Cyber-Attacken frühzeitig erkennen

Der Feind in meinem Netzwerk

| Autor / Redakteur: Klaus Mochalski* / Peter Schmitz

Anlagenverfügbarkeit und Cybersicherheit wird mit zunehmender Vernetzung zur Herausforderung für die Prozessindus­trie.
Anlagenverfügbarkeit und Cybersicherheit wird mit zunehmender Vernetzung zur Herausforderung für die Prozessindus­trie. (Bild: ©i-picture - stock.adobe.com)

Industrie 4.0 fordert von der Prozessindustrie zunehmende Vernetzung, macht aber Unternehmen anfälliger gegen Cyperattacken. Eine automatische Anomalie­erkennung macht Steuer­netze transparent und schützt vor Störungen sowie Anlagenausfällen in Indus­trie-4.0-Netzwerken.

Die Einführung von Prozess­industrie 4.0 in die Produktion birgt zwei Herausforderungen: Zum einen wird die Infrastruktur der Produktionsprozesse komplexer. Mehr als 50 verschiedene Komponenten und Endgeräte verschiedenster Hersteller finden sich heute oft in einer einzigen Fertigungszelle. Zudem werden Kommunikationsstrukturen – räumlich wie zeitlich – selten kapazitätsabhängig reglementiert. Diese Komplexität stellt die Performanz des Steuernetzes und die Produktivität in Frage, vor allem in der Prozess­industrie, die von Echtzeitabläufen geprägt ist. Selbst kleinste Störungen und Verzögerungen können hier zu Produktionsausfällen führen.

Zum anderen wird das Steuernetz durch die Integration in die Unternehmens-IT für Cyberangriffe anfällig. Die Abflachung der klassischen Automationspyramide bringt das Steuernetz näher an die externen Access Points. Die nachteiligen Auswirkungen offenbarten sich dieses Jahr gleich mehrfach mit Malware-Angriffen wie Wannacry, Industroyer und Notpetya, die selbst nur den Anfang der so genannten Advanced Persistent Threats darstellen.

Beide Herausforderungen wirken direkt auf die Anlagenverfügbarkeit und Produktivität eines Unternehmens. So musste der US-Pharmakonzern Merck knapp einen Monat nach der Notpetya-Attacke eingestehen, dass die Massenfertigung noch nicht vollständig wiederhergestellt war. Wie soll die Prozessindustrie mit diesen neuen Herausforderungen umgehen?

Mehr Transparenz – mehr Produktivität

Unternehmen müssen jederzeit wissen, wer mit wem im Steuernetz kommuniziert und welche konkreten Abfragen und Befehle ausgetauscht werden. Hinzu kommt ein Monitoring des Datenvolumens über die Zeit. Dafür bedarf es einer vollen Transparenz des Steuernetzes in Form eines Network Mapping, das sowohl asset- als auch eventbasiert erfolgt. Wer weiß, wer im Steuernetz aktiv ist und was genau kommuniziert wird, kann auch sicher gehen, dass alles nach Plan läuft.

Zusätzlich darf sich bei der Überwachung eines Steuernetzes nicht auf bereits bekannte Gefährdungen beschränkt werden. Vielmehr müssen alle Abweichungen von der Standardkommunikation – so genannte Anomalien – sichtbar gemacht und gemeldet werden. Diese umfassen Advanced Persistent Threats genauso wie Netzwerkprobleme, oder Kommunikationsfehler. Für Administratoren eines Steuernetzes sind in diesem Rahmen zwei Dinge relevant:

  • Alle Anomalien werden zuverlässig und in Echtzeit erkannt.
  • Es ist ersichtlich, welche Anomalie produktionsrelevant ist und zu Störungen führen kann.

Beides wird durch eine automatische Anomalieerkennung für vernetzte Industrieanlagen auf Basis der Deep-Packet-Inspection-Technologie realisiert. So analysiert z.B. die Anomalieerkennung von Rhebo Industrial Protector binnen weniger Minuten die gesamte Steuernetzstruktur und stellt detailliert alle Daten zu den Netzteilnehmern und Kommunikationspaketen bereit. Mit dem Wissen über Komponenten, Verbindungen und Datenpakete kann im ersten Schritt ein umfassendes Network Mapping umgesetzt werden. Im laufenden Betrieb meldet die Anomalieerkennung in Echtzeit und rückwirkungsfrei fehlerhafte, redundante, konfliktbehaftete oder sicherheitsrelevante Komponenten, Konfigurationen und Datenpakete. Dabei werden nicht nur bereits bekannte Gefährdungen und Fehler berücksichtigt. Viel wichtiger: Auch bisher nicht bekannte Anomalien werden sichtbar gemacht.

Anomalieerkennung meldet verdächtige Vorfälle im Steuernetz

Für ein effektives Management der Anomaliemeldungen, erhalten die einzelnen Meldungen automatisch eine zuvor definierte Risikobewertung (Risk Score). Auf dem Display der Anomalieerkennung kann der Administrator die Meldungen z.B. nach Risk Score filtern und gezielt überprüfen. Das erlaubt den Administratoren das Priorisieren der Anomalien nach Relevanz und Handlungsbedarf. Da auch die Priorisierung in Echtzeit erfolgt, können Maßnahmen schnellstmöglich ergriffen werden. Bei Bedarf können die Meldungen über eine universelle Schnittstelle an bestehende Steuerungssysteme übermittelt werden.

Die Anomalieerkennung von Rhebo Industrial Protector fängt gleich mehrere Fliegen mit einer Klappe: Sie schafft eine vollständige Transparenz im Steuernetz. Zweitens meldet sie jegliche verdächtige Vorfälle im Steuernetz – ganz gleich, ob Cyberangriff, Netzwerkproblematik oder Änderung im Kommunikationsverhalten aufgrund von Manipulation, Netzwerk- oder Anlagenfehlern. Schlussendlich priorisiert sie mit einer individuellen Risikobewertung Anomalien. Unternehmen erhalten so die Souveränität über ihr Steuernetz und können in Echtzeit die Anlagenverfügbarkeit und Produktivität sicherstellen.

Weitere interessante Beitrage zu diesem Thema finden Sie auf der Prozessindustrie 4.0 Landingpage.

Dieser Beitrag erschien zuerst auf unserem Schwesterportal PROCESS. Verantwortliche Redakteurin: Anke Geipel-Kern.

* Der Autor ist Geschäftsführer der Rhebo GmbH, Leipzig.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44984107 / Internet of Things)