Störvektoren in Steuerungsnetzen erkennen − Ansatz und Fallbeispiele

IT-Security

Das Steuerungsnetz ist das Nervensystem einer effizienten Fertigung und damit die Basis von Prozessstabilität und Unternehmenskontinuität im IIoT. Eine industrielle Anomalieerkennung befähigt Industrie-4.0-Unternehmen jegliche Störvektoren aufzudecken, bevor die Fertigung betroffen ist.

Das Ergebnis einer Studie des Analystenhauses Forrester Consulting von 2017 ist beunruhigend. Nur 18 % aller Netzwerkverantwortlichen in 600 weltweit befragten Unternehmen mit über 2500 Mitarbeitern wissen, wer in ihren Netzwerken aktiv ist. Dabei wurde noch nicht abgefragt, ob diesen wenigen Netzwerkverantwortlichen auch Informationen darüber vorliegen, was die Netzwerkteilnehmer konkret kommunizieren. Hinzu kommt, dass bei der Studie ausschließlich die Cybersicherheit beleuchtet wurde. Betrieblichen Störvektoren, die sich aus Anlagenfehlern und Aspekten der Netzwerkqualität ergeben, wurden ebenfalls nicht berücksichtigt.

Dass es hier einen enormen Handlungsbedarf gibt, zeigen nicht nur die Umfrageergebnisse. Das untermauern auch die Resultate aus Network-Condition-Monitoring-Installationen sowie Stabilitäts- und Sicherheitsaudits, die Rhebo regelmäßig in Steuerungsnetzen von Industrieunternehmen und Kritischen Infrastrukturen durchführt, und bei denen die industrielle Anomalieerkennung Rhebo Industrial Protector zum Einsatz kommt.

Einfallstor Fernwartung

In einem Fall wurde in einem Steuerungsnetz unerwartet über das Protokoll Server Message Block (SMB) kommuniziert, einem Netzwerkprotokoll für Datei-, Druck- und andere Serverdienste. Gleichzeitig wurden neue Geräte im Netzwerk registriert. Auf den ersten Blick schien das nicht verdächtig, denn das Gerät war als autorisierter Wartungslaptop registriert. Die Detailanalyse seines Kommunikationsverhaltens zeigte jedoch:

  • der Laptop kommunizierte erstmals über das SMB-Protokoll,
  • über das Protokoll wurde eine Authentifizierung angestrebt,
  • der Laptop versuchte, eine unbekannte Datei auf einem anderen Rechner abzulegen.

Diese Datei entpuppte sich als Variante der Ransomware NotPetya. Die Kommunikation konnte umgehend unterbunden und die involvierten Geräte unter Quarantäne gestellt werden.

Die forensische Analyse des verdächtigen PCAP in Wireshark zeigt den Versuch, eine Variante der Schadsoftware NotPetya zu versenden (Quelle: Rhebo)

Netzwerküberlastung durch unerwünschte Protokolle

Dass Cybersicherheit nicht der einzige Faktor bei der Versorgungssicherheit ist, zeigen Monitoringergebnisse aus einer Langzeitinstallation einer industriellen Anomalieerkennung. Beim Network Condition Monitoring fiel eine unverhältnismäßig hohe, kontinuierliche Netzwerkbelastung durch einen einzelnen Protokolltypen auf. Wie sich in der Detailanalyse herausstellte, handelte es sich um einen unnötigen Kommunikationsaufwand, der aufgrund einer Fehlkonfiguration zustande kam. Die Kommunikationsbeziehung wurde als Ergebnis des Monitorings beendet und die Performance des Steuerungsnetzes verbessert.

Netzwerküberlastung durch unerwünschte Protokolle

Dass Cybersicherheit nicht der einzige Faktor bei der Versorgungssicherheit ist, zeigen Monitoringergebnisse aus einer Langzeitinstallation einer industriellen Anomalieerkennung. Beim Network Condition Monitoring fiel eine unverhältnismäßig hohe, kontinuierliche Netzwerkbelastung durch einen einzelnen Protokolltypen auf. Wie sich in der Detailanalyse herausstellte, handelte es sich um einen unnötigen Kommunikationsaufwand, der aufgrund einer Fehlkonfiguration zustande kam. Die Kommunikationsbeziehung wurde als Ergebnis des Monitorings beendet und die Performance des Steuerungsnetzes verbessert.

Wurde durch das Network Condition Monitoring sichtbar: Übermäßige Belastung der Netzwerkkapazitäten durch unnötige Protokolle (Quelle: Rhebo)

Industrielle Anomalieerkennung für Prozessstabilität und Cybersicherheit

Die Zukunft der vernetzten automatisierten Industrie ist abhängig von der Qualität ihrer industriellen Netzwerke. Diese gestalten sich immer komplexer, je mehr Komponenten eingebunden und je mehr Funktionen über das Netzwerk bedient und gesteuert werden. Akteure des IIoT müssen sich auf die Gesundheit, also das fehlerfreie Funktionieren ihrer Steuerungsnetze verlassen können, um Kontinuität sicherzustellen und Produktivität zu maximieren.

Dafür braucht es digitale Transparenz. Nur wer weiß, was in seinem Steuerungsnetz geschieht, kann effektiv Störungen verhindern. Schließlich geht es im IIoT vorrangig um Echtzeitprozesse, die bereits durch kleine Veränderungen und Verzögerungen empfindlich gestört werden können.

Die Lösung für diese Form einer lückenlosen digitalen Transparenz ist ein kontinuierliches Network Condition Monitoring durch eine industrielle Anomalieerkennung. In Verbindung mit verschiedenen Funktionen (z. B. Risikobewertung, Filteroptionen und Datenintegration) befähigt es Anlagenverantwortliche und Betriebsleiter nicht nur, ihre Steuerungsnetze einer Detailanalyse in Echtzeit zu unterziehen. Sie werden zudem unterstützt, potentiell störende Veränderungen im Steuerungsnetz frühzeitig zu erkennen, bevor es zur Produktionsunterbrechung kommt. Ein kontinuierliches Network Condition Monitoring funktioniert in einem Steuernetz somit als äußerst penible Überwachungseinheit, Frühwarnsystem, Entscheidungshilfe und Datenlieferant für verschiedene andere Prozesse im Unternehmen.

Mit einer industriellen Anomalieerkennung gewinnen Unternehmen des IIoT endlich die Souveränität über ihre Steuerungsnetze zurück und gewährleisten in ihrer Fertigung Störungsfreiheit, Kontinuität und Cybersicherheit.

Stefan Sebastian, Produkt & Strategie, Rhebo GmbH (https://rhebo.com)

Diese Veranstaltungen könnten Sie auch interessieren

Seminar
IT-Sicherheit: Produktionsanlagen schützen!
  • 11.02. - 12.02.2019 in Stuttgart
  • 25.06. - 26.06.2019 in Fürth
  • 12.11. - 13.11.2019 in Düsseldorf

IT-Sicherheit in der Produktion sichern - Seminar für technische Fach- und Führungskräfte.

Informieren & Buchen

Tagung
20. VDI-Kongress AUTOMATION 2019

02.07. - 03.07.2019
Baden-Baden

Die "Automation 2018" ist der Branchetreff für die Mess- und Automatisierungstechnik. Erfahren Sie alles zu neuen Trends und erweitern Sie Ihr berufliches Netzwerk.

Informieren & Buchen

Der für Sie ausgewählte Bereich

  • IT Security
    IT-Security