Gegen böswillige Angriffe auf die IT-Strukturen von Unternehmen hilft ein System zur Anomaly Detection (deutsch: Anomalieerkennung). Es dient zur Erkennung ungewöhnlicher Verhaltensmuster im Unternehmen.
Foto: opolja - stock.adobe.com

IT-Sicherheit

Ungewöhnliche Verhaltensmuster im Unternehmen erkennen

Unternehmen, die ihre Geschäftsprozesse erfolgreich digitalisieren möchten, brauchen eine Sicherheitslösung, die ungewöhnliche Verhaltensmuster erkennt.

Die Digitalisierung von Geschäftsprozessen bringt für Unternehmen einige Risiken mit sich, denen man unter anderem durch eine Erkennung von ungewöhnlichen Verhaltensmustern in den IT-Strukturen (Anomalieerkennung) entgegenwirken kann. Da die Netzwerke von Kritischen Infrastrukturen (Kritis) im Laufe der Zeit durch hinzukommende IT-Komponenten immer komplexer werden, haben Hacker mehr denn je leichtes Spiel. So ist Schadsoftware, die beispielsweise ganze Energieanlagen lahmlegen kann, längst keine Ausnahme mehr und der Bedarf an strategischer Cybersecurity steigt. Im Idealfall behindern die eingesetzten Lösungen laufende Prozesse nicht und melden jede Störung zuverlässig und umgehend.

Attacken auf sensible IT-Systeme, das Stromnetz und andere Infrastrukturen

Immer wieder kommt es zu gezielten Attacken auf sensible IT-Systeme, auf das Stromnetz und andere Infrastrukturen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert eine kontinuierliche Zunahme solcher Attacken. Das zeigt mehr als deutlich, dass dringender Handlungsbedarf für einen verlässlichen Schutz von computergestützten Arbeitsplätzen und Unternehmensabläufen besteht. Kritis-Betreiber setzen Industrial Control Systems (ICS) ein, um ihre technischen Prozesse zu steuern. Ein solches System ist etwa Scada (Supervisory Control and Data Acquisition), mit dem übergeordnete Steuerungsdaten gesammelt werden können. Angreifer besitzen detailliertes Know-how über solche Systeme und ihre Schwachstellen und nutzen dieses Wissen für ihre Zwecke aus.

Durchdachtes Sicherheitskonzept bindet Werkzeuge der Anomalieerkennung ein

Gegen solche Angriffe hilft ein System zur Anomaly Detection (deutsch: Anomalieerkennung). Ob ein Netzwerkgerät plötzlich ein anderes Kommunikationsprotokoll nutzt, oder Netzwerkverkehr ungeplant eine neue Route nimmt – ein derartiges System erkennt solche Vorgänge frühzeitig und alarmiert die entsprechenden Stellen. Um eine Anomalie, also eine Normabweichung beziehungsweise ein unerwartetes Verhalten überhaupt als solche zu identifizieren, muss zuerst einmal der Normalzustand erfasst werden. Dazu analysiert das System die IT-Architektur und lernt im Hintergrund.

Nach Abschluss dieser „Lernphase“ sind Lösungen zur Anomalieerkennung in der Lage, das Verhalten einer Schadsoftware als ungewöhnlich einzustufen. Allein der Versuch, einen Treiber zu installieren beziehungsweise zu manipulieren oder einen unberechtigten Zugang zum Internet herzustellen, etwa um weitere Komponenten einer Schadsoftware nachzuladen, wird als Anomalie erkannt. Neben der Angriffserkennung bieten solche Systeme einen weiteren entscheidenden Vorteil: Durch sie lassen sich alle Teilnehmer der Netzwerkkommunikation identifizieren und per Monitoring abbilden. Ein großer Zusatznutzen für gewachsene Systemlandschaften, in denen viele Assets nicht als solche registriert sind.

Zusätzlich bereitet die Lösung Logfiles automatisch auf, alarmiert bei Auffälligkeiten und entlastet so Administratoren in IT-Abteilungen, die ihre Kapazitäten für andere Aufgaben einsetzen können. Als Ergänzung zu klassischen Sicherheitsmaßnahmen bietet ein solches System einen deutlichen Mehrwert für die IT-Sicherheitslandschaft und trägt dazu bei, das Security-Level maßgeblich zu verbessern.

Intelligente IT-Überwachungslösung für Unternehmen

Die Securitylösung Silentdefense von Forescout (ehemals Securitymatters) ist eine solche intelligente Überwachungslösung, die sowohl passiv als auch aktiv eingesetzt werden kann. Sie beobachtet das Verhalten von Netzwerknutzern und angeschlossenen Systemen, um Prozessanomalien, Maschinenstatus, unsicheren Zugriff und potenziell schädliche Aktivitäten zu erkennen. Grundlage ist eine detaillierte Bestandsaufnahme aller Komponenten von Infrastrukturen. Silentdefense basiert auf patentierten maschinellen Lernfunktionen zur Überwachung von ICS-Netzwerken, -Protokollen und -Semantik. Der Systemintegrator Telent GmbH – ein Unternehmen der Euromicron Gruppe, und dessen auf Cybersicherheit spezialisierte Tochter Koramis setzen diese Lösung ein, um den gestiegenen Anforderungen an Security Rechnung zu tragen. Als Spezialist für Planung, Aufbau und Betrieb von ITK-Systemen im Bereich Kritis verfügt telent über umfassende Praxiserfahrung. Koramis bringt darüber hinaus spezialisierte Expertise für ganzheitliche Lösungen rund um Cybersecurity, Automatisierungs-, Prozess- und Netzleittechnik mit.

Anomalien und ungewöhnliche Verhaltensmuster erkennen

Grundvoraussetzung für die erfolgreiche Überwachung ist die Erfassung des Netzwerkzustands und aller Geräte im Netzwerk sowie die Analyse der Kommunikationsflüsse. Sensoren an Schnittstellen speichern Informationen, Parameter und Werte und lernen so Verhaltensmuster, die per Networkmap festgehalten werden. Dabei spürt die Lösung Netzwerk-, Betriebs- und Sicherheitsprobleme sowie Bedrohungen „out of the box“ auf, wie unerlaubte Zugriffe und Datenflüsse, Manipulations- und Zugangsversuche von außen oder Fehlkonfigurationen von Firewall- und Netzkomponenten. Darüber hinaus informiert es über unsichere Protokolle, falsche Messergebnisse, Verbindungsprobleme zwischen Geräten, Softwarebugs, instabile Prozesse, nicht eingehaltene Protokoll-Spezifikation, Anomalien oder Stillstand der Schaltanlagen sowie unkontrollierte Regelschalterbedienung.

Die IT-Sicherheitslösung sollte einfach zu integrieren und skalieren sein

Ein weiterer Vorteil der Lösung ist die Kompatibilität mit mehr als 120 Protokollen. Sie umfasst zudem eine umfangreiche Bibliothek für industrielle Bedrohungen (Threats) mit über 2.100 ICS-spezifischen Prüfungen und stellt zeitnah Updates zu neuen Bedrohungen bereit. Sie lässt sich nahtlos in das gesamte Ökosystem eines Unternehmens integrieren, einschließlich der Lösungen für Security Information and Event Management (SIEM). Die Lösung ist skalierbar und kann ohne Neuinstallation um weitere benutzerdefinierte Monitoring- oder Analysefunktionen erweitert werden. Die Auswertung erfolgt schließlich über eine Web-Oberfläche. Mittels eines konfigurierbaren Dashboards werden Nutzern Echtzeit- und forensische Netzwerkanalysen bedienungsfreundlich angezeigt.

Jakob Schmidt, Coordinator Awareness, Koramis GmbH & Giuseppe D‘Amicis, Head of Marketing und Mitglied des Security Incident Response Teams der Telent GmbH.

Das ITSiG 2.0 soll die Cybersecurity für Kritis erhöhen.
Foto: Telent

IT-Sicherheit

Cybersecurity für Kritis

Tritt im Sinne einer erhöhten Cybersecurity das ITSIG in Kraft, müssen Betreiber Kritischer Infrastrukturen (Kritis) ihre Systeme maximal absichern.

Netzwerke für kritische Infrastrukturen

Lebensadern bestmöglich schützen

Spätestens seit dem globalen Hackerangriff mit der Schadsoftware „WannaCry“ im Mai 2017 steht fest: Verfügbarkeit und Integrität von Daten in Organisationen, Firmen und Behörden müssen mit einem Höchstmaß an Sicherheit geschützt werden. Dafür sind maßgeschneiderte Lösungen notwendig.

Foto: Telent Group

Kritische Infrastrukturen

Risiken erkennen, Maßnahmen ergreifen

Informationstechnik durchdringt alle Bereiche von Wirtschaft und Gesellschaft. Der Ausfall zentraler Hard- oder Software oder ein Angriff von Hackern kann verheerende Folgen haben. Dies gilt insbesondere für Kritische Infrastrukturen (Kritis).

Auch Kleine und mittelständische Unternehmen (KMU) verfügen inzwischen vielfach über IoT-basierte Systeme, und geraten so zunehmend in den Fokus von Cyberattacken.
Foto: Telent GmbH

IoT

Wie Sie Ihre IoT-Systeme in der Produktion sichern

IoT-Systeme in der industriellen Produktion geraten zunehmend ins Visier krimineller Hacker. Wie kann man die Fertigung und sein Unternehmen schützen?

Special Zutrittskontrolle: Informieren Sie sich rund um den Themenbereich der Zutrittskontrolle

×