Cyber-Security: Anomalie-Erkennung für industrielle Netzwerke

Redakteur: Michael Eckstein

Einrichtungen zum Aufspüren von Anomalien im Datenverkehr haben sich in Büronetzwerken als Schutzmechanismus bewährt. Jetzt ist eine solche Lösung auch für industrielle Netzwerke erhältlich.

Firmen zum Thema

Abwehr-Arsenal: Eine Anomalie-Erkennung spürt Unregelmäßigkeiten im industriellen Datenverkehr auf.
Abwehr-Arsenal: Eine Anomalie-Erkennung spürt Unregelmäßigkeiten im industriellen Datenverkehr auf.
(Bild: Siemens)

Spektakuläre Attacken auf große Industrieanlagen haben in jüngster Vergangenheit gezeigt, wie anfällig viele Unternehmen sind. Kein Wunder: Viele Steuerungen stammen noch aus Zeiten, als es das Internet noch nicht gab. Werden sie nun global vernetzt, öffnen sich Angriffsmöglichkeiten für Hacker. Angreifer gehen mit hochspezialisierter Malware, so genannten „Advanced Persistent Threats“ (APT), extrem zielgerichtet vor. Nach dem Einschleusen ihrer digitalen Skalpelle arbeiten sie sich im Geheimen vor und versuchen dabei, möglichst wenig „Datenstaub“ aufzuwirbeln, um nicht aufzufallen. Herkömmliche Firewalls schlagen dabei nicht an.

Umso wichtiger ist es für Unternehmen, selbst kleinste Unregelmäßigkeiten aufzuspüren. Denn diese können auf einen Cyber-Angriff hindeuten. Speziell für industrielle Netzwerke hat Siemens eine Anomalie-Erkennung entwickelt und wird diese auf der Hannover Messe vorstellen. Das „Industrial Anomaly Detection“ genannte Produkt soll sicherheitsrelevante Vorfälle wie unerlaubtes Eindringen oder Schadsoftware erkennen und darauf aufbauend Gegenmaßnahmen ergreifen.

Software liest Datenverkehr passiv mit

Die Software ist auf einem Industrie-PC (IPC) vorinstalliert und laut Hersteller einfach in industrielle Umgebungen integrierbar. Im Betrieb soll sich die Anomalie-Erkennung transparent zu industriellen Anlagen und darauf laufender Software verhalten. Alternativ wird diese auch auf Netzwerkkomponenten von Siemens, etwa der Multiservice-Plattform Ruggedcom RX1500 mit Ruggedcom APE, verfügbar sein. Die Anomalieerkennung ist nach eigenen Angaben besonders für Unternehmen aus den Branchen Automobilproduktion, Aerospace, Chemie, Pharma, Food and Beverage sowie Wasser/Abwasser geeignet.

Im ersten Schritt schafft Industrial Anomaly Detection Transparenz über die in industriellen Netzwerken eingebundenen Geräte (zum Beispiel Steuerungen, Bediengeräte) und die darauf installierte Software. Auf dieser Basis werden im zweiten Schritt Schwachstellen von Netzwerkgeräten identifiziert, indem die Geräte auf bekannte Sicherheitslücken (Common Vulnerabilities and Exposures/CVE) untersucht werden. Zugleich werden weitere, durch unsichere Konfiguration verursachte Sicherheitslücken erkannt und behoben. Im dritten Schritt lässt sich dann das Kommunikationsverhalten der Geräte kontinuierlich überwachen.

Kontinuierliches Überwachen der Kommunikation

Das System erfasst die Daten passiv und hat damit keinen Einfluss auf die Produktion. Dabei unterstützt es die Produkte aller gängigen Automatisierungshersteller und deren Protokolle. Erkennt die Lösung Abweichungen, die etwa auf unerlaubtes Eindringen oder Fehlkonfigurationen hinweisen, sendet es automatisch eine Alarmmeldung an die Anwender. Je nach Kritikalität können die Vorfälle von Experten vor Ort oder externen Security-Spezialisten gemanagt werden.

Bei der Anomalie-Erkennung kommt laut Siemens auch künstliche Intelligenz (AI, Artificial Intelligence) zum Einsatz. So erfolge beispielsweise die Konfiguration des Systems selbstlernend: Die Lösung analysiert den Datenverkehr im Netzwerk automatisch in einer „Anlernphase“, um später Anomalien, die beispielsweise auf das Eindringen oder den Datenklau durch Hacker hinweisen, zu erkennen. Der Hersteller sieht seine „Industrial Anomaly Detection“ als wichtige Ergänzung seines Industrial-Security-Angebot an, das auf dem ganzheitlichen Defense-in-Depth-Konzept basiert.

(ID:45242794)