LogRhythm kommentiert BSI Lagebericht

Downloads

BSI-Bericht: Viele Unternehmen unterschätzen Cyber-Gefahren durch Industrie 4.0

Der aktuelle Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zum Thema industrielle Sicherheitsberatung zeigt deutlich: Viele Hersteller haben in punkto Fabrikautomation und Prozesssteuerung bislang lediglich die Funktion ihrer Anlagen und Maschinen im Blick. Wichtige Aspekte der Cyber-Sicherheit für diese Industrial Control Systems, kurz: ICS, bleiben besonders bei kleinen und mittelständischen Unternehmen meist unbeachtet. Das ist fatal: Die immer weiter reichende Vernetzung der Fertigungstechnik mit dem IT-Unternehmensnetzwerk – Stichwort: Smart Factory – bietet zwar Potenzial für mehr Wandlungsfähigkeit und Ressourceneffizienz der Unternehmern, erhöht aber auch die Gefahr von Cyber-Angriffen auf die Produktionsanlagen. Mögliche Folgen sind beispielsweise Industriespionage, Manipulation, Betrug und Erpressung. Diese Gefahr ist real: Vorfälle häufen sich, in denen Cyber-Kriminelle zum Beispiel über das Internet in Produktions- und Steuerungsnetze eindringen.

Roland Messmer, Regional Director – Central EMEA von LogRhythm, kommentiert:

Roland Messmer, Regional Director – Central EMEA von LogRhythm

„Das BSI hat typische Schwachstellen und Mängel identifiziert, die in vielen Firmen zu einem insgesamt niedrigen Sicherheitsniveau führen. Dazu zählen in der Organisation eine mangelhafte Sensibilisierung für Cyber-Bedrohungen, unklare Zuständigkeiten, nicht klar definierte Kommunikationsprozesse und Betriebsanweisungen. Darüber hinaus liegt häufig kein klarer Netzplan vor, das Netzwerk ist unzureichend segmentiert, Zugriffspunkte für den Fernzugriff sind unzureichend umgesetzt, dokumentiert und werden nicht konsequent gepflegt. Die Folge: Oft ist ein uneingeschränkter Zugriff aus der Produktion auf das Internet möglich.

Besonders kritisch ist zudem das fehlende oder unzureichende Erfassen und Auswerten von Kommunikationsdaten und lokalen Ereignissen. Ohne dieses Loggen von Informationen über den ein- und ausgehenden Daten­verkehr ist jedoch weder das Erkennen erfolgreicher Angriffe noch eine Aufberei­tung und forensische Analyse möglich. Die Folge: Die Zeit, bis Attacken erkannt und geeignete Gegenmaßnahmen eingeleitet werden – also die mean time to detect/respond, kurz MTTD und MTTR – ist meist unnötig lang. Angreifer können das Netzwerk dadurch weitreichend kompromittieren – mit unter Umständen sehr unangenehmen Folgen für das betroffene Unternehmen.

Protective Monitoring-Systeme können diese Überwachungslücke schließen: Diese überwachen die gesamte Infrastruktur inklusive aller Netzwerksystem, Securitysysteme, Server, Clients, Applikationen, Prozesse, das Benutzerverhalten, Verbindungen etc. in Echtzeit und korrelieren sämtliche von Systemen generierten Log-Daten mit erkannten Ereignissen. Dadurch kann das IT-Security-Team Versuche, ins Netzwerk einzudringen, automatisch erkennen und sofort reagieren. Attacken lassen sich nahezu in Echtzeit abwehren – noch bevor sie Schäden anrichten.“