Das Security Operation Center (SOC) koordiniert Technologien, Prozesse und menschliche Security-Expertise zu
einem ganzheitlichen Sicherheitsansatz
Laut dem aktuellen BSI-Bericht (Bundesamt für Sicherheit in der Informationstechnik) zur Lage der IT-Sicherheit
in Deutschland werden täglich ca. 380.000 neue Schadprogrammvarianten gesichtet. Diese gelangen oft über
einzelne Rechner ins Unternehmensnetzwerk, häufig durch schädliche E-Mail-Anhänge,
Drive-by-Download-Infizierungen sowie Links auf Schadprogramme, die immer öfter in Werbebannern platziert sind
(Malvertising). Besonders der jüngste Ransomware-Vorfall (Not)Petya hat noch einen weiterführenden Infektionsweg
offenbart: Die Übertragung von Schadsoftware aus dem Unternehmensnetzwerk über nicht ausreichend gesicherte
Schnittstellen in industrielle Umgebungen.
Derartigen Angriffsszenarien wirkt beispielsweise die Norm IEC 62443 (IT-Security für Anlagen der Steuer- und
Leittechnik) entgegen. Der Sicherheitsstandard ist speziell auf die Anforderungen moderner Produktionsumgebungen
zugeschnitten. Das zugrundeliegende Security-Konzept beruht im Wesentlichen auf dem Defense-in-Depth-Ansatz:
Funktionseinheiten wie Internetübergangspunkt, vorgelagerte Sicherheitszonen, Office-IT und Feldbusebene werden
dabei in Zonen zusammengefasst und durch industrietaugliche Firewalls segmentiert.
Externe Zugriffe automatisch administrieren und sichern
Auch undokumentierte und unzureichend geschützte Direktverbindungen zum Internet sind ein grundlegendes
Sicherheitsrisiko. So listet das BSI in seinen Top 10 der Bedrohungen für Industrial Control Systems (ICS) mit
dem Internet verbundene Steuerungskomponenten auf Platz 6. Zu den sicherheitskritischen Faktoren zählen ebenso
der Einbruch über Fernwartungszugänge (Platz 4) sowie die Kompromittierung von Smartphones im Produktionsumfeld
(Platz 10). Gefragt sind also Sicherheitsansätze, die sich nicht nur auf das lokale Netzwerk beschränken,
sondern auch Fernzugriffe beispielsweise von Servicetechnikern absichern und kontrollieren. Denkbar sind hier
zentrale Wartungsportale, die dem direkten Netzwerkzugang vorgeschaltet sind. Externe Zugriffe auf das
Wartungsportal sind dann nur über eine verschlüsselte Verbindung möglich und erfordern eine Authentifizierung
gegenüber einem zentralen Verzeichnisdienst. Das heißt: Soll ein bestimmter Wartungsauftrag ausgeführt werden,
beantragt der externe Dienstleister zunächst einen Zugang über das Portal.