Klaus Lussnig ist Geschäftsführer von Industrial Automation Österreich und Spezialist für Software-Lösungen rund um die Industrial Security von Produktionsanlagen im Zeitalter der Digitalisierung.

Blog

Industrial Security muss "Detect and Respond" werden

Warum Angriffserkennung und die Reaktion darauf heute wichtiger sind als die Absicherung an den Netzgrenzen: Ein Plädoyer für eine Neubewertung der IT/OT-Security-Strategien.

Industrial Security Industrial Automation Blog

In einer Zeit, in der sich die Frequenz und Komplexität von Cyberangriffen laufend erhöht, ist es notwendig, sich auf die Angriffserkennung und -reaktion („Detect and Respond“) zu fokussieren. Industrielle Cybersicherheitslösungen müssen eine umfassende Übersicht sowie einen tiefen Einblick der zu überwachenden Anlagen, die eine Vielzahl von IT-Assets enthalten können, zur Verfügung stellen. Dazu gehören Anwendungsserver, Engineering-Workstations, HMI/SCADA, FTP-Server, Daten-Historian, Feldbusprotokolle der alten und neuen Generation, webbasierte Administrations-Interfaces, Netzwerkdienste, virtuelle Systeme und vieles mehr.

Aktuellen Angriffen lässt sich nur noch bedingt durch eine Absicherung an den Netzgrenzen begegnen. Es muss davon ausgegangen werden, dass früher oder später diese  bsicherung überwunden wird. Deshalb ist der richtige Schritt die (Neu-) Bewertung ihrer IT/OT-Security vom bisher dominierenden „Prevent und Protect“, also einer eher abschottenden- Sicherheitslandschaft hin zu „Detect and Respond“, mit dem Ziel einer kontinuierlichen Überwachung in Echtzeit und entsprechenden Maßnahmen als Reaktion auf Auffälligkeiten.

„Detect“ oder Echtzeitmonitoring 

Die Einrichtung ist in den heute genutzten Ethernet-basierten Netzen schnell erfolgt.
Die vollständige Erfassung und Analyse der Identitäten aller Kommunikationspartner, Assets, Zeitpunkt und Dauer der Kommunikation sowie der gesprochenen Protokolle aller Sitzungen passiert ohne weitere Anpassungen. Alarmierungen erfolgen ohne Konfiguration auf Basis von Anomalien. Anomalien sind einerseits abweichendes Verhalten vom Normalbetrieb (Fingerprint der Anlage), anderseits sind es auch Protokollfehler und -manipulationen bis hin zur automatisierten Erkennung von Aktivitäten unterschiedlicher Angriffsmodelle. Detection bietet indirekten Schutz gegen Angriffe über das Netzwerk, deckt diese frühzeitig und in hinreichendem Maße auf. Aktuell beträgt die Zeit zwischen Infizierung, also dem Beginn des Angriffs und dem Schadenseintritt, sehr oft mehrere Monate. Die gewonnene Zeit wird hier effizient genutzt. Für die Reaktion, dem „Respond“, stehen die aufgezeichneten Daten direkt innerhalb der Alarmierung zur Verfügung und werden für die forensischen Untersuchungen gespeichert. Wichtig: Der ehemals hohe Aufwand dafür hat sich stark reduziert. Detailliertes Know-how und tiefgehende Kenntnisse als Voraussetzung sowie die aufwändigen betreuten Anlernphasen sind Dank maschinellem Lernen und zugeschnittenen Systemen für die Anforderungen der Industrie nicht mehr erforderlich.