Industrieanlagen gegen Cyberangriffe absichern

Produktionsanlagen und industrielle Kontrollsysteme (ICS) im Fokus von Attacken

 

DriveLock in der Praxis

Use Case | Industrie 4.0

 

Produktion im Zeitalter Industrie 4.0 als Opfer von Cyberattacken.

Angriffe auf Produktionsanlagen, Kritische Infrastrukturen oder Geräte, die nicht zur klassischen Büro-IT, sondern zu operativen Technologien gehören, sind keine Zukunftsmusik mehr, sondern Realität im Unternehmensalltag.  Industrielle Kontrollsysteme (ICS) oder SCADA-Systeme stehen hier besonders im Fokus. Industrielle Cybersicherheit ist eine Notwendigkeit geworden. Wir helfen Ihnen dabei.

"Industrielle Cybersicherheit ist der Prozess, industrielle Kontrollsysteme (ICS) vor beabsichtigten oder unbeabsichtigten Cyberbedrohungen zu schützen, die Menschen, Prozesse oder Geräte oder die Umwelt stören oder schädigen".

Cyberangriffe auf ICS sind auf dem Vormarsch

Verschmelzung IT und OT (Operational Technology) macht verwundbar

Die Produktions-IT ist nicht mehr isoliert von der internen IT. Das hat Gründe:

Produktionsanlagen werden zunehmend auch von Außen gesteuert und überwacht: z.B. wenn Techniker über einen Remote-Wartungszugang auf Produktionsanlagen zugreifen oder die Firmenleitung tagesaktuelle Reportings aus der Produktion wünscht.

Das Stichwort IIoT (Industrial Internet of Things) beschreibt eine intelligente „Smart Factory“, die vernetzt ist, Daten produziert und verarbeitet und über Endgeräte gesteuert werden kann.

Möglich wird dies durch den Zusammenschluss von IT und OT, um eine permanente Erreichbarkeit von Fertigungs- bzw. Produktionssteuerungsanlagen von Außen zu gewährleisten. Diese Netze können nun von "Außen" angegriffen werden.

Hinzu kommt: Klassische Produktionsanlagen haben Laufzeiten von 7 bis 10 Jahren. Vielfach sind deren Betriebssysteme veraltet, denn es werden keine Sicherheitsupdates mehr bereitgestellt. Außerdem behindert das Einspielen von Updates den Produktionsablauf. Angreifer haben somit leichtes Spiel.

Besondere Aufmerksamkeit erlangten in der Vergangenheit bei Attacken auf die Industrie zwei Angriffe:

  • der Computerwurm Stuxnet - ursprünglich gegen das iranische Atomprogramm eingesetzt - befiel Steuerungsanlagen und schädigte im Zuge seiner Verbreitung auch andere Industrieunternehmen.

  • der Trojaner Industroyer, der das ukrainische Stromnetz lahm legte. Der Schadcode beherrscht mehrere Kommunikationsprotokolle, die von SCADA (Supervisory Control And Data Acquisition)-Anlagen verwendet werden.

Typische Angriffsszenarien für ICS Systeme sind:

  • Einschleusen von Schadsoftware (u.a. Viren, Ransomware, RAT-Tools) über Wechseldatenträger und externe Hardware, z.B. BadUSB-Geräte
  • Infektion mit Schadsoftware über Internet und Intranet
  • Menschliches Fehlverhalten & Sabotage durch Insider
  • Social Engineering / Phishing

 

Warum ist DriveLock der richtige Partner?

Erfahren Sie mehr zur Mitarbeitersensibilisierung und Applikationskontrolle durch intelligentes Whitelisting in unserem kostenlosen Whitepaper.

Whitepaper herunterladen

Applikationskontrolle durch vorrausschauendes Whitelisting und Förderung des Sicherheitsbewußtseins

 

 

 

Warum ist der Industriesektor besonders interessant für Angriffe?

  • Der Stillstand von Produktionsprozessen aufgrund einer Attacke verursacht hohe Kosten. Hacker nutzen dies für Angriffe mit Erpressungssoftware aus.
  • Veraltete Systeme sind guter und leichter Nährboden für Zero Day-Attacken, Angriffe durch nicht geschlossene Sicherheitslücken in der Software.
  • Unkenntnis der Produktions-Mitarbeiter über Angriffsmöglichkeiten und zu wenig IT-Fachkräfte

Industrial Security wird in Zeiten von Hackerangriffen auf Produktionsanlagen, ICS-Systeme und SCADA-Systeme immer wichtiger

Welche Anforderungen bestehen bzgl. OT und Sicherheit?

Gerätekontrolle bzw. Zugriffskontrolle auf externe Speichermedien (z.B. USB Sticks), Laufwerke und Geräte
Prävention und Reaktionsmöglichkeit auf Angriffe über Internet, Intranet und E-Mails

Betriebssicherheit ("Safety") und Verfügbarkeit
Verhinderung menschlicher Fehler und menschlicher Unachtsamkeit
Überwachung und Protokollierung jeglicher Zugriffe und Änderungen in Systemen

Wie kann man mit DriveLock effektiv vorbeugen?

  • Restriktive Nutzung von Wechseldatenträgern und externen Geräten

    Device Control von DriveLock:

    Datenträgerkontrolle und Datenflusskontrolle (nur authorisierte Verwendung von externen Medien wie z.B. USB Sticks). Hierbei ist auch eine Zwangsverschlüsselung der auf den externen Datenträger geschriebenen Daten möglich.

    Ebenso unterstützt DriveLock eine vollständige Auditierung der Verwendung von externen Datenträgern sowie die Protokollierung des Datenflusses bis hin zu Schattenkopien.

  • Schutz vor Schadsoftware: Prävention & Reaktion

    Application Control von DriveLock:

    Angriffsabwehr durch Applikationskontrolle mit  intelligentem Whitelisting, d.h einer Positivliste zulässiger Software-Applikationen, die dynamisch erweiterbar ist.

    Die Kombination von Geräte- und Applikationskontrolle schützt effektiv den Fertigungsprozess. Dabei werden alle Schnittstellen der an der Fertigung beteiligten PCs überwacht bzw. gesperrt. Dasselbe gilt für die eingesetzten Applikationen. Der Machine Learning Algorithmus verwaltet automatisch die lokale Whitelist und kontrolliert die Ausführung von Applikationen.

    Dennoch müssen Service Techniker in der Lage sein, Software Updates z.B. über die USB Schnittstellen der Geräte einzuspielen. Einfach den USB Stick einstecken und die Nutzungsrichtlinien akzeptieren. Jetzt können in einem definierten Zeitfenster Anwendungen in der Produktionslinie installiert werden. Machine Learning stellt sicher, dass alle ausgeführten und kopierten Dateien in die Whitelist aufgenommen werden.

  • Sensibilisierung und Mitarbeiterschulung

    Security Education von DriveLock:

    Online Lessons und interaktive Trainings zur Sensibilisierung der Mitarbeiter, z.B. fingierte Mails bzw. Fishing-Attacken durch Social Engineering

  • Überwachung und Protokollierung sowie Erkennung von Sicherheitsvorfällen

    Analytics & Forensics von DriveLock:

    Ergänzend zu den Schutzmaßnahmen bietet das DriveLock Control Center ein ausführliches Reporting. Somit sind Sie in der Lage – sollte ein Angriff eintreten – festzustellen, was und wer konkret betroffen ist.

    Im Rahmen der DSGVO haben Sie nämlich eine Meldepflicht für Cyber-Vorfälle. Hier macht es einen deutlichen Unterschied, ob Sie die Allgemeinheit über einen Angriff pauschal informieren müssen, oder gezielt Kunden und Geschäftspartner detailliert informieren können - und in der Lage sind zu benennen, wer und was konkret betroffen war.

     

    Endpoint Detection & Response EDR von DriveLock:

    Erkennung und Prognose von Sicherheitsvorfällen, Reaktion auf Vorfälle und Bereinigung, Überwachung von Endgeräten

 

Haben Sie Fragen zu unseren DriveLock Lösungen für den Industriesektor

Schreiben Sie uns - wir beantworten gerne Ihre Fragen.