:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheitsrisiken im Industrial Internet of Things Gefahren für Industrial Control Systems (ICS)
Untersuchungen schätzen, dass eine Steigerung der Produktionseffizienz von 30 Prozent durch smarte Fabrikanlagen möglich ist. Es ist also sehr wahrscheinlich, dass das Internet der Dinge (IoT) im Produktions- und Fertigungsumfeld einen besonders starken Einfluss erlangen wird. Die Vernetzung hat außerdem schon längst begonnen und wird auch weiter zunehmen. Problematisch ist jedoch, dass die Sicherheitsvorkehrungen für Industrial Control Systems (ICS) wie Supervisory Control and Data Acquisition (SCADA) oft vollkommen unzureichend sind.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Aufgrund der fatalen Sicherheitslage hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Analyse zu den zehn größten Gefahren für ICS veröffentlicht. Darin stellt das Bundesamt fest, dass die Anzahl der Angriffe in diesem Jahr deutlich gestiegen ist und sich die Organisationen der Branche dringend der Thematik annehmen sollten.
Viele der Gefahrenmuster, die sich jetzt im Industrial Internet of Things (IIoT) sind bereits aus anderen Sektoren bekannt. Es ist keine Überraschung, dass Social Engineering, Phishing, Malware über Wechseldatenträger und Viren aus dem Internet und Intranet die ersten drei Plätze der größten Gefahren einnehmen. Auch die Absicherung von Fernwartungszugängen und menschliches Versagen / Sabotage sind häufige Ursachen für Sicherheitsprobleme.
Grundsätzlich ähneln sich Produktionsnetzwerke und Office-Umgebungen immer stärker je weiter die digitale Integration voranschreitet. In diesem Falle spricht man vom Industrial Internet of Things (IIoT). Dennoch bleiben fundamentale Unterschiede die sich drastisch auf die IT-Sicherheit auswirken. So besitzen ICS beispielsweise keine eigenen Schutzmechanismen, welche auch im Nachgang wesentlich schwieriger zu integrieren sind, da sie auf keinen Fall in den Produktionskreislauf eingreifen dürfen. Viele Anlagen nutzen zwar IT-Standardkomponenten, diese wurden aber ursprünglich als Insellösungen konzipiert – die nachträgliche Installation von Updates und Patchs ist oft nicht gegeben.
Steuerungselemente sind keine kurzfristige Anschaffung, sondern werden über einen langen Zeitraum im Unternehmen genutzt und finanziert. Ein Austausch wäre kostspielig und ist selten finanziell abbildbar. Der Einsatz von Dienstleistern bei der Wartung und dem Betrieb sind ebenfalls weit verbreitet, daher haben häufig mehrere externe Angestellte Zugang auf die IT. Zusätzlich sind Folgeattacken möglich, nachdem in einem Primärangriff Malware installiert wurde.
Angreifer können nach einem Eindringen beispielsweise Zugangsdaten zur Rechteerweiterung auslesen. Da Schutzmechanismen in internen Systemen oft nicht entsprechend ausgelegt sind, warnt das BSI vor Innentätern. Autorisierung und Authentifizierung sind in der Regel nicht entsprechend ausgelegt und erlauben Wörterbuch- und Brute Force-Angriffe.
Das BSI spricht sich für Defense-in-depth-Konzepte aus, die auch nach einer Attacke Folgeangriffe, wie nicht-autorisierte Rechteerweiterung, unterbinden sollen. Besonders Angriffe mit Schadcodes werden ausgefeilter, können aber mit einem entsprechend abgestimmten Sicherheitsansatz unterbunden werden. Dies ist dringend zu empfehlen, denn Datenabflüsse bedeuten speziell für deutsche Unternehmen eine nicht-reproduzierbare Entwendung von intellektuellem Eigentum. Zusätzlich besteht die Gefahr der dauerhaften Anlagebeschädigung und eine Minderung der Erzeugnisqualität.
Umfassender Schutz für ICS und SCADA mit PAM
Privileged User and Access Management (PAM) eignet sich hervorragend zum Schutz von Industrieanlagen und erfüllt gleich mehrere der BSI-Empfehlungen. Es funktioniert als demilitarisierte Zone (DMZ), inkludiert aber auch weitere Sicherheitsmechanismen. Zur Liste der Maßnahmen gehört beispielsweise die Begrenzung von Anmeldeversuchen mit ungültigem Kennworten; Neu-Authentifizierungen nach mehr als 15 Minuten Inaktivität; Konfigurationseinstellungen, die starke Kennwörter gewährleisten und eine sichere Authentifizierung (zum Beispiel mittels KERBEROS, RADIUS, LDAP, LDAP-AP, LDAPS und LDAPS-AD).
Zudem eignet sich PAM für die Absicherung von ICS und den Zugriffsrechten von Dienstleistern. Die Rechteverwaltung ist aufwendig und unübersichtlich für die IT-Administratoren. Tools für das Benutzerkonto-Management mit erhöhter Sicherheitsfreigabe stärken das Schutzniveau und die Reaktionsfähigkeit auf Unregelmäßigkeiten und Angriffe. Zusätzlich erleichtern sie die Erstellung von Reports und Audits.
Ein Blick in die Praxis öffnet meist die Augen: Neben den beschriebenen Unterschieden zur normalen Büro-IT ist auch die Zugriffsverwaltung im Industriesektor oft nur unzureichend geregelt. Zwar werden häufig höhere Budgets für Sicherheitstools zur Abwehr von Malware bereitgestellt, trotzdem werden Accounts mit umfangreichen Zugriffsrechten immer wieder geteilt und nicht richtig verwaltet. Sensible Daten können beispielsweise ohne Probleme durch ehemalige Angestellte kopiert werden – vollkommen anonym.
Fazit
Die Bedrohungslandschaft hat sich grundlegend gewandelt, und genau deshalb dürfen Organisationen die traditionelle Verwaltungsarbeit ihrer IT-Angestellten nicht zu kurz kommen lassen. Immer mehr Sicherheitstools und Angriffsvektoren bedürfen der Aufmerksamkeit von IT-Abteilungen. Daher braucht es Lösungen die das technische Personal gezielt entlasten.
PAM ist ein modernes Tool, dass die Arbeit von Administratoren erleichtert, da es die Verwaltung besonders kritischer Accounts klar strukturiert und den Schutz nachhaltig verbessert. Durch die leichte Implementierung ohne Agenten ist PAM ideal für die Industrie und Betreiber kritischer Infrastruktur.
* Markus Westphal ist Director Central Eastern Europe bei Wallix.
(ID:44439712)
:quality(80)/images.vogel.de/vogelonline/bdb/1896200/1896232/original.jpg "Security by Design ist ein Designansatz in der Hard- und Softwareentwicklung, der schon im Entwicklungsprozess die Berücksichtigung der Sicherheit verlangt. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940949/original.jpg "Die Sicherheit in einer Windows-basierten Infrastruktur beginnt mit der Sicherung des Active Directory. (Weissblick - stock.adobe.com)")