Produktionssysteme sind häufig Hybrid-Systeme. Damit sind sie besonders anfällig für Angriffe durch Datendiebe und Saboteure.Hier unterstützt eine automatisierte Sicherheitssoftware, die in der Lage ist, gleichzeitig die lokalen Anwendungssysteme und die von Dritten betriebenen Applikationen zu überwachen.
Rund 43,3 Milliarden Euro hat die deutsche Wirtschaft im vergangenen Jahr durch Cyber-Kriminalität eingebüßt, so die jüngste Wirtschaftsschutzstudie des Branchenverbands Bitkom. Betroffen sind nicht nur IT-Administration oder -Services. Nahezu jedes dritte der befragten Unternehmen befürchtet oder weiß definitiv, dass Außenstehende auf Informationen aus Lager und Logistik beziehungsweise direkt aus der Produktion Zugriff gehabt haben könnten. Die Folgen sind immens; sie reichen von Umsatzeinbußen durch Copyright-Verletzungen über teure Rechtsstreitigkeiten bis zu irreparablen Imageschäden.
Gern erpressen Kriminelle von den Zielunternehmen große Geldsummen, damit sie die erbeuteten Informationen erst einmal nicht gegen sie verwenden. Manchmal kommen die Unternehmen dann mit einem blauen Auge davon, aber die Unsicherheit bleibt: Es könnte jederzeit wieder passieren. Und das ist dann auch keineswegs unwahrscheinlich.
Hybrid-Systeme als Schwachstelle
Ein Grund für diese latente Gefahr: In Produktionsumgebungen etablierter Unternehmen gibt es kaum homogene Informationssysteme; häufig sind die Betriebssysteme veraltet und wurden über die Jahre immer wieder durch neue Komponenten ergänzt. Im Regelfall laufen die Systeme vor Ort; zunehmend werden sie aber durch Anwendungen ergänzt, die ein Dienstleister außerhalb des Unternehmens betreibt, also in der Cloud. Da die stationären mit den zugelieferten Applikationen zusammenarbeiten müssen, wird das ganze Konglomerat – so gut es geht – vernetzt.
Das Ergebnis ist ein kaum überschaubares Hybrid-System, das schwer abzusichern ist: Hacker finden an den Schnittstellen zwischen den Komponenten diverse Möglichkeiten zum Eindringen. Zudem erlaubt es die fast immer dünne Personaldecke nicht, alle Systemzugriffe und Aktivitäten so intensiv zu beobachten, wie es eigentlich notwendig wäre.
Was lässt sich dagegen tun?
Sicherheit durch Wissen aus Erfahrung
Ein Ausweg aus diesem Dilemma bieten automatisierte Sicherheitssysteme. Allerdings verlangt die komplexe Ausgangs-lage viel von den DLP-Systemen – wobei DLP für Data Loss Prevention steht, also Vorsorge gegen Datenverlust. Diese Systeme bekämpfen quasi Feuer mit Feuer. Sie sollten ihrer Natur nach ebenfalls hybrid sein, also die ganze Bandbreite der zu schützenden Systeme abdecken. Und sie setzen auf Künstliche Intelligenz, oder exakter: das Maschinelle Lernen, kurz ML.
Vereinfacht ausgedrückt, vergleicht ein ML-System Abläufe und Verhaltensweisen in bestimmten, als gefährlich klassifizierten, Situationen mit Mustern, die es anhand von Trainingsdaten gebildet hat. Dabei folgt es statistischen Modellen, die menschliche Datenwissenschaftler ihm mit auf den Weg gegeben haben. Es ist dadurch in der Lage, potenzielle Gefahren selbständig zu erkennen sowie die passenden Entscheidungen und Gegenmaßnahmen einzuleiten – schneller und exakter, als ein Mensch es könnte. Die Ergebnisse der Aktionen speichert es ständig ab und bezieht sie in künftige Analysen ein. Auf diese Weise werden die Hypothesen immer exakter: Das System „lernt“.
Leider sind solche modernen Sicherheitssysteme bislang eher die Ausnahme: Sie kommen nur in einem einzigen von 20 mittleren oder großen Betrieben (ab 500 Mitarbeiter) zum Einsatz. Das weist der Untersuchungsbericht „Grand Theft Data II“ aus, für den McAfee Anfang dieses Jahres etwa 700 Sicherheitsspezialisten weltweit befragte. Die meisten heute genutzten DLP-Systeme entsprechen also nicht dem aktuellen Stand der Technik.
Spezieller Schutz für hybride Umgebungen
Darüber hinaus fokussieren die gängigen Lösungen lediglich Systeme, die vor Ort betrieben werden. Die immer häufiger eingesetzten Anwendungen aus der Cloud bleiben dagegen außen vor. Deshalb empfiehlt es sich, über den Einsatz eines Systems nachzudenken, das eigens für hybride Umgebungen entwickelt wurde.
Eine solche Lösung ermöglicht es, die Datenströme aus den unterschiedlichen Systemen auf einem zentralen Dashboard gemeinsam zu betrachten. Dabei fungiert sie quasi als Türsteherin zwischen den Anwendungen aus der Cloud und den zentralen Produktionssystemen: Rein kommt nur, wer unverdächtig ist.
Zudem betrachten intelligente DLP-Systeme auch das Nutzerverhalten differenziert. Werden Login-Daten gestohlen und missbräuchlich verwendet, ändern sich üblicherweise die Verhaltensparameter des Nutzers. In einem homogenen System fällt das leichter auf als in einem hybriden, weil im zweiten Fall die Zugriffe ohnehin weltweit erfolgen können. Trotzdem erkennen moderne Sicherheitssysteme Abweichungen wie eine Anmeldung von einem nicht registrierten Endgerät oder aus einer verdächtigen Weltgegend. Dann sperren sie das Nutzerkonto und benachrichtigen die Sicherheits-Experten, die prüfen, ob es tatsächlich Grund zur Sorge gibt. Last, but not least sind solche Systeme hochautomatisiert, sie erledigen den Standard-Datenverkehr ohne menschliches Eingreifen. Diese Routine unterbrechen sie nur, wenn ein Datenzugriff oder eine andere Aktivität Zweifel erweckt.
Hans-Peter Bauer
(ml)
