Intrusion Detection Sicher vor dem Angriff

Intrusion Detection

»Intrusion Detection«-Systeme schützen konvergente Produktions- und IT-Netze. Sie sind eine sinnvolle Ergänzung zur »Firewall« und stellen eine wichtige Komponente einer Netzwerk-Architektur dar, für die gesamte Datensicherheit im Unternehmen: von Firewalls und Zugangskontrollen über Monitoring-Werkzeuge und Antiviren-Software bis hin zu Authentifizierungs-Mechanismen und ID-Systemen.

In Unternehmen der Fertigungsindustrie geht seit einiger Zeit der Trend dahin, ihre Produktionssysteme, also die Systeme der elektrischen Fertigungs- und Prozess-Automatisierung, auf IP/Ethernet-Netzwerke umzustellen. Diese wiederum integrieren viele Fertigungsbetriebe mit den Netzen für die Bürokommunikation. Für Mitarbeiter und Service- Techniker ist dies gleichermaßen bequem. Die einen greifen auf diese Weise online auf spezifische Automatisierungs- Anwendungen oder SAPSysteme zu, die anderen erledigen Wartungsarbeiten und Aktualisierungen per Fernwartung. Der Nachteil: Oft bedenken die Verantwortlichen nicht, dass die Verbindung der früher getrennten Netze völlig neue Anforderungen an die Sicherheit stellt.

Zwischen Produktionssystemen und IT-Netzwerken besteht ein fundamentaler Unterschied. Bei ersteren handelt es sich um Einzelsysteme, die rein auf ihre Kernaufgabe – die Automatisierung – ausgerichtet sind. Werden diese »Stand alone«-Geräte nun an das IT-Netzwerk angebunden, um sie zentral steuern und überwachen zu können, sind sie plötzlich neuen Gefahren ausgesetzt: etwaigen Angriffen von außen auf das Unternehmensnetz. Denn zentrale Steuerkomponenten der Produktionssysteme setzen häufig auf Standard-Betriebssystemen wie Windows und Linux auf. Damit müssen sie mit den gleichen Schwachstellen leben wie andere Unternehmensprogramme, die auf diesen Plattformen laufen.

Unterschiedliche Anforderungen

Gleiches Netzwerk, aber unterschiedliche Anforderungen: Bei den Büroanwendungen dreht sich alles um die Systemleistung – um einen schnellen Zugriff zu gewährleisten, sind hohe Datenübertragungsraten gefordert. Bei den Produktionssystemen ist die Verfügbarkeit entscheidend: Steht eine Anlage still, schießen die Ausfallkosten schnell in die Höhe. Bei der Bürokommunikation befinden sich die Server, die es vor Angriffen zu schützen gilt, zentral in einem Server-Raum oder einem Rechenzentrum. Die Produktionssysteme stehen im »offenen Raum« und sind für viele Personen zugänglich. Darüber hinaus sind Steuerungssysteme etwa für »Denial of Service«- Attacken (DoS) relativ empfindlich.

Um festzustellen, ob gerade jenseits des Rechenzentrums, also in einer Produktionshalle, ein Angriff auf eines der Automatisierungs- oder Steuerungssysteme stattfindet, werden so genannte »Intrusion Detection«-Systeme (IDS) eingesetzt. Deren Aufgabe es ist, Attacken auf ein Computernetz zu erkennen. Sie sind mit dem Management- System der Switches gekoppelt, welches Sicherheitsfunktionen direkt an den einzelnen Zugangspunkten zu den Produktions- und Steuerungssystemen zur Verfügung stellt. Mit diesen Schutzeinrichtungen können die Unternehmen bei Sicherheitsvorfällen schnell reagieren. Im Produktionsnetz werden IDS in der Regel am Übergang in das Bürokommunikationsnetz sowie in dem Netz eingesetzt, das die einzelnen Produktionsinseln miteinander verbindet.

Sherlock Holmes im Netz

»Intrusion Detection«-Systeme verfolgen den Datenverkehr (Traffic) im Netzwerk und schlagen Alarm, wenn sie ein Angriffsmuster oder ein verdächtiges Verhalten wahrnehmen. Sie analysieren Daten mit dem Ziel, abweichendes oder anormales Verhalten zu identifizieren, das einen möglichen Hinweis auf einen Angriff, auf Missbrauch von Daten oder eine Verbrei- von Viren oder Würmern geben kann. Dabei existiert eine Vielzahl von Varianten mit unterschiedlichen Überwachungs- und Analysemethoden, denn für Angreifer gibt es Tausende von Methoden, um sich unerlaubten Zugriff auf einen Rechner zu verschaffen und dort Schadprogramme zum Laufen zu bringen. Und jeden Monat kommen neue hinzu. Entsprechend unterschiedlich sind die im Markt erhältlichen Lösungen. Oft sind »Intrusion Detection«-Systeme mit »Intrusion Prevention«-Systemen (IPS) gekoppelt. Während IDS lediglich einen Alarm auslösen, greift ein IPS aktiv in das Geschehen ein und verhindert etwa den Transport bestimmter Datenpakete, unterbricht kritische Verbindungen oder dämmt die Verbreitung von Würmern ein.

Für die Abwehr von Angriffen von außen dient in der Regel eine »Firewall«. Allerdings besteht deren Aufgabe darin, nur bestimmte Kommunikationsbeziehungen zu erlauben – unter Verwendung von Absender- oder Zieladresse und genutzten Diensten. Sie können jedoch keinen vollständigen Schutz vor Eindringlingen bieten.