Gefahr erkannt, Gefahr gebannt

Eine IT-Security-Lösung muss sämtliche Infrastruktur-Komponenten und den gesamten Datenverkehr nonstop überwachen. Dieser Artikel zeigt, wie die Arbeit eines Security Operation Centers (SOC) das IT-Personal dabei unterstützt, Cyberangriffe auf Industrial Control Systems (ICS) frühzeitig zu erkennen und die Risiken von Schadsoftware deutlich zu minimieren.
Das Security Operation Center (SOC) koordiniert Technologien, Prozesse und menschliche Security-Expertise zu einem ganzheitlichen Sicherheitsansatz
Laut dem aktuellen BSI-Bericht (Bundesamt für Sicherheit in der Informationstechnik) zur Lage der IT-Sicherheit in Deutschland werden täglich ca. 380.000 neue Schadprogrammvarianten gesichtet. Diese gelangen oft über einzelne Rechner ins Unternehmensnetzwerk, häufig durch schädliche E-Mail-Anhänge, Drive-by-Download-Infizierungen sowie Links auf Schadprogramme, die immer öfter in Werbebannern platziert sind (Malvertising). Besonders der jüngste Ransomware-Vorfall (Not)Petya hat noch einen weiterführenden Infektionsweg offenbart: Die Übertragung von Schadsoftware aus dem Unternehmensnetzwerk über nicht ausreichend gesicherte Schnittstellen in industrielle Umgebungen. Derartigen Angriffsszenarien wirkt beispielsweise die Norm IEC 62443 (IT-Security für Anlagen der Steuer- und Leittechnik) entgegen. Der Sicherheitsstandard ist speziell auf die Anforderungen moderner Produktionsumgebungen zugeschnitten. Das zugrundeliegende Security-Konzept beruht im Wesentlichen auf dem Defense-in-Depth-Ansatz: Funktionseinheiten wie Internetübergangspunkt, vorgelagerte Sicherheitszonen, Office-IT und Feldbusebene werden dabei in Zonen zusammengefasst und durch industrietaugliche Firewalls segmentiert.

Externe Zugriffe automatisch administrieren und sichern

Auch undokumentierte und unzureichend geschützte Direktverbindungen zum Internet sind ein grundlegendes Sicherheitsrisiko. So listet das BSI in seinen Top 10 der Bedrohungen für Industrial Control Systems (ICS) mit dem Internet verbundene Steuerungskomponenten auf Platz 6. Zu den sicherheitskritischen Faktoren zählen ebenso der Einbruch über Fernwartungszugänge (Platz 4) sowie die Kompromittierung von Smartphones im Produktionsumfeld (Platz 10). Gefragt sind also Sicherheitsansätze, die sich nicht nur auf das lokale Netzwerk beschränken, sondern auch Fernzugriffe beispielsweise von Servicetechnikern absichern und kontrollieren. Denkbar sind hier zentrale Wartungsportale, die dem direkten Netzwerkzugang vorgeschaltet sind. Externe Zugriffe auf das Wartungsportal sind dann nur über eine verschlüsselte Verbindung möglich und erfordern eine Authentifizierung gegenüber einem zentralen Verzeichnisdienst. Das heißt: Soll ein bestimmter Wartungsauftrag ausgeführt werden, beantragt der externe Dienstleister zunächst einen Zugang über das Portal.
Lade... Lade...
×