Dynamische Anpassung an Gefahren BSI empfiehlt Anomalieerkennung in vernetzten Produktionen

Das BSI bewertet Anomalieerkennung nicht als statisches, sondern als dynamisches System zur Detektion bislang unbekannter Verhaltensmuster im Netzwerk.

11.03.2019

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Empfehlung „Monitoring und Anomalieerkennung in Produktionsnetzwerken“ veröffentlicht. Sie gibt Informationen zu den Gefährdungsvektoren und definiert Anforderungen an Monitoringlösungen. Rhebo steuerte unter anderem Informationen zu typischen Anomalien in Steuerungsnetzen aus Audits sowie die Kernanforderungen an die Systeme bei.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinem Ende Februar veröffentlichten Whitepaper die Nutzung einer Anomalieerkennung in industriellen Steuerungsnetzen empfohlen. Rhebo hat dazu maßgeblich Inhalte beigesteuert. Unter anderem waren Ergebnisse aus Industrie-4.0-Stabilitäts- und Sicherheitsaudits sowie Langzeitmonitoringprojekten Grundlage für die Definition der Anforderungen an die Systeme.

Das BSI positioniert Monitoringsysteme mit industrieller Anomalieerkennung als integralen Bestandteil der Sicherheitsstrategie nach den Standards ISO 27001 und IEC 62443. Es bewertet die Anomalieerkennung wie folgt:

[Anomalieerkennung ist] ein geeignetes Verfahren, Betriebszustände zu erfassen, Warnungen zu erzeugen und im Bedarfsfall eine effektivere Forensik zu ermöglichen. [...] Sie ist allerdings kein statisches System, das auf Basis fester beziehungsweise bekannter Gefährdungsmuster (zum Beispiel ein indizierter Computervirus) agiert. Vielmehr bewertet die Anomalieerkennung kontinuierlich die Standardkommunikation des jeweiligen Netzwerkes neu und erlaubt so eine dynamische Anpassung an Veränderungen der Gefährdungsvektoren und damit die Detektion bislang unbekannter Verhaltensmuster im Netzwerk, die noch in keiner Viren- oder Fehlerzustandsliste verzeichnet sind.

Anomalieerkennung in IoT-Umgebung integriert

Das Whitepaper beleuchtet auf sieben Seiten die Funktionsweisen des Monitorings und der industriellen Anomalieerkennung. Weiterhin werden funktionelle und technische Anforderungen an eine industrielle Anomalieerkennung definiert.

Demnach muss eine Anomalieerkennung neben grundlegenden Funktionen der Analyse und Visualisierung von Steuerungsnetzen (ICS) auf drei Ebenen Anomalien erkennen können:

  • außergewöhnliche bzeziehungsweise ungewöhnliche Aktivitäten im (ICS)-Netzwerk

  • außergewöhnliche Ereignisse in produktionstypischen (ICS-)Protokollen

  • außergewöhnliche Veränderungen in Prozessdaten (zum Beispiel Sensordaten, Steuerdaten)

Diese Herausforderungen sind mittlerweile auch in der Industrie und in Kritischen Infrastrukturen angekommen. Auf der Hannover Messe 2019 zeigt Rhebo seine industrielle Anomalieerkennung Industrial Protector deshalb nicht nur auf seinem eigenen, sondern auch auf dem Messestand des Herstellers von Antriebs- und Steuerungstechnik Bosch Rexroth als integrierte Anomalieerkennung einer (I)IoT-Umgebung.

Rhebo auf der Hannover Messe 2019: Halle 6, Stand B30

Bosch Rexroth auf der Hannover Messe 2019: Halle 17, Stand A40

Verwandte Artikel