Search Icon
Elektroniknet Logo
Search Icon
Startseite > Automation > Industrie 4.0 & IoT > Mehr Produktivität durch Deep-Packet-Inspection

Sichere Vernetzung und Anomalieerkennung

Mehr Produktivität durch Deep-Packet-Inspection

15. April 2019, 15:03 Uhr | Andreas Knoll
Diesen Artikel anhören
Fortsetzung des Artikels von Teil 1

Risikominimierung als Ziel

mdex
Schreckensszenarien durch Cyber-Angriffe sind leider nicht mehr nur Theorie. Der Netzwerkübergang zwischen der Office-IT und dem Produktionsnetzwerk (OT) bildet ein Einfallstor für Cyber-Kriminelle.
© mdex

Nur so ist für einen sinnvollen Schutz gesorgt. Darauf hat sich mdex spezialisiert und bietet alles für eine sichere, verschlüsselte Datenanbindung für Maschinen und Anlagen. »Hierzu gehört auch die sogenannte Anomalie-Erkennung, die zunehmend wichtiger wird«, sagt Dennis Paul. »Denn das Erkennen von Angriffen auf ein System wird immer schwieriger, vor allem angesichts der immer komplexeren Attacken. Deshalb gilt es auch, bereits erfolgreich durchgeführte Angriffe zu erkennen und wirksame Gegenmaßnahmen zu ergreifen.«

Anomalien erkennen

Die Anomalie-Erkennung durch Deep Packet Inspection, also den „tiefen Blick“ in die Datenkommunikation, bringt in der Industrie nicht nur einen erheblichen Sicherheitsvorteil, sondern kann auch die Produktivität deutlich erhöhen. Hierdurch werden beispielsweise neue Kommunikationsteilnehmer, neue Protokolle oder auch Messwerte, die sich nicht in einem definierten Rahmen bewegen, in Echtzeit erkannt. Dadurch lässt sich sehr schnell auf einen Angriff oder einen sich einschleichenden (noch unbekannten) Fehler reagieren, bevor ein Schaden entsteht.

Bei diesem Ansatz ist nach einer Einlernphase also das normale Verhalten des Systems bekannt. Alles, was in der Folge in irgendeiner Hinsicht davon abweicht, wird als Anomalie erkannt und löst einen Alarm aus. »Die Gründe für eine solche Abweichung können vielfältig sein, etwa ein defekter Sensor, ein neuer Laptop eines Service-Mitarbeiters oder auch ein Angriff durch ein Virus«, verdeutlicht Dennis Paul. »Wie das in der Praxis funktioniert, ist einfach zu verstehen, wenn man den typischen Ablauf einer Infektion näher betrachtet.«

Um eine Maschine oder Anlage mit einem Schadprogramm zu infizieren, reicht ein USB-Stick, der Laptop eines Service-Technikers oder auch ein (erlaubter) Fernzugriff aus. Das WannaCry-Virus beispielsweise verbreitet sich über eine Schwachstelle in Microsoft-Windows-Betriebssystemen. Es verschlüsselt bestimmte Daten in dem befallenen System und fordert anschließend zu einer Lösegeldzahlung auf, damit die Daten wieder entschlüsselt werden. Bevor dies geschieht, sucht das Virus jedoch erst gezielt nach weiteren Systemen im Netzwerk, die ebenfalls diese Sicherheitslücke aufweisen. Es will also zunächst unerkannt bleiben. »Das heißt, es gibt ein Zeitfenster, in dem ein befallenes System noch gerettet werden kann, falls der Angriff rechtzeitig erkannt wird«, folgert Dennis Paul.

Diese Inkubationszeit gibt es bei fast allen Schadprogrammen, weil sie ja an einer möglichst weiten Verbreitung interessiert sind. In diesem Zeitfenster werden gleich mehrere Anomalien erkannt: Zum einen bringt die Suche nach neuen, verwundbaren Systemen haufenweise neue Kommunikationsbeziehungen, die alle eine entsprechende Alarmierung bedeuten. Des Weiteren verwendet beispielsweise WannaCry das Protokoll SMB, weil die entsprechende Sicherheitslücke genau darauf aufsetzt. Neben dem plötzlichen Auftreten sehr vieler neuer Kommunikationsbeziehungen wird also auch ein Protokoll massiv verwendet, das bisher typischerweise viel weniger oder gar nicht in Gebrauch war. Anhand der Kommunikation lässt sich zudem ermitteln, welches System von dem Virus befallen ist. »Im besten Fall lässt sich hier also – eine entsprechend schnelle Reaktion vorausgesetzt – der Befall weiterer Systeme und eine Verschlüsselung des befallenen Systems verhindern«, erklärt Dennis Paul. »Im schlimmsten Fall muss nun lediglich der betroffene Industrie-PC neu aufgesetzt werden, ein kostspieliger Produktionsausfall lässt sich noch verhindern.«

Es lohnt sich also, die IT-/OT-Sicherheit der gesamten Kommunikationsinfrastruktur in ihrem Gesamtkontext zu bewerten und mit einem sorgfältig abgestimmten IT-Sicherheitskonzept (auch für die OT-Systeme) das Risiko durch die Vernetzung in einem wirtschaftlich sinnvollen Rahmen zu minimieren.

Anbieter zum Thema

WIBU-SYSTEMS AG
Matchmaker+
zu Matchmaker+
  1. Mehr Produktivität durch Deep-Packet-Inspection
  2. Risikominimierung als Ziel

Lesen Sie mehr zum Thema

Funktionale Sicherheit/Safety Cyber-Security IoT / IIoT / Industrie 4.0

Das könnte Sie auch interessieren

Mission-Control

Echtzeit-Erkenntnisse für die datengetriebene Fabrik

Jetzt kostenfreie Newsletter bestellen!