, trieb seitdem sein Unwesen und leitete Daten auch über Outlook wieder nach außen. Outlook wurde als Verbindung zur Außenwelt genutzt, da verschlüsselte Verbindungen nach außen ansonsten fast ausschließlich unterbunden waren.
Wären Sie sicher gewesen?
Hier wurde gezielt ein hoher Aufwand einer Hackergruppe betrieben, um ein spezielles Ziel zu kompromittieren. Der zeitliche Aufwand der Hackergruppe ist natürlich unklar. Der Angriff wird aber sicherlich nicht zwischen Frühstückspause und Mittag organisiert, sondern mit tiefgehendem Knowhow umfangreich geplant und vorsichtig durchgeführt worden sein.
Wie bereits im Beitrag IT-Sicherheit in der Produktion geschrieben, ist es äußert schwierig jemanden aufzuhalten, der genau Sie ins Visier nimmt und sich nicht mit Ihrem Konkurrenten oder einer beliebigen anderen Firma einer Branche zufrieden gibt.
Wenn die Tür in Ihr System zu stabil ist, reißt der Hacker eben die daneben liegende Wand ein.
Selbst wenn er sich dazu bei einer Ihrer Wartungsfirmen einstellen lassen muss oder nach und nach private Computer sowie Netzwerke Ihrer Mitarbeiter hackt und dann darüber einen Firmenlaptop/ USB-Stick infiziert.
Fazit
Einen 100 % Schutz gibt es nicht! Gerade wenn Sie viele Cybersecurity-Maßnahmen durchgeführt haben, ist das schwächste Glied der Kette der Mensch:
Ein eingesteckter USB-Stick, ein geöffneter Anhang oder eine Person, die sich zusammen mit den Rauchern, in das über Zutrittskontrolle geschützte Firmengebäude, einschleust, etc… Und schon sind die Hacker in Ihrem Netzwerk.
Jetzt ist es wichtig die weitere Verbreitung im IT-Netzwerk zu erkennen und schnell zu reagieren, damit der Schaden möglichst minimal bleibt.
Auch wenn Sie keine Regierung sind oder militärische Daten schützen müssen, so ist die Gefahr eines Eindringens von Schadsoftware permanent durch automatisierte oder gezielte Angriffe vorhanden.
Ihre Vorsorge sollte demnach den automatischen Angriffen und individuellen Angriffsversuchen gelten, die täglich viele Geräte / Systeme befallen. Zusätzlich reduzieren Sie die Gefahren eines Angriffs bei der Schwachstelle “Mensch”.
Unser Rat an Sie: Schulen Sie die Awareness Ihrer Mitarbeiter, mache sie sich iT Netzwerk transparent und bekommen automatisiert Alarmierungen bei Anomalien und heben Sie so Ihre IT-Sicherheit auf ein gutes Niveau.
Die jüngst entdeckten Sicherheitslücken in Prozessoren offenbaren ein gravierend großes Potenzial für Cyberangriffe. Auch Unternehmen mit Produktionsnetzwerken bzw. Automatisierungsanlagen sind bedroht. In diesem Beitrag erfahren Sie, wie Sie sich vorerst bestmöglich schützen können.
Mit Meltdown (engl., “Kernschmelze”) und Spectre (engl., “Schreckensgespenst”) bezeichnet man die neuesten Sicherheitslücken, die Forscher speziell in Prozessoren (Intel/Intel-Chips, ARM, Apple, AMD-CPUs und Intel-Chips) gefunden haben.
Insgesamt offenbaren Meltdown und Spectre drei Angriffswege auf Prozessoren, die es ermöglichen, Zugang zu sensiblen Informationen zu erhalten. Darunter fallen etwa Datenwerte oder Kenntnisse zu Accounts, Passwörtern oder auch Prozessen.
Diese Informationen können schließlich als Basis für gezielte Cyberangriffe verwendet werden.
Wer ist von Meltdown und Spectre betroffen?
Die gefundenen Sicherheitslücken sind substanziell. Von Meltdown und Spectre betroffen sind also Prozessoren von Desktop-Computern, Notebooks, Tablets, Smartphones, aber auch die Automatisierungstechnik in Industrieanlagen. Dies stellt nicht nur Privatpersonen, sondern auch Betreiber von kritischen Infrastrukturen, aber auch aller anderen Branchen vor neue Herausforderungen.
Meltdown und Spectre: nicht die ersten und letzten Sicherheitslücken
Dabei offenbaren Meltdown und Spectre bereits nicht die ersten Sicherheitslücken, sondern reihen sich in eine Serie der letzten Jahre ein. Immer noch präsent sind “Heartbleed” (gefunden 2014 im Verschlüsselungsprotokoll Open SSL, für nahezu alle verschlüsselten Internetverbindungen) und “Krack” (gefunden 2017 im Funknetz-Sicherheitsstandard WPA2).
Bis heute sind sind diese Sicherheitslücken nicht auf allen Geräten und Servern geschlossen worden – und man kann davon ausgehen, dass weitere folgen werden.
Für viele der betroffenen Geräte oder Systeme wird es wohl niemals ein Sicherheitsupdate geben – zu teuer, zu aufwendig wäre dieser Service für ältere Systeme, bei denen Hersteller längst keine Updates mehr nachliefern.
Dies verdeutlicht die Dramatik im Schutz von Daten, die über vernetzte Systeme wie cloudbasierte Internetdienste, Smart Home oder Industrieanlagen verfügbar gemacht werden
3 Schutzmaßnahmen bei Sicherheitslücken.
1. Definition schützenswerter IT-Assets
Zunächst kann sich eine Übersicht über alle vernetzten IT-Systeme und deren aktuelle Kommunikation verschafft werden. Mit diesem aktuellen Wissen können notwendige Schutzvorkehrungen, wie z. B. Updates anfordern und einspielen, getroffen werden.
2. Monitoring
Durch die Übersicht in Echtzeit, welche Kommunikationen in Ihrem Netz stattfinden oder welche Prozesse / Systeme aktiv sind, können Sie sofort erkennen, wenn die beschafften Informationen ausgenutzt werden. So z. B ein Login auf einer Steuerung von einem Gerät, welches nicht mit der Steuerung Daten austauschen soll. Neue erfolgreiche Datenverbindungen von oder zu externen Systemen werden unmittelbar erkannt.
3. Alarmierung
Mit der automatisierten Alarmierung dieser Vorfälle müssen Sie nicht aufwendig die Vielzahl von Systemen auf veränderte Nutzung einzeln prüfen. Sie erhalten gezielt die Informationen zum Vorfall und können über weitere Maßnahme entscheiden und diese veranlassen.
Fazit: Auf Meltdown und Spectre reagieren, Cyberattacken vermeiden
Die Sicherheitslücken, die durch Meltdown und Spectre zutage treten, betreffen nicht nur Privatpersonen, sondern auch Unternehmen. Gerade Unternehmen, die Automatisierungstechnik bei Maschinen und Anlagen einsetzen, können so von Cyberangriffen empfindlich getroffen werden.
Umso wichtiger ist es, dass zeitnah Maßnahmen getroffen werden, um die Kommunikation in empfindlichen Netzwerkbereichen kontinuierlich zu überwachen und rechtzeitig Gegenmaßnahmen zu ergreifen. IRMA hat sich in den letzten Jahren als wirksamer Bestandteil von Abwehrmaßnahmen bewährt – nicht nur bei produzierenden Unternehmen mit Automatisierungsanlagen, sondern auch bei Betreiber Kritischer Infrastrukturen.
IRMA läuft ausschließlich auf dedizierter Hardware (Appliance). Für IRMA besteht derzeit eine sehr geringe Auswirkung, da auf unserer Appliance nur definierte, zugelassene Software betrieben wird. Dadurch ist die Ausführung von Schadcode generell nahezu unmöglich. Aus diesen Gründen stufen wir das Problem für unsere IRMA-Systeme derzeit als sehr gering ein.
Grundsätzlich sind IRMA Appliances regelmäßig und fortlaufend zu aktualisieren. Hierzu steht unter “Konfiguration / System” die Funktion “Online- oder Offline-Update“ zur Verfügung. Die IRMA Appliances versuchen, täglich aktuelle Security-Updates zu laden. Dies setzt eine direkte Internetverbindung voraus. Für IRMA-Appliances, denen kein direkter Internetzugang zur Verfügung steht, ist unsere Empfehlung regelmäßig (< 3 Monate) das Offline-Update durchzuführen.
Für weitere Details und Informationen stehen wir Ihnen jederzeit zur Verfügung
– Das Team von Achtwerk
Die Zahl der Cyber-Attacken auf deutsche Unternehmen steigt. Viele trifft es meist unvorbereitet. In diesem Beitrag erfahren Sie, wie sie sich am besten dagegen wappnen können.
Laut BSI gab es bis August 2016 560 Millionen verschiedene Varianten von Schadprogrammen, Tendenz stark steigend: täglich kommen ca. 380.000 neue Varianten dazu. Diese Zahl verdeutlicht, dass es dringenden Handlungsbedarf bei der Entwicklung neuer Strategien und Maßnahmen gibt, um das eigene Firmennetzwerk vor Cyber-Angriffen zu schützen. Diese drei Schritte helfen Ihnen dabei:
1. Schritt: IT-Assets bestimmen – Risiken formulieren
Cyberkriminelle suchen für ihre Angriffe stets die Schwachstellen im System. Entsprechend beginnt man mit der Identifizierung der Netzwerkteilnehmer. Nach der Erkennung der einzelnen Assets beginnt man mit der Einstufung des Risiko. Entsprechend der Risikoeinstufung können dann Schritt für Schritt die sicherheitsrelevanten Verbesserungen der Assets vorgenommen werden. Cyberkriminelle greifen dort an, wo das Netzwerk am schwächsten ist. Zunächst sollten Sie daher genau identifizieren, was in Ihrem Netzwerk schützenswert ist. In Ihrem Netzwerk definieren Sie IT-Assets und kritische Bereiche, die ein Cyber-Angriff empfindlich treffen würde, z. B. Hard- und Softwareelemente, die für den Produktionsprozess unabdingbar sind. Durch Angriffe auf Ihr Netzwerk können diese Elemente – und dadurch sogar die gesamte Produktionsanlagen selbst – empfindlich getroffen oder sogar zerstört werden. Doch damit nicht genug. Während Hard- und Software und sogar teure Produktionsanlagen im Falle des Falles vielleicht gerade noch ersetzbar sind, liegt das wahre Kapital der meisten Unternehmen in ihrem geistigen Eigentum. Vor allem in produzierenden Unternehmen bilden wertvollste und unersetzliche Informationen, zum Beispiel zum Herstellungsprozess oder der materiellen Zusammensetzung eines Produkts, die Grundlage des Geschäftsbetriebs und des Unternehmenserfolgs.
Der Verlust oder Diebstahl dieser geheimen Informationen im Zuge eines Cyberangriffes, vielleicht sogar durchgeführt von einem Mitbewerber, trifft ein Unternehmen somit auf das Härteste und bedroht dessen Existenz.
2. Schritt: Kenne deinen Gegner
Ein Cyberangriff ist oft ein komplexer und mehrstufiger Prozess. Was etwa mit der Malware-Infektion eines Mitarbeiter-Smartphones beginnt, mündet eventuell in einem großangelegten Cyberangriff auf das gesamte Unternehmen. Um Gegenmaßnahmen rechtzeitig einleiten zu können, ist es daher wichtig einen Angriff möglichst früh zu erkennen. Auch wenn kein Cyberangriff dem anderen gleicht, laufen sie dennoch meist in typischen Phasen ab. In jeder Phase können Sie durch gezieltes Monitoring Ihres Unternehmensnetzwerks ansetzen, um Angriffe frühzeitig zu erkennen.
Phase 1: Informationsbeschaffung
In der ersten Phase einer Cyberattacke versucht der Angreifer zunächst möglichst viele Informationen über das Angriffsziel zu sammeln. Jede Information ist wertvoll: Ob Netzwerktopologie, eingesetzte Hard- und Software und darin vorhandene Sicherheitslücken, Mitarbeiternamen und -hierarchien oder gar Zugangsdaten – je mehr ein Angreifer weiß, desto schlagkräftiger kann er seinen Cyberangriff führen.
Um an diese Informationen zu gelangen, setzen Hacker verschiedene Werkzeuge und Taktiken ein: Sogenannte Port- oder Vulnerability-Scanner liefern z. B. Informationen über Netzwerkstruktur, eingesetzte Software und vorhandene Sicherheitslücken. Beim Social Engineering dagegen wird durch Vorspiegelung falscher Tatsachen oder Identitäten das Vertrauen von Mitarbeitern missbraucht, um an weitere Informationen oder gar Passwörter zu gelangen.
Wenn Sie die Vorgänge in Ihrem Netzwerk aufmerksam monitoren und Ihre Mitarbeiter entsprechend geschult sind, können sie einen sich anbahnenden Cyberangriff schon in dieser Phase erkennen und direkt unterbinden.
Phase 2: Planung und Vorbereitung
Hat der Angreifer genug Informationen gesammelt, beginnt er damit seinen Angriff zu planen. Je nach Zielsetzung sucht er etwa im Darknet auf entsprechenden Handelsplätzen nach Zero-Day-Exploits (unveröffentlichte Sicherheitslücken in Programmen) oder analysiert die im Unternehmen eingesetzte Software selbst. Erbeutete Mitarbeiterinformationen nutzt er z. B., um E-Mails zu präparieren, mit deren Hilfe die Computer nichtsahnender Mitarbeiter durch den Klick auf einen harmlos aussehenden Link per Drive-By-Download mit Schadsoftware infiziert werden.
Phase 3: Der eigentliche Cyber-Angriff
Sind alle Vorbereitungen abgeschlossen, startet schließlich der eigentliche Cyber-Angriff. Je nach Ziel des Angriffs verschafft sich der Angreifer über infizierte Endgeräte Zugang zum Netzwerk oder legt die Netzwerkinfrastruktur lahm. Mithilfe sogenannter Ransomware oder Krypto-Trojaner verschlüsselt er unternehmenskritische Daten und gibt sie, wenn überhaupt, nur gegen Lösegeldzahlung wieder frei.
Wird der Angreifer nicht entdeckt, bewegt er sich im Zuge eines APT (Advanced Persistent Thread) vielleicht monatelang ungestört im Netzwerk, umgeht mit ausgeklügelten Methoden scheinbar wasserdichte Sicherheitsmaßnahmen wie Firewalls und Virenscanner und betreibt Industriespionage oder Sabotage Ihrer Produktionsprozesse.
3. Schritt: Security Monitoring im Rahmen eines ISMS
Dies alles klingt dramatisch. Im Anbetracht aktueller Nachrichten scheint es oft, als hätten Cyberkriminelle den Wettlauf mit den Anbietern von Sicherheitssoftware wie Firewalls- und Virenscannern gewonnen. Bestehende Maßnahmen reichen jedenfalls oft nicht aus um Cyberangriffe zu verhindern.
Fakt ist: Gezielte Cyberangriffe zu erkennen erfordert normalerweise teures Expertenwissen und große personelle Anstrengungen, um das Netzwerk fortlaufend zu überwachen. Doch obwohl Angriffe auf Unternehmen immer komplexer und ausgefeilter werden, gibt es auch eine gute Nachricht: Kein Angriff verläuft spurlos, jeder Angriff geht zwangsläufig mit unüblichen Netzwerkaktivitäten einher. Unternehmen stehen daher vor der Herausforderung, solche Aktivitäten möglichst früh, sicher und effizient zu erkennen.
Hierbei hilft das Netzwerk Monitoring im Rahmen eines. ISMS (Information Security Management Systems). Das firmeninterne Netzwerk wird permanent überwacht, ohne direkt einzugreifen und womöglich das System zu überlasten. Außerdem werden potenzielle Gefahrenherde analysiert und Alarm geschlagen, falls eine ernsthafte Bedrohung im Netzwerk auszumachen ist. Reporting- und Exportfunktionen ermöglichen die übersichtliche Darstellung der Analyseergebnisse, sodass die Entscheidungsträger in Geschäftsführung und IT in die Lage versetzt werden, unmittelbar Gegenmaßnahmen einleiten zu können.
Zahlreiche Unternehmen nutzen bereits das Sicherheitssystem IRMA (Industrie Risiko Management Automatisierung) der Firma Videc. Folgende Eigenschaften machen das Sicherheitssystem so besonders:
• Einfache Bedien- und Nutzbarkeit ermöglicht die Erhöhung der Cybersicherheit, auch ohne Expertenwissen
• Wirkungsvolle Unterstützung beim Erfüllen von Compliance-Vorgaben (z. B. durch ITSiG oder ISO9000), mit denen sich viele Unternehmer aktuell konfrontiert sehen
• Geringerer Installationsaufwand: Die Überwachung und Analyse der Sicherheitslage kann sofort vorgenommen werden
Fazit: Cyberangriffe identifizieren, Verfügbarkeit erhöhen
Cyberangriffe, insbesondere sogenannte Advanced Persistent Threats, laufen fast immer in komplexen, mehrstufigen Prozessen ab. Meist verschafft sich der Angreifer unbemerkt Zugang über einzelnen Endgeräte, um von dort aus Zugang auf die Daten im Unternehmensnetzwerk zu erhalten oder den Zugriff auf ebendiese zu unterbinden und somit den Betriebsablauf zu stören. Um eine ausreichende Datensicherheit und Verfügbarkeit zu gewährleisten, müssen neben der bestehenden Sicherheitssoftware weitere Maßnahmen ergriffen werden. Zunächst sollte das Netzwerk genau auf mögliche Schwachstellen und besonders zu schützende Bereiche analysiert werden. Um Gegenmaßnahmen zu ergreifen, müssen Angriffsarten- und Strukturen erkannt werden. Netzwerk Monitoring im Rahmen eines ISMS ist ein wichtiger Baustein dafür: Das Netzwerk wird permanent überwacht und Gefahrenquellen werden rechtzeitig erkannt
Die IRMA Management und Analyse Konsole in der Version 17.10 steht bereit.
Zu der Liste an Neuerungen und Verbesserungen gehören:
IT-Asset:
• Schlagworte für IT-Assets:
• Zur Verbesserung der regelbasierten Filter, können den IT-Assets Schlagworte („TAGS“) zugeordnet und innerhalb der regelbasierte Filter genutzt werden. Dies ermöglicht eine Auswahl unabhängig von bestimmter Daten / Indizien der IT-Assets und macht die Nutzung regelbasierter Filter noch flexibler.
• Einführung von Pflichtfeldern:
• Zur Validierung von Assets (Pflichtfelder sind Name, Besitzer, Standort)
IT-Asset Details:
• Direkte Erstellung eines Reports für das IT-Asset:
• Nach Durchführung von Analysen über IT-Asset-Informationen, können direkte Reporte für die ausführenden Mitarbeiter zur Weitergabe und Bearbeitung erstellt werden.
Verbindungen:
• Für die selektierten Verbindungen kann direkt ein Report über beteiligte IT-Assets erstellt werden. Die ausgewählten Verbindungen können als xls / csv exportiert werden:
• Mit der Auswahl aller Verbindungen, zwischen zwei Standorten oder Anlagen (manuell oder per regelbasierten Filtern), enthält der Export alle Informationen für die einfache Erstellung der Firewallregeln zur Netzsegmentierung z.B. nach den Branchenstandards (IP-Source; Protokoll/Port; IP-Destination).
IT-Sicherheit spielt bei der vierten industriellen Revolution eine wichtige Rolle. Erfahren Sie hier, wie Sie Gefahren erkennen und souverän abwenden
Industrie 4.0 bietet Unternehmen nicht nur gewaltige Wachstumspotenziale, sondern birgt auch nicht zu unterschätzende Gefahren. Wir stellen Ihnen vor, wie Sie diese Gefahren erkennen und sich optimal darauf vorbereiten können.
Industrie 4.0 – eine Definition
Die fortschreitende Digitalisierung hat in den letzten Jahren einen Prozess ins Rollen gebracht, der nach den Erfindungen von Dampfmaschine, Fließband und Computer die vierte industrielle Revolution angestoßen hat: Langfristig werden sich überall intelligente Fabriken, sogenannte Smart Factories etablieren. Während bisher vor allem große Unternehmen, z. B. aus der Automobilindustrie, eine Vorreiterrolle bei hochmodernen Produktionsmethoden eingenommen haben, sehen sich auch immer mehr mittelständische Unternehmen mit der Thematik Industrie 4.0 konfrontiert.
Was die Industrie 4.0 besonders macht
Der Begriff Industrie 4.0 ist eine deutsche Wortschöpfung. Als erstes tauchte er im Rahmen der Hightech-Strategie der Bundesregierung auf, die unter anderem darauf abzielt Forschung und Innovationen in der digitalen Wirtschaft voranzutreiben. Nicht ohne Grund, denn das gesamte produzierende Gewerbe steht vor einer Zeitenwende: Während die Erfindung von Fließband und Softwareinnovationen eine hocheffiziente Produktion von Waren in Serie möglich machte, kann man nun immer stärker auf individuelle Kundenwünsche eingehen. Auf einer Produktionsstraße werden nicht mehr nur ein Automodell, sondern gleich fünf gleichzeitig produziert – jeweils in unendlichen Ausführungen.
Die Realisierung dieser Flexibilität erfordert einen immer höheren Grad der Vernetzung. Vormals isolierte Industrial Ethernets (interne Produktionsnetzwerke) werden daher mit anderen IT-Systemen oder gar dem Internet verbunden. Und noch mehr: Die verschiedenen Elemente in diesem System (Maschinen, Computer und Steuerungselemente) können eigenständig miteinander kommunizieren, agieren und produzieren. Automatisierte Just-in-Time-Produktion über die gesamte Wertschöpfungskette beeinflussen auch das Supply-Chain-Management von Unternehmen – der gesamte Weg vom Rohstoffproduzenten bis zum Endkunden läuft über ein zusammenhängendes, permanent überwachbares System.
Industrie 4.0 in der Produktion – Chancen für den Mittelstand
Die Vernetzung der gesamten Produktion führt dazu, dass Reibungsverluste zwischen den verschiedenen Produktionsschritten vermieden werden. Maschinen arbeiten ressourceneffizienter miteinander. Völlige Transparenz durch moderne Monitoring- und Analysetools ermöglicht es Unternehmen, Fehlerquellen schneller auszumachen, aber auch die Produktion kurzfristig sich ändernden Marktverhältnissen anzupassen. Kundenwünsche können außerdem viel kosteneffizienter priorisiert und in einem vom System selbst erstellten Zeitplan umgesetzt werden.
Industrie 4.0 – drei Risikoquellen
Der Umgang mit IP-basierten Netzwerken ist für Unternehmen zunächst nicht neu. In den letzten Jahren spielt jedoch die Anbindung von Systemen an das Internet eine immer größere Rolle. So werden etwa interne Prozesse mit externen Daten verknüpft und abgeglichen oder die Fernwartung von Produktionsanlagen ermöglicht. Schritt für Schritt entsteht so das sogenannte Internet der Dinge, das nicht nur die heimische Heizung per Smartphone regulierbar macht, sondern auch Maschinen. Ohne großen Aufwand kann die gesamte Produktion optimiert werden, z. B. durch eine permanente Analyse des Systems, vereinfachte Wartungsmöglichkeiten, die Einbindung und Überwachung der gesamten Wertschöpfungskette sowie eine schnelle Reaktion auf veränderte Bedingungen.
Die zunehmende Vernetzung birgt jedoch erhebliche Gefahren für die Datensicherheit bzw. für die Sicherheit der Produktionskette selbst, denn auch Industriespionage und -sabotage ist somit bequem per Mausklick möglich. In den letzten Jahren haben Cyberangriffe auf deutsche Unternehmen, vermutlich vor allem aus Fernost, folgerichtig immer weiter zugenommen. Drei Gründe, warum es Angreifer oft viel zu leicht haben:
Risiko 1: Unzureichende Sicherheitsvorkehrungen
Eine Schwachstelle liegt in unzureichenden IT-Sicherheitsvorkehrungen von Unternehmen. Grundvoraussetzungen für einen sicheren Betrieb sind Firewalls und VPS. Mit Firewalls lassen sich Netzwerke in Teilnetze segmentieren und der Zugang zwischen verschiedenen Bereichen regulieren. VPNs ermöglichen einem autorisierten Personenkreis den sicheren Zugriff auf ein geschütztes Netz über nicht vertrauenswürdige Netze, z. B. zur Fernwartung über das Internet ins interne Netzwerk.
Allerdings bieten Firewall- und VPN-Software keinen 100-prozentigen Schutz vor dem Zugriff von außen. Die Gefahr ausgehend von Sicherheitslücken bleibt, weil z. B. die Teilnetze nicht ausreichend gegeneinander abgeschottet wurden. Moderne Schadprogramme schlüpfen durch diese Sicherheitslücken. Advanced Persistent Threats (APT) sind zielgerichtete, auf Dauer angelegte Angriffe auf ein IT-System. Diese werden (zumindest heute noch) durch einen menschlichen Angreifer durchgeführt.
Risiko 2: Mobile Endgeräte – Einfallstor für Cyber-Attacken
Ein weiteres Einfallstor für Schadsoftware sind mobile Endgeräte. Immer öfter arbeiten Mitarbeiter auf ihrem Tablet, Notebook oder Mobilfunkgerät. Diese Geräte benötigen zumindest im Update-Prozess einen Internetzugang. Dabei besteht die Gefahr, dass sich die Endgeräte mit Schadsoftware infiziert. Werden diese Endgeräte dann mit dem internen Firmennetzwerk verbunden, kann die Schadsoftware die Schutzmechanismen der Firewall umgehen und Teile der Anlage infizieren.
Risiko 3: Volle Haftung bei fehlendem Datenschutz
Mit Inkrafttreten des IT-Sicherheitsgesetzes (ITSiG) werden Unternehmen, die kritische Infrastrukturen betreiben, dazu verpflichtet, ihre Systeme und Anlagen besser vor Cyber-Angriffen zu schützen. Im Besonderen betroffen sind Unternehmen aus den Bereichen Energie, Informationstechnik, Telekommunikation, Gesundheit, Wasser oder Ernährung. Diese müssen IT-Sicherheitsvorfällen melden und alle zwei Jahre nachweisen, dass sie die gesetzlichen Anforderungen nach dem Stand der Technik erfüllen. Erfüllen Unternehmer oder Betreiber auch von nicht-KRITIS-Unternehmen diese Anforderungen nicht, können sie bei einem Sicherheitsvorfall auch heute schon wegen einer fehlenden Risikovorsorge persönlich haftbar gemacht werden.
Security Monitoring – wirksame IT-Sicherheit gegen Cyberangriffe
Von einem Cyberangriff kann heutzutage jedes Unternehmen getroffen werden. Manchmal ist das Firmennetzwerk bereits seit Monaten infiziert, ohne dass dies bemerkt wird. Einen effektiven Schutz gegen hochkomplexe Angriffe bieten Security Monitoring Appliances im Rahmen eines übegreifenden ISMS (Information Security Management System). Sie überwachen permanent das firmeninterne Netzwerk, ohne direkt einzugreifen und womöglich durchaus gewollte Steuerungskommunikation zu unterbinden. Außerdem analysieren sie mögliche Gefahrenherde und schlagen Alarm, falls eine ernsthafte Bedrohung im Netzwerk auszumachen ist. Reporting- und Exportfunktionen ermöglichen die übersichtliche Darstellung der Analyseergebnisse, sodass die Entscheidungsträger in Management und IT in die Lage versetzt werden unmittelbar Gegenmaßnahmen einleiten zu können.
Fazit zur IT-Sicherheit in der Industrie 4.0
Die Industrie 4.0 bietet große Chancen – nicht nur für große Unternehmen, sondern gerade auch für den produzierenden Mittelstand. Auf individuelle Kundenwünsche oder besondere Marktentwicklungen kann zeitnah und ressourcenschonend eingegangen werden. Allerdings sehen sich auch immer mehr Unternehmen mit den damit einhergehenden Gefahren konfrontiert. Durch die Öffnung der internen Produktionssysteme für das Internet sind diese immer häufiger Ziel von Cyberangriffen. Die Folge sind Datendiebstahl oder die Störung der Produktion bis hin zur Zerstörung von Betriebsmitteln. Ein wichtiger Baustein für Gegenmaßnahmen ist eine Netzwerk Monitoring Appliance im Rahmen des Security Managements das Gefahrenquellen früh und effektiv erkennen und melden kann, sodass rechtzeitig Gegenmaßnahmen eingeleitet werden können
Mit unserer Kompetenz im Monitoring und der Anomalie- bzw-Anriffserkennung sowie dem Sicherheitsmanagement für vernetzen Automatisierungen haben wir am Praxishandbuch IT-Sicherheit, Leitfaden zum Branchenspezifischer Sicherheitsstandard (B3S) Wasser / Abwasser der Phoenix Contact mitgewirkt.
Vom 10.-12. Oktober 2017 dreht sich bei uns alles um die it-sa 2017. Nutzen auch Sie die Gelegenheit und informieren Sie sich über Neuigkeiten rund um IRMA. Wir sind Mitaussteller auf dem TeleTrust Stand in Halle 10.0, Stand 409.
Eine Publikation von IT-Business / IT-Security Insider,
„Das war‘s noch nicht…“
Nach den jüngsten Cyber-Vorfällen durch WannaCry, Petya & Co wird derzeit die Angreifbarkeit der Automatisierungen in Produktionsanlagen und kritischen Infrastrukturen besonders intensiv in der Ö entlichkeit diskutiert. Diese Ransomware verschlüsselt wichtige Daten. Eine Freigabe dieser Daten erfolgt nur gegen Zahlung eines Lösegeldes (engl. ransom). In der Regel sind die Daten verloren.
Von Stefan Menge, Achtwerk
Download hier: https://www.security-insider.de/it-sicherheit-made-in-germany-v-38650-13274/
