Industrial Security & Intrusion Detection

Intrusion Detection und Intrusion Prevention für das Industrielle Internet der Dinge - eine Notwendigkeit für vernetzte Geräte.

Warum intelligente Fabriken geschützt werden müssen.

Das Industrielle Internet der Dinge eröffnet neue Wachstumsmöglichkeiten im Hinblick auf die Verbesserung der Effizienz in der Produktion. Die globale Vernetzung intelligenter Produktionsmittel, Prozesse, Verfahren und Dienstleistungen hat einen erheblichen Einfluss auf die Ausgestaltung der dafür notwendigen technischen Infrastruktur. Das Streben nach besserer Interoperabilität und einer zentralisierten Verwaltung der Automatisierungstechnik hat in jüngerer Zeit dazu geführt, dass industrielle Netzwerke, die in der Vergangenheit von der Außenwelt abgeschottet und mithilfe spezialisierter Kommunikationsprotokolle betrieben wurden, nun untereinander vernetzt sind und auf kostengünstigen und weltweit standardisierten Technologien – im wesentlichen Ethernet und TCP/IP – basieren. Das hat allerdings zu einer signifikanten Zunahme von neuralgischen Punkten innerhalb einer solchen Infrastruktur geführt, und damit das Risiko für Betriebsstörungen, Sabotagen, Cyber-Attacken und Datendiebstahl durch Kriminelle, ausländischen Regierungen und böswillige Mitarbeiter merklich erhöht. Unternehmen müssen sich daher den Risiken der Vernetzung von intelligenten Maschinen bewusst sein und sich den Herausforderungen stellen, indem sie ein umfassendes Sicherheitskonzept für ihre cyber-physischen Systeme implementieren.

Intrusion Detection und Intrusion Prevention als Maßnahme gegen böswillige Aktionen.

Mit der zunehmenden Verbreitung IP-basierter Kommunikationsprotokolle und dem Industriellen Internet der Dinge wird es für Unternehmen immer wichtiger, den Schutz ihrer Netzwerke gegen Schadprogramme und nicht autorisierte Aktivitäten, wie beispielsweise Manipulationen an der Konfiguration und der Kommunikation von Steuerungssystemen und Feldgeräten, zu verbessern. Eines der größten Sicherheitsprobleme industrieller Netzwerke und Steuerungssysteme ist es, überhaupt zu erkennen, dass ein Angriff stattfindet, oder zu wissen, wann und wie sie möglicherweise kompromittiert wurden. Ein Intrusion Detection System (IDS) kann suspekte Vorgänge erkennen und protokollieren, und bei Bedarf einen Alarm auslösen. Ein Intrusion Prevention System reagiert automatisch auf verdächtige Aktivitäten, beispielsweise indem die Netzwerkverbindung zu einer Gegenstelle, die durch böswilliges Verhalten auffällt, zurückgesetzt oder komplett blockiert wird. Im Idealfall arbeiten beide Systeme Hand in Hand, indem neue, noch unbekannte Schadensmuster, die von den Algorithmen des Intrusion Detection System identifiziert wurden, unmittelbar in das Intrusion Prevention System übertragen werden, und somit Schutz gegen vergleichbare Angriffsmuster in der Zukunft bieten.

Intrusion-Detection und Intrusion-Prevention für vernetzte Geräte.

Intrusion Detection und Prevention können entweder direkt auf den einzelnen Geräten, wie Router, Feldgeräte und speicherprogrammierbare Steuerungen (SPS), implementiert werden, oder indirekt als Teil der Infrastruktur, indem alle Daten und Verbindungen innerhalb des Netzwerks fortlaufend überwacht werden. Idealerweise sollten beide Verfahren in Kombination zum Einsatz kommen, allerdings sind viele der Steuerungsgeräte und Router nicht leistungsfähig genug, um neben ihren eigentlichen Funktionen auch noch die rechenintensive Aufgaben für Intrusion Detection zu bewältigen – damit ist die indirekte, netzwerkbasierte Variante die einzige praktikable Lösung. Dies ist vor allem auf lange Sicht der kostengünstigere Ansatz und bietet darüber hinaus deutlich mehr Funktionen und Flexibilität: Datenströme können in vollem Umfang gespeichert werden, was für eine spätere forensische Analyse, beispielsweise in Form einer Post-mortem-Analyse nach einer Störung, oder im Rahmen einer Routinekontrolle, von entscheidender Bedeutung ist; eine Installation kann gegebenenfalls das gesamte Netzwerk überwachen; Wartungsarbeiten für Hardware und Software können deutlich günstiger und sicherer durchgeführt werden, da Netzwerk-basierte IDS die bestehenden Systemen nicht beeinflussen; und schließlich lassen sie sich vergleichsweise einfach in eine bestehende Infrastruktur integrieren, um vorhandene Netzwerke und Geräte nachzurüsten.

DATATRONiQ bietet ein speziell konzipiertes Intrusion Detection System für industrielle Netze.

Obwohl die Technik von industriellen und kommerziellen Netzwerken immer ähnlicher wird, gibt es dennoch erhebliche Unterschiede im Bezug auf Kommunikationsprotokolle: ProfiNET, CAN-Bus und EtherCAT sind vorwiegend im industriellen Umfeld und bei eingebetteten Geräte vorzufinden, und bei der Art und Weise der Kommunikation innerhalb des Netzwerks fällt auf, dass der Inhalt der Datenpakete und die Bandbreite verschiedener Kommunikationspartner viel weniger Vielfalt aufweist. Daher sind traditionelle IDS-Lösungen, wie sie in Rechenzentren oder in IT-Netzen in Büros zum Einsatz kommen, nur bedingt für das industrielle Umfeld geeignet. Als Antwort bietet DATATRONiQ eine zukunftsweisende und speziell auf die Belange von industriellen Netzwerken zugeschnittene Intrusion Detection Lösung an, welche ein- und ausgehende Datenpakete überwacht und im Falle verdächtiger Aktivitäten Alarme auslöst. Durch die kontinuierliche Überwachung und gleichzeitige Analyse des Netzwerkverkehrs lernt das System mit der Zeit automatisch, wie sich das Netzwerk normalerweise verhält, und kann somit auch unmittelbar atypisches Verhalten feststellen. Darüber hinaus wird auch die Maschinensteuerung bzw. der Zustand der Maschine fortlaufend überwacht, so dass auch dort Unregelmäßigkeiten erkannt werden. Im Falle von unbekannten oder verdächtigen Veränderungen kann DATATRONiQ in Echtzeit mit der Maschinensteuerung kommunizieren, so dass entweder Alarme angezeigt, oder direkt Schutzmaßnahmen eingeleitet werden können, wie beispielsweise das Anhalten einer Maschine, um so Schäden an den Geräten oder den Werkstücken zu verhindern. Durch die automatische Analyse und Protokollierung der verdächtigen Datenflüsse hilft DATATRONiQ dabei, die bei einer Störung gewonnenen Erkenntnisse dafür zu nutzen, zukünftigen Angriffen entgegenzuwirken.

Mehrwert und Schlussfolgerungen.

Man muss sich dessen bewusst sein, dass selbst ein noch so unscheinbares Gerät – so es denn vernetzt ist – dazu missbraucht werden kann, einen Cyber-Angriff auf ein ganzes Netzwerk zu ermöglichen. Deswegen gilt es, alle angeschlossenen Geräte zu identifizieren und durch ein modernes und leistungsfähiges Intrusion Detection und Prevention System abzusichern. Das gesamte Netzwerk ist rund-um-die-Uhr dahingehend zu überwachen, ob gerade ein Angriff stattfindet. Je früher Cyber-Angriffe erkannt werden können, desto einfacher ist es, Schaden abzuwenden und den Verlust von sensiblen Daten zu vermeiden. DATATRONiQ hilft dabei, Auffälligkeiten im Netzwerkverkehr automatisch zu erkennen, tatsächliche Angriffe von unkritischen Anomalien zu unterscheiden, Schadmuster aktuell zu halten, zukünftige Angriffe zu verhindern und letztendlich die Mitarbeiter von Routineaufgaben zu entlasten.