Angriffserkennung: So reagieren Sie schnell und effektiv bei Cyberangriffen

Der Spagat zwischen Fortschritt und Sicherheit stellt Industrieunternehmen vor immer größere Herausforderungen: In Produktionsumgebungen steigt im Zuge der digitalen Transformation schließlich nicht nur der Digitalisierungsgrad, sondern auch das Cyberrisiko rasant an. Angesichts einer wachsenden Zahl digitaler Komponenten, ihrer zunehmenden Vernetzung und ihrer Verbindung zur Unternehmens-IT wird das Geflecht von Anlagen und Systemen im Bereich der Betriebstechnologie (OT) stetig komplexer, eine schnelle Angriffserkennung immer wichtiger.

OT-Umgebung als Ziel: Schnelle Angriffserkennung ist das A und O

Hinzu kommt, dass OT-Sphären aufgrund hoher Verfügbarkeits­anforderungen in weiten Teilen redundant aufgebaut sind. Den Überblick über alle Geräte, Kommunikationsbeziehungen, Protokolle, Netzwerkzonen, Soft- und Firmwareversionen zu behalten, wird für OT-Verantwortliche daher immer schwieriger. Eine wirkungsvolle Überwachung der kompletten Produktionsumgebung ist somit kaum noch möglich.

Geografisch verstreute oder abgelegene Standorte, die unbemannt sind, und Dienstleister, die Zugriff auf die Systeme haben, stellen weitere Herausforderungen dar.

Fehlende Visibilität schafft versteckte Angriffsflächen

Diese fehlende Visibilität führt letztlich dazu, dass Sicherheitslücken, potenzielle Bedrohungen, Störungen oder Risiken übersehen werden und Cyberattacken unentdeckt bleiben. Somit entstehen attraktive Angriffsflächen für Cyberkriminelle, die sich mithilfe von komplizierten Angriffsmustern unbemerkt Zutritt zu OT-Netzwerken verschaffen.

Im schlimmsten Fall gelingt es Hackern, Zugriff auf kritische Systeme und sensible Daten zu erlangen. Produktionsausfälle, schmerzhafte Reputationsschäden und Datenverluste können die Folgen sein. Oftmals ziehen Angriffe auch rechtliche Konsequenzen nach sich.

Angriffserkennung: Reaktionsgeschwindigkeit entscheidet über Angriffsfolgen

Derartige Szenarien lassen sich nur durch eine schnelle Reak­tion und den Einsatz gut vorbereiteter Incident-Response-Maßnahmen abwenden. Schließlich sind Cyberkriminelle in der Lage, sich mit hoher Geschwindigkeit in gekaperten Netzwerken auszubreiten. In der Regel dauert der Prozess von der Erstinfektion und dem initialen Zugriff auf Ressourcen bis hin zur Systemübernahme lediglich wenige Tage. Unabhängig davon, wie gut sich ein Unternehmen auf den Angriffsfall vorbereitet, lassen sich Schäden nur minimieren oder abwenden, wenn man die Cyberattacke frühzeitig erkennt.

Aufgrund der hohen Verfügbarkeitsanforderungen und der technischen Gegebenheiten von OT-Umgebungen sind hier IT-Sicherheitslösungen aus der Office-Welt für die Identifikation von Bedrohungen nicht geeignet. Beispielsweise ist es möglich, dass ein Schwachstellenscanner komplexe OT-Systeme durch seine aktiven Anfragen stört oder sogar zu kompletten Anlagenausfällen führt. Zudem sind IT-Security-Lösungen nicht in der Lage, OT-Protokolle und typische OT-Geräte zu analysieren.

Technik mit Expertenwissen kombinieren

Auch speziell für die OT-Welt entwickelte technische Security-Komponenten reichen nicht aus, um Cyberangriffe rechtzeitig aufdecken zu können. Unternehmen benötigen darüber hinaus qualifiziertes Personal, das verdächtige IT-Security-Ereignisse individuell beurteilen und schnell geeignete Maßnahmen ergreifen kann. Nur diese Kombination ermöglicht die kontinuierliche Überwachung von OT-Umgebungen.

Lösungen, die Anomalie-Erkennungstechnologien und Experten-Know-how zusammenbringen, werden in der Cybersecurity-Welt als Managed Detection and Response (MDR) oder als SOC-as-a-Service bezeichnet.

Phasen der mehrstufigen Angriffserkennung

Bei diesem mehrstufigen Verfahren kommen verschiedene ­Cybersecurity-Komponenten zum Einsatz, die miteinander korrelieren. Insgesamt lässt sich diese Form der Angriffserkennung in fünf Phasen unterteilen:

1. Informationen sammeln

Zunächst sammelt ein zentrales Überwachungssystem Log­Informationen. Durch den Einsatz von Mirror Ports und Kollektoren gelingt dieser Prozess rückwirkungsfrei, ohne die OT-Systeme zu beeinflussen.

2. Normalverhalten analysieren

Die in der ersten Phase gewonnenen Daten werden nun analysiert. Dabei kommen verschiedene Erkennungsmodule zum Einsatz, die automatisch eine Übersicht über die typischen Verhaltensweisen aller Anlagen, Kommunikationsvorgänge und Prozesse in der jeweiligen OT-Umgebung erzeugen.

3. Unregelmäßigkeiten aufdecken für effektive Angriffserkennung

Spezielle Analyse-Tools suchen im Anschluss nach Abweichungen vom ermittelten Normalverhalten. Im Idealfall zieht das System für die Untersuchung nicht nur statische Regeln und Use Cases heran, sondern nutzt auch Machine Learning, um diesen Vorgang kontinuierlich zu optimieren. So lassen sich Erkennungs­raten erhöhen und Falschmeldungen ­reduzieren.

4. Anomalien überprüfen

Erkennen die Tools Anomalien, werden diese von einem speziellen Analysesystem überprüft. Es unterteilt die gemeldeten Ereignisse in Abweichungen mit OT-Bezug und in Abweichungen mit IT-Security-Bezug.

5. Bewertung durch ein Expertenteam

Ein Expertenteam bekommt automatisch verdächtige Anomalien weitergeleitet und kann dann die betreffenden Events manuell untersuchen, sie klassifizieren und deren Kritikalität bestimmen. Über ein erhöhtes Risiko werden relevante Personen über zuvor definierte Meldewege informiert. Die Experten sollten in der Lage sein, Maßnahmenempfehlungen vorzugeben oder ­Incident-Response-Prozesse direkt einzuleiten.

Transparenz schaffen und Angriffe aufdecken

Da diese Form der Angriffserkennung alle Assets, Überwachungsprotokolle sowie interne, externe und zonenübergreifende Kommunikationsbeziehungen erfasst, darstellt und bewertet, schafft sie ein Höchstmaß an Visibilität. Angriffsversuche und alle anderen im Produktionsablauf auftretenden Anomalien lassen sich auf diese Weise schnell erkennen. Betroffene Unternehmen können dann sofort erforderliche Maßnahmen ergreifen, um die Produktionsabläufe zu sichern.

Der Autor Dr. Stefan Rummenhöller ist Geschäftsführer der r-tec IT Security GmbH.