Bild 3: Manufacturing IT-Security

Bild 3: Manufacturing IT Security (Bild: Shutterstock)

Warum ist Manufacturing IT-Security so wichtig? Die zunehmende Digitalisierung der industriellen Produktion birgt bekanntlich jede Menge Chancen wie Kostenersparnis, Ressourcenschonung, flexiblere, individuell anpassbare Fertigungsprozesse und neue Geschäftsmodelle. Mit der digital vernetzten Fertigung steigt jedoch auch das Risiko von Cyberattacken und somit die Notwendigkeit, industrielle Steuerungsanlagen (Industrial Control Systems = ICS) vor solchen Angriffen zu schützen. Das konstatiert auch der aktuelle „Lagebericht der IT-Sicherheit“ des Bundesamts für Sicherheit in der Informationstechnik (BSI): Drohende finanzielle Folgen durch Produktionsausfälle, Beschädigungen des Maschinenparks, Patentdiebstahl oder Cyber-Erpressung, so der Bericht, verlangten nach erhöhten IT-Sicherheitsvorkehrungen.

Wachsende Gefahr von Cyberattacken auf industrielle Steuerungsanlagen

Manufacturing IT-Security ist wichtig. Bild 1: WannaCry-Lockscreen – Ransomware als reale Bedrohung für Betriebe mit digital vernetzter Fertigung.

Bild 1: WannaCry-Lockscreen – Ransomware als reale Bedrohung für Betriebe mit digital vernetzter Fertigung; . Escrypt

Eine Infektion der industriellen Steuerungsanlagen kann jeden Produktionsstandort jederzeit treffen und auf vielerlei Art erfolgen – über kompromittierte USB-Sticks, Wartungs-Laptops oder zunehmend auch über Angriffe auf Fernwartungs-Software. Auch die Unternehmens-IT, mit der heute viele Fertigungsnetze verbunden sind, ist ein nicht zu unterschätzender potenzieller Angriffsvektor. Daher ist Manufacturing IT-Security so wichtig.

Mahnendes Beispiel ist hier die weltweite Attacke mit der Ransomware WannaCry aus dem Mai 2017 (Bild 1). 230.000 Rechner in 150 Ländern waren betroffen, Autobauer wie Honda oder Renault mussten zeitweise ihre Produktion stoppen. WannaCry basiert auf einer Sicherheitslücke im SMB-Protokoll und nutzt zusätzlich eine Schwachstelle in der Windows Datei- und Druckfreigabe aus, um sich im Netzwerk zu verbreiten. Die betroffenen Systeme werden verschlüsselt und lassen sich in der Folge nicht mehr verwenden. Handelt es sich bei diesen Systemen um Teile einer Fertigungslinie, kann schlimmstenfalls nicht weiter produziert werden. In Zeiten von Just-In-Time-Produktionen ist davon unter Umständen die gesamte Supply-Chain bis hin zum kompletten Produktionsstillstand beeinträchtigt – verbunden mit hohen Kosten und Vertragsstrafen.

Verfügbarkeit als oberstes Schutzziel

Eckdaten

Eine kohärente IT-Security-Lösung bietet für die industrielle Fertigung nicht nur effektiven Schutz vor Datendiebstahl und Cyberattacken, sondern wirkt auch im täglichen Betrieb unterstützend. Und auch wenn Angriffe auf ein Industrie-4.0-System sich vielleicht nicht hundertprozentig werden verhindern lassen, so ist ihre frühzeitige Erkennung doch essenziell. Vor größeren Katastrophen lässt sich die digital vernetzte Fertigung so allemal bewahren.

Vor diesem Hintergrund ist dringend geboten, sämtliche IT-Systeme im Fertigungsnetz gegen Cyberangriffe von außen und innen adäquat abzusichern. Allerdings stellt IT-Sicherheit in der Fertigung beziehungsweise in ICS im Vergleich zur klassischen IT zum Teil völlig andere Anforderungen. So werden etwa die Schutzziele in der Fertigung anders gewichtet: Während in der Enterprise IT die Vertraulichkeit und Integrität der Systeme und Daten oberste Priorität haben, ist in der Produktion die Verfügbarkeit oberstes Schutzziel. Einen Systemausfall und die damit verbundenen Kosten gilt es unbedingt zu vermeiden.

Die Umfeldbedingungen indes sind in der Fertigung nicht immer einfach. So finden sich dort oft extrem heterogene Systemlandschaften, in der verschiedene Betriebssysteme und Software-Stände existieren. Damit einher gehen häufig proprietäre Protokolle der Maschinenhersteller, da meist keine einheitlichen Protokollstandards verwendet werden. Hinzu kommen Hemmnisse, die strukturell begründet sind: In Großkonzernen etwa sind die einzelnen produzierenden Werke oft autark und für ihren wirtschaftlichen Erfolg selbst verantwortlich. IT-Sicherheit wird hier zunächst als zusätzliche Kostenbelastung wahrgenommen und daher nur ungern und zögerlich angegangen. Bei Mittelständischen Betrieben (KMUs) dagegen fehlt es oft an Fachpersonal, das sich mit der Thematik auskennt und eine Security-Lösung in den Fertigungslinien (ergo: eine Lösung für Manufacturing IT-Security) implementieren und warten kann.

Kombinierte Security-Lösung aus IDS und SIEM

Die Absicherung digital vernetzter, IT-gestützter Fertigungsprozesse in der Industrie 4.0 braucht eine kohärente Herangehensweise. Praxisgerechte Lösung ist hier der Einsatz eines Intrusion Detection Systems (IDS) in Kombination mit einem Security Information & Event Management (SIEM)-System. Hierbei erkennt ein speziell auf den OT-Bereich (Operational Technology) zugeschnittenes Intrusion Detection System (IDS) Angriffe auf Netzwerkebene und erzeugt entsprechende Alarmmeldungen. Ein solches System identifiziert typische Angriffssignaturen und Anomalien, beispielsweise bei zyklischen Botschaften oder dem Missbrauch von Diagnoseanforderungen, und bedient sich hierfür spezieller Baselining- und Machine-Learning-Methoden.

Für die nötige permanente Überwachung der Netzwerkdaten bieten sich indes mehrere Möglichkeiten. Zum einen ein Port-Mirroring, also das Spiegeln des Traffics eines Switches auf einen speziellen Port. Dieser lässt sich dann an das IDS senden und dort analysieren. Zum anderen sogenannte Test Access Points (TAPs), die den gesamten Datenverkehr zwischen zwei Geräten passiv mitschneiden. Auf den jeweiligen Endgeräten im Netzwerk, also den Maschinen und ICS, kann zusätzlich ein Endpoint-Monitoring eingerichtet werden. Ein solches Monitoring ermöglicht das Aufzeichnen von Systemzugriffen, Systemänderungen sowie Prozessen und Systemdiensten.

 

Lesen Sie auf der nächsten Seite: Schlechte Chancen für WannaCry.

Vielschichtiges Monitoring komplexer Produktionsnetzwerke

Bild 2: Architektur eines Produktionsnetzwerks mit mehreren parallelen Fertigungslinien benötigt Manufacturing IT Security.

Bild 2: Architektur eines Produktionsnetzwerks mit mehreren parallelen Fertigungslinien: Manufacturing IT-Security Escrypt

Entscheidend ist, die Security-Infrastruktur den spezifischen Gegebenheiten am Produktionsstandort anzupassen. Bei einem Fertigungsprozess mit mehreren parallel zueinander stehenden Fertigungslinien, die gegebenenfalls über Linien-Switches verbunden sind, kann das Monitoring der Datenflüsse auf vielfältige Weise erfolgen. In der auf Bild 2 dargestellten Architektur eines Produktionsnetzwerkes beispielsweise ist zwischen den Maschinen und dem Linien-Switch ein Netzwerk-TAP geschaltet. Dieser ermöglicht das Mitschneiden des maschinenspezifischen Netzwerkverkehrs innerhalb der Linie, auch der Maschine-zu-Maschine-Kommunikation.

Um darüber hinaus den gesamten Netzwerkverkehr im Blick zu behalten, der von der Linie zum übergeordneten Switch weiter geroutet wird, erfolgt eine Überwachung des Uplink-Ports. Auf diese Weise lassen sich unter anderem DNS (Domain Name Server)-Abfragen erkennen. DNS-Abfragen sind deshalb besonders aufschlussreich, weil ein Großteil der Malware nach der Infizierungsphase „nach Hause telefoniert“. Dabei kontaktiert die Schadsoftware einen Command & Control-Server, um sich dort zu registrieren und die erfolgreiche Infektion zu melden. Eine solche Kontaktaufnahme lässt sich über das Port-Mirroring entdecken und dadurch die Malware entlarven.

Die Manufacturing-IT-Security-Lösung verschafft zudem volle Transparenz über IP-nahe Protokolle wie etwa FTP und SMB. Unter anderem werden auf diese Weise Dateizugriffe innerhalb einer Linie frühzeitig erkannt; die Verbreitung von Schadsoftware lässt sich so rasch aufspüren und eindämmen.

SIEM: Bedrohungen sichtbar machen

All diese unterschiedlichen Datenflüsse werden anschließend in einem SIEM (Security Information & Event Management)-System sowohl zeitlich als auch inhaltlich korreliert, um potenzielle Sicherheitsbedrohungen kontextabhängig zu detektieren. Da in einem Netzwerk große Datenmengen anfallen, bei denen es sich größtenteils nur um das alltägliche „Grundrauschen“ handelt, müssen die Daten zunächst bereinigt und aggregiert werden. Ein Whitelisting etwa hilft hier, nur die als relevant eingestuften Ereignisse einzusammeln. Allerdings birgt das Whitelisting immer auch die Gefahr, dass eventuell relevante Daten falsch eingestuft werden und somit ein Blindspot in der Überwachung entsteht.

Ist das Grundrauschen erst eliminiert, werden die Daten im SIEM-System gesichert. Anschließend besteht die Möglichkeit, die Daten in vielen unterschiedlichen Formen zu visualisieren. Mit Hilfe von Dashboards lassen sich Korrelationen oder Abweichungen von Baselines grafisch darstellen. Selbst Nicht-Security-Spezialisten vermitteln solche Dashboards auf den ersten Blick ein Verständnis für den Netzwerkverkehr.

Schlechte Chancen für WannaCry

Bild 3: Manufacturing IT-Security

Bild 3: Manufacturing IT Security Shutterstock

Wie dieses Zusammenspiel von Intrusion-Detection und Security Information & Event Management in der Praxis greift, lässt sich am eingangs erwähnten WannaCry-Virus beispielhaft aufzeigen, denn eine solchermaßen umfassende Manufacturing-IT-Security-Lösung würde eine WannaCry-Infektion über mehrere Ansatzpunkte frühzeitig erkennen und dadurch größere Schäden verhindern.

Erster wichtiger Ansatzpunkt ist der initiale Angriffsvektor, beispielsweise die Infektion mithilfe eines kompromittierten USB-Sticks. Das Endpoint-Monitoring erkennt hier sowohl den USB-Stick als auch die anschließend ausgeführte Datei. Bei einem USB-Stick, der nicht in der Whitelist beziehungsweise Baseline hinterlegt ist, schlägt die Angriffserkennung an und informiert die IT-Security-Verantwortlichen.

Bei einem infizierten System versucht WannaCry, sich wurmartig im Netzwerk zu verbreiten. Die Ransomware veranlasst das System, sich mit möglichst vielen Rechner im Netzwerk zu verbinden. Diese Verbindungsversuche werden zum einen vom Endpoint Monitoring erkannt, zum anderen detektiert das Netzwerk-Monitoring (TAPs und Mirror-Ports) den ausgewöhnlich hohen zusätzlichen Netzwerkverkehr und schlägt ebenfalls Alarm. Versucht das System außerdem, eine Verbindung zum WannaCry-Command & Control-Server im Internet aufzubauen, erkennt das Port-Mirroring diese DNS-Requests und leitet sie anschließend an das SIEM-System weiter. Die Ausbreitung einer Mal- bzw. Ransomware wie WannaCry wird demnach gleich auf dreifache Weise rechtzeitig erkannt. Das IT-Security-Team wäre fast augenblicklich informiert, kann umgehend Gegenmaßnahmen einleiten und Schadensbegrenzung betreiben.

Zusatznutzen von Manufacturing IT-Security

Für den IT-Betrieb hat eine solche Security-Lösung darüber hinaus einen wertvollen Zusatznutzen:  Durch das Baselining wird das eigene Netzwerk insgesamt transparenter, denn das Netzwerk-Monitoring erfasst alle Kommunikationspartner und erstellt damit eine Art Inventar der IT-Umgebung. Auch können die Daten, die vom System direkt kommen, den Betreibern der Infrastruktur am Produktionsstandort unmittelbar nutzen. So lässt sich zum Beispiel eine verschlissene Maschine rechtzeitig erkennen, wenn sie mit zunehmenden Alter beziehungsweise bei drohender Störung andere Signale sendet. Ein unvorhergesehener Ausfall der Maschine lässt sich so abwenden.

Lucas Asmus

Produktmanager SIEM und Schwachstellen-Management bei Escrypt

(av)

Sie möchten gerne weiterlesen?