Unbekannte Störungen sichtbar machen

Digitalisierung: Industrielle Netzwerke durch Anomalieerkennung sichern

| Autor / Redakteur: Christian Schöpf, Emitec / Silvano Böni

Bildergalerie: 6 Bilder
(Bild: Adobe Stock / Maksim Pasko)

Im Zuge der Digitalisierung müssen Industrieunternehmen und kritische Infrastrukturen das Management ihrer industriellen Netzwerke neu denken. Denn Ergebnisse aus Monitoringprojekten mittels Anomalieerkennung zeigen, wie intransparent und unsicher die Netzwerke noch immer sind.

Automatisierte, vernetzte Fertigungen und kritische Infrastrukturen stehen vor neuen Herausforderungen. Zum einen erhöht die Vernetzung und Digitalisierung die Komplexität der industriellen Steuerungsnetze (Industrial Control Systems, ICS). Dies wiederum steigert das Risiko von Störungen durch Fehlkonfigurationen oder nicht kompatible Geräte. Zum anderen werden Steuerungsnetze durch die Integration in die Office-IT und Nutzung von WLAN anfällig für externe Störungen wie Schadprogramme, Cyberattacken und Manipulationen.

Trotz dieser Risiken kennen nur 18 Prozent aller Verantwortlichen zuverlässig alle Komponenten und Vorgänge in ihrem Steuerungsnetz. Dies fand 2017 das Analystenhaus Forrester Consulting in einer weltweiten Studie zur Netzwerksicherheit in Grossunternehmen heraus. Demzufolge fehlt einem Grossteil der untersuchten Grossunternehmen die Transparenz in ihren industriellen Steuerungs­netzen.

Die Kosten dieser Blindheit können aktuell nur geschätzt werden. Im Bereich Cyberkriminalität bezifferte der Bitkom die Schäden allein für deutsche Unternehmen jüngst auf jährlich 55 Milliarden Euro. Hinzu kommen Verluste durch operative Störungen, die sich aus technischen Fehlerzuständen und Netzwerkproblemen ergeben. Das US-amerikanische Analystenhaus Gartner beziffert die ungeplante Stillstandzeit auf jährlich durchschnittlich 87 Stunden pro Unternehmen. Dabei liegen die Kosten und Verluste bei mehreren Tausend bis hin zu Hunderttausend US-Dollar je Stunde.

Klassische Sicherheitskonzepte wie Firewalls oder Intrusion-Detection-Systeme, die an den Netzwerkgrenzen bekannte Gefährdungen erkennen und abfangen, können bei dieser Problemstellung nur bedingt vorbeugen. Sie sind blind gegenüber unbekannten Cyberangriffen sowie gegenüber allen Abläufen innerhalb des Netzwerkes.

So sieht die Antriebstechnik der Zukunft aus

Elektrische Antriebe

So sieht die Antriebstechnik der Zukunft aus

Wie sieht der elektrische Antrieb der Zukunft aus? Welche Entwicklungen im Hinblick auf Digitalisierung und Industrie 4.0 sind zu erwarten? Einen Überblick gibt das Dossier "Elektrische Antriebe" weiter...

Wissen, was im Netzwerk passiert

Um diese Lücken zu schliessen, hat sich in den vergangenen Jahren das Konzept des kontinuierlichen Network Condition Monitorings etabliert. Dabei wird die Kommunikation innerhalb eines Netzwerkes lückenlos überwacht und Abweichungen identifiziert.

Ergänzendes zum Thema
 
Emitec
 
Rhebo

Schlüssel zu diesem Konzept ist eine industrielle Anomalieerkennung, die passiv und vollständig rückwirkungsfrei in das zu überwachende Steuerungsnetz integriert wird. Die Anomalieerkennung lernt die vorherrschende Kommunikation im Netzwerk und visualisiert vollständig alle Netzwerkteilnehmer und Verknüpfungen. Im ersten Schritt werden im Rahmen eines Audits bereits existierende Fehler und Gefährdungen beseitigt, um ein bereinigtes Standardmuster zu gewährleisten. Nachfolgend beginnt die kontinuierliche Überwachung jeglicher Kommunikation auf Inhaltsebene. Von der Standardkommunikation abweichende Datenpakete und Operationen werden in Echtzeit erkannt, nach Risiko bewertet und den Verantwortlichen gemeldet. Da alle Details einer Anomalie als PCAP gespeichert werden, kann jede Anomaliemeldung genauestens auf ihre Ursachen untersucht werden.

Betreiber haben damit zwei Vorteile. Zum einen erhalten sie über eine Netzwerkkarte jederzeit die volle Transparenz darüber, wer mit wem im Steuerungsnetz kommuniziert und welche Eigenschaften die Komponenten haben. Zum anderen werden sie in Echtzeit über jegliche Anomalie informiert, welche die Sicherheit und Produktivität der Prozesse beeinträchtigen könnte.

Anomalien sind vielfältig – und meist unentdeckt

Die Ergebnisse verschiedener Network-Condition-​Monitoring-Projekte, die im Rahmen der Tätigkeit von Emitec durchgeführt werden, haben die Wirksamkeit der neuen Technologie untermauert. Mit Hilfe der Anomalieerkennung Rhebo Industrial Protector des deutschen Technologieunternehmens Rhebo konnten beispielsweise in kritischen Infrastrukturen und Industrieunternehmen bisher unbekannte Störungen sichtbar gemacht und die Netzwerk-Performanz deutlich erhöht werden. Die identifizierten Anomalien reichten hierbei von verdeck­ten Cyberangriffen (Advanced Persistent Threats) bis zu operativen Fehlerzuständen aufgrund von Anlagenstörungen oder Fehlkonfigurationen. Die folgenden Beispiele aus verschiedenen Monitoringprojekten zeigen einen kleinen Ausschnitt aus der Vielfältigkeit der Störfaktoren.

Cybersicherheit beeinflussende Vorfälle

SMB- und NetBIOS-Protokoll

SMB- und NetBIOS sind Protokolle, die üblicherweise von Windows-Geräten zur Remote-Konfiguration und zum Freigeben von Dateien genutzt werden. In Steuerungsnetzen sind sie eher unüblich und aus Sicherheitsgründen zu vermeiden. So nutzen unter anderem verschiedene Malwares das SMB-Protokoll.

Unsichere Port-Nutzung

In mehreren Fällen wurden Ports identifiziert, für die bereits seit längerem Sicherheitslücken bekannt sind. So fanden sich verschiedene Ports, die in der Vergangenheit für den Befall durch Malware (zum Beispiel SweetHeart, Theef, Backdoor.Win32.Agent.cdm) genutzt wurden.

NotPetya-Angriff

In einem Fall fand sich unerwartet Kommunikation über das oben erwähnte Protokoll Server Message Block (SMB). Zeitgleich wurde ein neues Geräte im Netzwerk registriert. Dieses wurde als bereits bekannter Wartungslaptop identifiziert. Die Echtzeitanalyse des Kommunikationsverhaltens des Laptops zeigte jedoch, dass über das SMB-Protokoll eine Authentifizierung erfolgte und versucht wurde, eine unbekannte Datei auf einem anderen Rechner abzulegen. Diese entpuppte sich in der Detailanalyse als Variante der Ransomware NotPetya.

Produktivität beeinflussende Vorfälle

TCP-Prüfsummenfehler

Die TCP-Prüfsumme gibt Aufschluss darüber, ob bei der Kommunikation die Datenintegrität erhalten bleibt. Prüfsummenfehler deuten daher auf Daten- oder Übertragungsfehler hin, die oftmals durch fehlerhaftes Netzwerk-Equipment entstehen. Daten- und Übertragungsfehler können zu Verzögerungen oder Ausfällen bei Echtzeitprozessen führen und damit die Produktivität stark beeinträchtigen.

TCP-Übertragungswiederholung

Eine TCP-Übertragungswiederholung bedeutet die erneute Sendung eines bereits gesendeten Datenpakets. Die Wiederholung entsteht durch fehlerhafte Übertragungskanäle sowie Überlastzustände auf Switches, Routern oder den Kommunikationsendpunkten. Dies hat Einfluss auf Paketumlaufzeiten und den Datendurchsatz. Sowohl TCP-Prüfsummenfehler als auch -Übertragungswiederholungen fanden sich bislang in fast allen mit der Anomalieerkennung überwachten Netzwerken.

Fehlerhafte zyklische Nachrichten

Fehlerhaft ausgelieferte zyklische Nachrichten deuten darauf hin, dass im Steuerungsnetz erhöhte Latenzen auftreten. Diese werden durch Fehlkonfigurationen, Software- oder Hardwarefehler hervorgerufen. Diese Fehler können dazu führen, dass zyklische Nachrichten zu früh, zu spät oder gar nicht ausgeliefert werden. Dadurch werden insbesondere Echtzeitprozesse beeinträchtigt, die von einer zeitgenauen Auslieferung der Datenpakete abhängig sind.

Anomalieerkennung bringt Klarheit

Die Betreiber erhielten mit Hilfe der industriellen Anomalieerkennung erstmals vollständige Klarheit über das Wirken ihrer Netzwerke. Selbst sehr gut gepflegte Netzwerke wiesen Sicherheitslücken und technische Fehlerzustände auf. Diese konnten mit Rhebo Industrial Protector erstmals identifiziert und nachfolgend umgehend analysiert und beseitigt werden. SMM

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45400993 / Automation & Antrieb)