Agile IT-Sicherheit

Sicherheitslücken kontinuierlich bekämpfen

Anzeige
Damit die IT-Infrastrukturen und die digitalen Werte von Unternehmen optimal geschützt sind, sollten die Verantwortlichen ihre Systeme konstant überwachen. Die Continuous Attack and Threat-Simulation von TÜV Hessen setzt genau dort an: Mit einer automatisierten Simulation von verschiedenen Cyberangriffsszenarien, die aktuelle Bedrohungsmuster imitieren, werden IT-Infrastrukturen kontinuierlich getestet

Cyberangriffe, Ransomware, Malware oder Phishing-Attacken sind nur einige der potenziellen Bedrohungen, die die IT-Sicherheit gefährden. Doch die meisten Unternehmen nutzen weiterhin reaktive, technologiebasierte Lösungen zum Schutz ihrer IT-Infrastruktur – obwohl die Angriffsmethoden immer komplexer werden und sich stetig weiterentwickeln.

Der wirtschaftliche Schaden durch Attacken wie Datendiebstahl, Spionage und Sabotage von Industrieunternehmen ist enorm: Laut einer aktuellen Studie des IT-Verbands Bitkom beläuft sich der finanzielle Schaden in den vergangenen zwei Jahren auf rund 43 Milliarden Euro. Täglich tauchen rund 100 000 neue Schadprogramme auf; das bedeutet, dass etwa alle vier Sekunden online ein neues Malware-Muster entsteht. Die Bedrohungen sind jedoch nicht nur zahlreich, sondern sie werden auch zunehmend komplexer.

Exploit-Attacken und Zero-Day

Besonders gerne setzen Hacker sogenannte Exploit-Schadprogramme als Infizierungsmethode ein, die Sicherheitslücken von Unternehmenssoftware ausnutzen. Dabei können die Geräte der Nutzer über den Besuch einer Website, die den schädlichen Code enthält, infiziert werden oder durch das Öffnen einer Datei, die per Spam- oder Phishing-Mail auf dem Endgerät landet. Startet der Exploit einmal, hat der Hacker Zugriff auf Unternehmenssysteme und kann weitere Schadprogramme hochladen.

Brandaktuell sind sogenannte Zero-Day-Attacken. In diesem Fall nutzen Hacker bis dato unbekannte Schwachstellen. Zero-Day steht für die Zeitspanne, die zwischen der Entdeckung der Sicherheitslücke und dem Cyberangriff liegt: nämlich null Tage. Die Schwachstelle wird also erst entdeckt, wenn der Angriff bereits erfolgt ist und das infizierte Unternehmen hat keinerlei Vorlaufzeit, sich und seine Kunden durch Gegenmaßnahmen wie Patches zu schützen.

Um diesen komplexen Cyberangriffen wirkungsvoll zu begegnen, sind umfassende Abwehrmechanismen gefragt. Denn Hacker müssen nur einmal erfolgreich sein – die Sicherheit sollte hingegen immer up-to-date bleiben. Die Schwierigkeit besteht darin, die IT-Infrastruktur nicht nur ständig neuen Anforderungen und wechselnden Prozessen anzupassen, sondern auch die entsprechenden Sicherheitsparameter nachzujustieren. Darüber hinaus müssen Sicherheitsverantwortliche das externe Bedrohungsumfeld genau beobachten, um schnellstmöglich hinsichtlich der Komplexität, des Vektors, des Targets und anderer Parameter Anpassungen vorzunehmen. Doch nicht jeder Hersteller und nicht jede Technologie kann unmittelbar auf jede Bedrohung reagieren, um Abwehrmechaniken bereitzustellen. Auch die Beobachtung der Bedrohungslage ist oft nicht effizient umsetzbar.

Penetrationstests

Gängige Maßnahme, um die Sicherheit in IT-Infrastrukturen zu überprüfen, sind Penetrationstests, die im Idealfall mehrmals pro Jahr durchgeführt werden: Gezielte Angriffe auf die IT-Infrastruktur sollen Schwachstellen feststellen.

Das Problem dabei: Da keine kontinuierlichen, sondern punktuelle Prüfungen erfolgen, geben Penetrationstests nur Aufschluss über den Sicherheitsstatus zum Testzeitpunkt. Alle Anpassungen nach dem Penetrationstest bedeuten allerdings fast immer auch eine Veränderung des Sicherheitsstatus. So bleiben Sicherheitslücken unentdeckt, die selbst durch minimale Veränderungen an den Unternehmenssystemen entstehen. Darüber hinaus werden alte, bereits gepatchte Probleme gern von Angreifern ausgenutzt. Oft passiert es zudem, dass sich bei der Reparatur von Fehlern neue Lücken auftun.

Nimmt ein Chemieproduzent Penetrationstests regelmäßig vor, zählt er schon zu jenen, die IT-Sicherheit ernst nehmen. Doch die meisten Unternehmen führen selbst diese Tests nicht durch. Viele hoffen schlicht, dass der Kelch an ihnen vorüberzieht und sie von Angriffen verschont bleiben. Doch Attacken auf Sicherheitslücken können prinzipiell jedes Unternehmen treffen – die chemische Industrie stellt da keine Ausnahme dar. Manchmal wird damit bewusst Geld erpresst, manchmal wird Malware auch einfach als Experiment gestreut. Ob ein Hersteller davon betroffen ist oder nicht, unterliegt dann dem Zufall. Er kann infiziert werden, ohne per se ausgewähltes Ziel eines Angriffs gewesen zu sein. Diese Kollateralschäden können alle betreffen – Argumente wie „wer soll uns schon angreifen, wir sind doch viel zu klein“ zählen hier nicht. Statistisch gesehen, bestehen sogar erhebliche Risiken, Opfer einer weit angelegten Angriffskampagne zu werden – selbst wenn man nicht Ziel der ersten Welle ist. Eine Studie ergab, dass Angreifer im Schnitt etwa sieben Tage Vorsprung haben. Bei 34 % der für die Studie analysierten Schwachstellen gab es bereits am gleichen Tag einen Exploit.

Unabhängig von der Unternehmensgröße muss also ein Bewusstsein für die Bedrohungen der IT-Sicherheit entstehen. Denn Sicherheitslücken können sich in gleicher oder ähnlicher Form bei allen Chemieherstellern auftun. Und ist das der Fall, ist jeder gleichermaßen angreifbar.

Punktuell Sicherheitsdienste und -werkzeuge einzusetzen, ist schön und gut, aber keine reelle Antwort auf die Gefährdungslage. Ein neuer Ansatz ist gefragt, der nicht nur an einzelnen neuralgischen Punkten der Infrastruktur eines Chemieunternehmens ansetzt, sondern der den Sicherheitsstatus dauerhaft abbilden kann – und nicht nur als bald schon veraltete Momentaufnahme. Um den Schutz dauerhaft aufrechtzuerhalten, ist ein kontinuierlicher Prozess notwendig.
Die Diagnostik muss sich der Agilität der Angreifer anpassen.

Simulierte Angriffe rund um die Uhr

Die Continuous Attack and Threat-Simu
lation (CAT-Simulation) von TÜV Hessen beispielsweise ist ein solcher Ansatz. Sie ist ein auf der LION-Plattform (Learning I/O Network) basierender Managed Service, der die zu sichernde Infrastruktur von Chemieunternehmen von außen kontinuierlich und rund um die Uhr in Echtzeit mit simulierten Angriffen penetriert. Damit wird Sicherheit messbar: Die Ergebnisse spiegeln Erfolg und Effizienz der Sicherheitstechnologien und der zugrundeliegenden Prozesse im Unternehmen wider. So ist es möglich, Abwehrmaßnahmen zu bewerten und zu verbessern.

Mit einer genauen Beobachtung der Bedrohungssituation werden die aktuellsten Angriffsmethoden und Skripte gesammelt, einzelnen Angriffsvektoren zugeordnet, eventuell kombiniert und entschärft. Durch den permanenten Beschuss der Infrastruktur kann genau eruiert werden, wie sicher die IT gegen reelle Angriffe ist. Der Chemie-hersteller weiß damit jederzeit 24 Stunden am Tag, wo er steht.

Herkömmliche Lösungen stellen bei einem Abwehrszzenario die angegriffene Infrastruktur in den Fokus. Bei der CAT-Simulation dagegen besteht eine erfolgreiche Abwehr auch in der genauen Kenntnis des Angriffs, worauf er zielt und welche Schwachstellen er ausnutzt – inklusive den zugrundeliegenden involvierten Prozessen. Die Simulation kombiniert dafür zwei Teams: Ein Red Team versucht einen Angriff erfolgreich durchzuführen und ein Blue Team optimiert die Sicherheit. Verschiedene Aspekte stehen dabei im Fokus der Untersuchung: E-Mail-Bedrohungen, Netzwerkanalyse und WAF-Analyse prüfen die Wirksamkeit vorhandener Sicherheitslösungen und simulieren Angriffe auf bestimmte Schwachstellen. Das Gefährdungspotenzial wird anschließend in Prozent angegeben. Im Falle einer ermittelten Gefahrenanfälligkeit bietet der Service die Grundlage für Cybersecurity-Experten, um sichere Lösungen zu implementieren.

Da die CAT-Simulation Klarheit darüber verschafft, welche Angriffe stattfinden, steigen Transparenz und die Erfolgsrate bei der Behebung von Sicherheitslücken und Schwachstellen. Mit diesem Wissen können IT-Verantwortliche ihre Infrastruktur effizienter schützen. Die Agilität der CAT-Simulation entspricht der Kontinuität des Bedrohungspotenzials.

Weltweit setzen bisher 25 bis 30 Unternehmen eine vergleichbare kontinuierliche Simulation ein. Die Tendenz zeigt dabei nach oben. Führt ein Unternehmen Penetrationstests zudem regelmäßig durch, so bietet die CAT-Simulation diesen gegenüber Vorteile. Da Ausgaben für Sicherheitsinfrastruktur zunächst einmal keinen erlebten Mehrwert oder gesteigerten Umsatz erzeugen, zögern Unternehmensverantwortliche diese Ausgaben gerne hinaus. Die CAT-Simulation kann zudem im Vergleich mit Pen-Tests wirtschaftlicher sein.

Auch geht ein Mehr an Sicherheit oft mit einem Minus an Bequemlichkeit einher – erhöhte Sicherheit ist umständlich. Angesichts stetig komplexer werdender Bedrohungslagen werden chemische Unternehmen künftig aber nicht mehr umhinkommen, ihre IT-Sicherheit mit Priorität zu betrachten. Die CAT-Simulation stellt hierfür ein zeitgemäßes, agiles Tool dar.

www.prozesstechnik-online.de

Suchwort: cav0419tuevhessen phpro0419tuevhessen


Autorin: Nadja Müller

Fachjournalistin



Hier finden Sie mehr über:
Anzeige

Powtech Guide 2019

Alle Infos zur Powtech 2019

Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport

Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

Prozesstechnik-Videos

Hier finden Sie alle aktuellen Videos

phpro-Expertenmeinung

Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick

Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de