Echtzeitmeldungen von Gefährdungen

Netzwerkmonitoring mit Anomalieerkennung

Anzeige
Ob Spillover-Effekte durch Ransomware oder gezielte Angriffe: auch in der Chemieindustrie sind die weniger erfreulichen Auswirkungen der Digitalisierung auf die industriellen Prozesse spürbar. Ein Netzwerkmonitoring mit Anomalieerkennung unterstützt die Verantwortlichen in IT und OT, die Verfügbarkeit und Sicherheit des Produktionsnetzes und der Anlagen zu gewährleisten.

Es muss nicht immer ein gezielter Angriff sein. Spätestens seitdem der Pharmariese Merck 2017 Opfer der Ransomware Notpetya wurde, dürfte allen Chemie- und Pharmaunternehmen klar sein, wie anfällig die Sicherheit und Verfügbarkeit ihrer Produktionsnetze und Automatisierungssysteme ist. Merck hatte teilweise mehrere Wochen mit Produktionsausfällen zu kämpfen und musste sich Medikamente von US-Behörden ausleihen. Der Vorfall kostete den Konzern 375 Mio. Dollar. Anders als Bayer oder die in Saudi-Arabien operierende Ölraffinerie Tasnee, wurde Merck noch nicht einmal aktiv angegriffen. Mercks Verluste waren reiner Kollateralschaden. Die Stillstände in der Produktion entstanden durch sogenannte Spillover-Effekte. Die Schadsoftware war über die notwendigen Verbindungen von der Office-IT auf die Produktionslinie übergesprungen.

Produktions-IT ist ein blinder Fleck

In diesem Moment zeigten sich die offenen Flanken der Digitalisierung: höhere Systemkomplexität, Öffnung der Produktions-IT nach außen sowie die (bislang mehr schlecht als recht funktionierende) Vermählung einer sicherheitsorientierten Office-IT und ungesicherten, verfügbarkeitsorientierten Produktions-IT. Letztlich konnte Merck noch von Glück sprechen. Weder wurden Menschen durch veränderte Rezepturen gefährdet, noch wurden Mitarbeiter verletzt. Gerade in der Chemieindustrie existiert zwischen Cybersicherheit und Arbeitsschutz eine dünne Linie. Auch zum Diebstahl sensibler Daten kam es nach aktuellem Wissensstand nicht. Die Verletzbarkeit der Prozessindustrie hat verschiedene Gründe, die sich auch auf andere Industriezweige und kritische Infrastrukturen übertragen lassen. Der Spezialist für industrielle IT-Sicherheit Sebastian Rohr beschreibt in seinem Buch „Industrial IT Security“ (Vogel, 2019) die drei Kernprobleme der Produktions-IT:

  • Fehlende Awareness bei den Mitarbeitern
  • Unzureichende Dokumentation der Anwendungen und Systeme
  • Fehlende Überwachung der Infrastruktur und Anwendungen

Während der erste Punkt über Schulungen behoben werden kann, geht es bei den Punkten 2 und 3 um organisatorische wie technische Problemstellungen.

Rohr stellt in Bezug auf die Dokumentation (bzw. das Asset Inventory) ernüchternd fest: „Im Gegensatz zur ausführlichen und durch Qualitätsmanagement stetig verbesserten Dokumentation der mechanischen und safety-kritischen Komponenten einer Anlage sind die Informationen hinsichtlich der verwendeten oder installierten IT-Systeme, Betriebssysteme, Anwendungen, Tools und Datenbanken oder Verzeichnisse oft mangelhaft, bestenfalls dürftig oder teilweise schlicht und ergreifend überhaupt nicht vorhanden.” Dies erschwere auch die Verwaltung, Diagnose und Fehlerbehebung der Assets (Komponenten, Systeme, Anwendungen, Daten). Notwendig ist im Mindesten die Identifikation und Visualisierung der Komponenten, Systeme und Verbindungen untereinander oder zu außerhalb des Netzwerkes liegenden Kommunikationspartnern. Hinzu kommen Informationen zu Versionsstand, Konfiguration, Protokollen, IP-Adressen, Ports und Kommunikationsmustern.

Nach Stabilitäts- und Sicherheitsaudits bei Industrieunternehmen und kritischen Infrastrukturen reagieren die Verantwortlichen meist überrascht, welche Geräte und Anwendungen sich in der Produktions-IT verstecken und mit wem diese alles kommunizieren. Bei den Audits werden mittels industriellem Netzwerkmonitoring mit integrierter Anomalieerkennung alle Kommunikationsvorgänge innerhalb der Produktions-IT aufgezeichnet und nachfolgend analysiert. Dabei werden nicht nur die Vorgänge dokumentiert, die über die an den Netzwerkgrenzen stationierten Router und Firewalls laufen. Auch die Kommunikation, die innerhalb des Produktionsnetzes zwischen den Komponenten verläuft, wird erfasst. Die Verantwortlichen für die Produktions-IT erhalten durch das Audit häufig erstmals eine vollständige Übersicht aller Assets, deren Eigenschaften und Verhalten. Nicht selten werden unsichere Ports, Protokolle und Internetverbindungen gefunden. Genauso finden sich in fast allen ausgewerteten Kommunikationsdaten unbekannte Geräte und Versionsstände mit Sicherheitsschwachstellen.

Vogel-Strauß-Taktik funktioniert nicht

Die Produktionslinien in der Chemieindustrie sind eigentlich gut überwacht. Zumindest trifft dies für Leistungs-, Verbrauchs- und Abnutzungsparameter der Anlagen zu. Sowohl für die Prozesssteuerung als auch eine sich entwickelnde vorausschauende Instandhaltung ist dies unabkömmlich. An der Überwachung der Produktions-IT dagegen hapert es. Sebastian Rohr unterstreicht: „Diese Beobachtung und Auswertung bietet jedoch erhebliche Mehrwerte, da die Analyse des Netzwerkverkehrs oder der Auslastungsparameter der IT-Komponenten Rückschlüsse auf möglicherweise bislang unentdeckte Angriffe oder Manipulationsversuche ermöglicht.” Das Bundesamt für Sicherheit in der Informationstechnik empfahl deshalb jüngst, das Netzwerkmonitoring mit Anomalieerkennung standardmäßig in der Produktions-IT zu integrieren. Dieses überwacht kontinuierlich jede Kommunikation im Produktionsnetzwerk und meldet Abweichungen vom zu erwartenden Kommunikationsmuster während des Regelbetriebs.

Unsere Erfahrungen aus Monitoringprojekten haben uns gelehrt: Sicherheit ist das A und O, jedoch nie das ganze Bild. Neben neuen Netzteilnehmern, Abweichungen im Kommunikationsmuster (z. B. Änderung der Protokolle und Befehlsstruktur aufgrund von Schadsoftware, Angriffen oder Manipulation) sowie ungeschützter Passwortübermittlung sind auch technische Fehlerzustände zu berücksichtigen. In Produktionslinien mit Echtzeitansatz können Übertragungsfehler, verlängerte Umlaufzeiten und Kapazitätsüberschreitungen einzelner Komponenten mitunter zu Prozessabbrüchen oder Qualitätsschwankungen führen.

Die Auswertung der Daten unseres Netzwerkmonitorings mit Anomalieerkennung zeigt zumindest, dass technische Fehlerzustände sehr verbreitet sind. Genauso verhält es sich mit unsicheren Protokollen, schwachstellengeplagten Ports und nicht zur Produktion gehörender Kommunikation. Zur Gewährleistung der Cybersicherheit, Produktqualität und des Arbeitsschutzes sollte die durchgängige Sichtbarkeit und eine kontinuierliche Überwachung der Produktions-IT deshalb zu den Kernaufgaben der Sicherheitsverantwortlichen gehören. Ein Netzwerkmonitoring mit Echtzeitmeldung von Gefährdungen sowie Echtzeitvisualisierung der aktiven Komponenten stellt hierfür alle Funktionalitäten zur Verfügung.

www.prozesstechnik-online.de

Suchwort: cav0819rhebo


Autor: Thomas Friedel

Sales Manager,

Rhebo

Anzeige

Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport

Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

Prozesstechnik-Videos

Hier finden Sie alle aktuellen Videos

phpro-Expertenmeinung

Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick

Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de