IT Sicherheitsrisiken in Produktionsumgebungen

Aus Safety wird IT Security

Wenn in industriellen Umgebungen von Sicherheit gesprochen wird, geht es meist um Ausfallsicherheit, elektrische Sicherheit, Sicherheit für das Betriebspersonal, Schutz gegen Umwelteinflüsse oder um Explosionsschutz. Die im Internet und Office-Bereich typischen Sicherheitsrisiken, wie Denial Of Service-Angriffe, Manipulation von Daten und Systemen, Ausspähen von Daten oder Systemeinbrüche werden hier oft nicht benannt, erkannt oder berücksichtigt. Dies kann schwere Folgen haben und sogar Menschleben in Gefahr bringen.

Die zunehmende Vernetzung erzeugt Synergien, aber leider auch mehr Risiken

Über die neu geschaffenen Übergänge sind plötzlich sämtliche Bedrohungen aus dem Office- und Internetbereich in den Produktions- und Prozessnetzen präsent. Diese Tatsache und die daraus entstehenden Konsequenzen können das Personal der Prozess-IT an die Grenzen dessen bringen, was sie mit Ihrem Know-how im Sicherheitsbereich einschätzen und lösen können. Die Prozess-IT muss sich mit den für sie neuen Bedrohungen aus der Office-Welt auseinander setzen. Zugleich ist auch die Office-IT gefordert, Know-how aus dem Bereich der Prozess-IT aufzubauen.

 

Aktuelle Lösungensansätze bieten in der Prozess-IT keinen ausreichenden Schutz

Eine Übernahme von Schutzmechanismen aus der Office-IT ist für die Prozess-IT keine dauerhafte Lösung

Um die neuen Bedrohungen in der Prozess-IT zu entschärfen, werden fast immer IT-Sicherheitsmaßnahmen aus der Office-Welt ins Auge gefasst. Dazu gehören:

Virenschutz

Die Pflege des Virenschutz ist sehr zeitintensiv. Er sollte mindestens tagesaktuelle Pattern auf allen Systemen aufweisen. Aufgrund technischer Gegebenheiten ist eine Online-Verteilung der Pattern oft nicht möglich. Der Update der Systeme aus dem Internet selbst ist aus Sicherheitsgesichtspunkten als sehr problematisch einzustufen, so dass oft nur manuelle Verfahren übrig bleiben.

 

Firewalls und Intrusion Prevention Systeme (IPS)

 

Das oberste klassische IT-Sicherheitsziel der Prozess-IT, die Verfügbarkeit, wird durch den Einsatz von Firewalls und IPS deutlich reduziert. Beide Lösungsansätze verlangen, dass der Datenverkehr durch diese Systeme geleitet wird. Das führt zu neuen Ausfallrisiken. Zudem sind diese Systeme dafür gebaut, Verkehr gezielt zu blockieren (IPS) oder nur manuell freigegebene Verkehrsbeziehungen (Firewall) zuzulassen. Durch die Updates bei IPS kann es durchaus zu der Situation kommen, dass Verkehr, der vor einem Update noch funktionierte, danach blockiert wird. Dies birgt erhebliche Risiken für die Verfügbarkeit der Prozessnetze.

Leider hat sich gezeigt, dass für den Betrieb ist sehr viel Know-how im Bereich IT-Sicherheit notwendig. Das betrifft in hohem Maße die Intrusion Prevention Systeme. Dieses Know-how ist zumindest initial in der Prozess-IT nicht vorhanden und müsste erst aufgebaut werden. Der Betrieb dieser Lösungen ist sehr zeitintensiv. Gerade IPS benötigt für einen sicheren Betrieb ständigen Pflegeaufwand.

Wie die honeyBox® Abhilfe schafft

Sicherheitslücken in Prozessnetzen schließen

Wie die honeyBox funktioniert

Die honeyBox® stellt in den Prozess-LANs virtuelle Opfersysteme (Honeypots) zur Verfügung, um Angriffe auf sich zu lenken. Angreifer und Schadsoftware (z. B Stuxnet) treffen dann bei den ersten Angriffsschritten (manuelle oder automatische Erkundung des LANs, Scans) auf reale Systems und virtuelle Honeypots.

Diese sind für den Angreifer zunächst nicht von den realen Systemen zu unterscheidbar, stellen sich aber in einem schlechteren Sicherheitszustand dar. In den nächsten Phasen eines Angriffs lenken sie so die weiteren Aktivitäten des Angreifers oder der Schadsoftware auf sich. Bereits beim ersten Kontakt mit einem virtuellen Honeypot erfolgt die Alarmierung.