Netzwerk-Monitoring und mehr

Cyber-Gefahren in Produktionsnetzen abwehren

09.03.2020 von Klaus Mochalski
In der stark vernetzten und digitalisierten Industrie braucht es Sicherheitssysteme, die auch unbekannte Angriffsmuster, Schwachstellen und technische Fehlerzustände erkennen, bevor es zum Stillstand kommt. Ein industrielles Netzwerkmonitoring mit Anomalieerkennung schafft in der Produktions-IT Klarheit und Sichtbarkeit, um sowohl industrielle IT-Sicherheit als auch Prozessstabilität zu erhöhen.
Eine gezielte Attacke kann ganze Industrienetzwerke für mehrere Tage lahmlegen.
Foto: PopTika - shutterstock.com

Spätestens seit im Oktober 2019 der Hersteller für Automatisierungstechnik Pilz GmbH Opfer eines Ransomware-Angriffs wurde, dürfte allen Industrieunternehmen und kritischen Infrastrukturen klar sein, wie anfällig die Sicherheit und Verfügbarkeit ihrer Automatisierungstechnik (englisch: Industrial Control System, ICS) ist. Die Ransomware war auf die Office-IT zugeschnitten. Trotzdem stand die Produktion bei Pilz über eine Woche still. Auch nach einem Monat waren einige Systeme noch nicht wiederhergestellt. Bisher hat die Pilz GmbH den Gesamtschaden nicht beziffert.

Doch wie sich solch ein eigentlich ungezielter Cyber-Vorfall auf das Unternehmensergebnis niederschlägt, konnten wir bereits 2017 bei Merck beobachten. Rund 375 Millionen Dollar kostete der Schaden durch die Schadsoftware NotPetya das Unternehmen. Auch bei dem Pharmariesen standen wochenlang die Produktionsanlagen still.

Beispielhafte sicherheitsrelevante (rot) und betriebstechnische (blau) Anomalien in der Produktions-IT.
Foto: Rhebo

Die hohe Verwundbarkeit industrieller Steuerungen zeigt sich auch uns regelmäßig beim kontinuierlichen Monitoring sowie bei Stabilitäts- und Sicherheitsaudits industrieller Netzwerke. Die dabei zum Einsatz gekommenden Systeme zum Netzwerkmonitoring und zur Anomalieerkennung analysieren jegliche Kommunikation innerhalb der Produktions-IT mittels Deep Packet Inspection bis auf Wertebene. Von den zu erwartenden und legitimen Kommunikationsmustern abweichende Vorgänge werden in Echtzeit gemeldet.

Ein typisches Beispiel ist hier ein neuer Kontaktversuch einer speicherprogrammierbaren Steuerung (SPS) oder eines PCs zur Maschinenbedienung mit einem Gerät in der Office-IT. Im Durchschnitt finden sich allein innerhalb der ersten Tage 23 bis dato unbekannte Anomalien in der Steuerungs- und Automatisierungstechnik.

Betreiber fischen im Trüben

Die Verletzbarkeit der Produktions-IT hat verschiedene Gründe. Der Spezialist für industrielle IT-Sicherheit Sebastian Rohr beschreibt in seinem Buch "Industrial IT Security" drei Kernprobleme der Produktions-IT:

  1. fehlende Awareness bei den Mitarbeitern

  2. unzureichende Dokumentation der Anwendungen und Systeme

  3. fehlende Überwachung der Infrastruktur und Anwendungen

Während der erste Punkt über Schulungen behoben werden kann, geht es bei den Punkten 2 und 3 um organisatorische und technische Problemstellungen.

Rohr stellt in Bezug auf die Dokumentation (beziehungsweise das Asset Inventar) ernüchternd fest: "Im Gegensatz zur ausführlichen und durch Qualitätsmanagement stetig verbesserten Dokumentation der mechanischen und "safety-kritischen" Komponenten einer Anlage sind die Informationen hinsichtlich der verwendeten oder installierten IT-Systeme, Betriebssysteme, Anwendungen, Tools und Datenbanken oder Verzeichnisse oft mangelhaft, bestenfalls dürftig oder teilweise schlicht und ergreifend überhaupt nicht vorhanden." Dies erschwere auch die Verwaltung, Diagnose und Fehlerbehebung der Geräte.

Nach Inbetriebnahme der Netzwerkmonitoringlösung reagieren die Betreiber der industriellen Netzwerke meist überrascht. Immer werden unsichere Ports, Protokolle und Internetverbindungen gefunden. Genauso finden sich in fast allen ausgewerteten Kommunikationsdaten unbekannte Geräte und Versionsstände mit Sicherheitsschwachstellen.

Der Netzwerkplan indiziert über Farbkodierungen die Netzwerkqualität der einzelnen Verbindungen. Oben rechts wird der Gesamt-Qualitätsscore der Produktions-IT angezeigt.
Foto: Rhebo

Viele Geräte kommunizieren zudem nicht so, wie sie es eigentlich sollen - meist zu viel oder mit externen Servern. Beim Netzwerkmonitoring werden nicht nur die Vorgänge dokumentiert, die über die an den Netzwerkgrenzen stationierten Router laufen. Vor allem wird die Kommunikation erfasst, die innerhalb des Produktionsnetzes zwischen den Komponenten verläuft oder durch Fernzugänge auf die Anlagen und IoT-Geräte einwirkt. Das unterscheidet das Netzwerkmonitoring maßgeblich von den üblichen Firewalls und Intrusion Detection Systemen.

Licht ins Dunkel bringen

Die Verantwortlichen für die Produktions-IT erhalten durch das Netzwerkmonitoring häufig erstmals eine vollständige Übersicht aller Geräte, deren Eigenschaften und Verhalten.

Damit werden zwei Anforderungen bedient, die in einer vernetzten Produktions-IT besondere Berücksichtigung finden müssen:

  1. Betreiber müssen sicherstellen, dass alle Geräte und Vorgänge bekannt und dokumentiert sind. Diese Transparenz ist Grundlage für u.a. Asset Management, Risikoanalyse und den auf Performanz fokussierten kontinuierlichen Verbesserungsprozess.

  2. Betreiber müssen im laufenden Betrieb jede Veränderung der Kommunikationsvorgänge in der Produktions-IT identifizieren. Dieses Erkennen von Anomalien erlaubt ein schnelles Reagieren auf abweichende Vorgänge, die die Cybersicherheit und Stabilität der Prozesse beeinträchtigen.

Beide Aspekte sind zentral für die Sicherheit und Performance von Produktions-IT und IoT-Netzwerken, wie sie auch in Standards wie IEC 62443 und ISO 27000 definiert wird. Der Ansatz des Netzwerkmonitoring mit Anomalieerkennung ergänzt damit gezielt die Perimetersicherung, denn Firewall und Co. fehlt bekanntlich sowohl der Blick nach innen als auch die Fähigkeit, unbekannte oder neuartige Angriffsmuster zu erkennen. Das bestätigte Anfang 2019 auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Empfehlung: »IT in der Produktion - Monitoring und Anomalieerkennung in Produktionsnetzwerken«. Nach Meinung des BSI wird ein Netzwerkmonitoring mit Anomalieerkennung »zur Notwendigkeit in Bezug auf Prävention, Detektion und Reaktion«.