Daten- und Anlagenintegrität IT-Forensik schützt vor Cyberangriffen

Forensische Methoden liefern keine schnellen Antworten bei konkreten Vorfällen. Sie erhöhen langfristig die Sicherheit der Daten und Prozesse.

Bild: iStock, Emrah Turudu
05.09.2016

Bisher wurde in der fertigenden Industrie unter dem Begriff Sicherheit vor allem Betriebssicherheit verstanden. Im Industrie-4.0-Zeitalter liegt ein mindestens genauso hohes Gewicht auf der Integrität der Daten und Anlagen. Um sie zu schützen, sollten Unternehmen auf ein umfassendes IT-Sicherheitssystem setzen. Ein wichtiger Baustein ist hier die IT-Forensik.

Industrielle Anlagen und Produktionsstätten geraten verstärkt ins Visier von Cyberkriminellen. Mehr als zwei Drittel der Industrieunternehmen in Deutschland sind in den vergangenen zwei Jahren Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage geworden. Das ergab eine aktuelle Umfrage des Bitkom. Dabei ereigneten sich die kriminellen Vorfälle am häufigsten in der Produktion. In der Vergangenheit waren Produktionsstätten autarke Maschinenkomplexe, die abgekoppelt vom Unternehmensnetzwerk agierten. Mit der zunehmenden Digitalisierung der Produktion und der Vernetzung von Maschinen über das Internet entstehen neue Einfallstore, die nicht nur Datendiebstahl, sondern auch den Zugriff auf Maschinen und Produktionsketten ermöglichen. Eines der bekanntesten Beispiele ist der Computer-Wurm Stuxnet, der 2010 in der Leittechnik einer iranischen Urananreicherungsanlage für massive Störungen sorgte. Die Entwicklung der Hackerszene geht weiter; sie professionalisiert sich kontinuierlich. Unternehmen sollten sich deshalb auf vielseitigere und häufigere Cyberangriffe einstellen.

Für produzierende Unternehmen bedeutet das, der Aspekt der Informationssicherheit muss in jeder Phase des Lebenszyklus einer Produktionsstätte berücksichtigt werden. Sinnvoll ist eine Art Komplettpaket, das sowohl den Schutz der Anlage vor äußeren und inneren Angriffen, als auch ausdefinierte Handlungspläne für den Fall eines Datenverlustes oder anderen Zwischenfalls einschließt. In der Praxis gehören dazu unter anderem auf technischer Ebene Maßnahmen wie die Trennung zwischen dem Unternehmensnetz und den Netzwerksystemen in der Produktionsumgebung. Wichtig ist es außerdem, den Zugriff auf Systemkomponenten abzusichern, beispielsweise mithilfe starker Authentifizierungstechniken und Virtual Private Networks (VPN). Grundsätzlich empfiehlt sich ein mehrschichtiges Abwehrsystem. Dafür müssen kritische Systeme lückenlos kontrolliert werden. Nur so lassen sich Angriffe sofort identifizieren, bekämpfen und beheben.

Traditionelle IT-Sicherheit ist überfordert

Traditionelle IT-Sicherheitsansätze stoßen hier zunehmend an ihre Grenzen. Besonders wenn Cyberkriminelle auf Methoden wie Zero-Day-Exploits und gezielte Angriffe (Advanced Persistent Threats, APTs) zurückgreifen. Bei Zero-Day-Exploits nutzen Angreifer Sicherheitslücken in Programmen aus, die entweder noch nicht bekannt sind oder bisher nicht behoben wurden. APTs sind zielgerichtete, langanhaltende Cyber-Attacken mit dem Ziel, an geheime oder wertvolle Informationen zu kommen. Die Hacker versuchen, lange unentdeckt zu bleiben, um möglichst viele Daten zu erbeuten.
Allein die Anzahl der 2015 entdeckten Zero-Day-Sicherheitslücken hat sich im Vergleich zum Vorjahr auf 54 verdoppelt. Auch bei Malware verzeichnen die Sicherheitsexperten ein rasantes Wachstum. 430 Mio. neue Schadsoftware-Varianten wurden allein 2015 entdeckt. Besonders die gefährdeten produzierenden Unternehmen müssen deshalb in Zukunft in der Lage sein, auf sich schnell wandelnde Formen von Angriffen reagieren zu können. Dafür müssen große Datenmengen erfasst und analysiert werden. Eine der Schlüsselmethoden dafür ist das sogenannte Incident Response, mit dem Cyberattacken an der Wurzel bekämpft werden.

Der Begriff Incident Response bezeichnet eine auf die jeweiligen Unternehmensbedürfnisse ausgerichtete Vorgehensweise, mit deren Hilfe möglichst viele Informationen über sicherheitsrelevante Vorfälle zusammengetragen und ausgewertet werden. Incident-Response-Prozesse bestehen in der Regel aus den folgenden Phasen: Erkennung, Vorbereitung, Analyse, Eindämmung sowie Post-mortem-Aktivitäten. Um im Ernstfall schnell handlungsfähig zu sein, sollten die Prozesse möglichst detailliert ausgestaltet sein. Dafür empfiehlt sich ein kontinuierliches Incident-Management-Programm. Unternehmen sind dadurch in der Lage, potentielle Risiken so einzuschätzen, dass sich entsprechende Response-Pläne zielgerichtet entwickeln, prüfen und fortlaufend aktualisieren lassen.

Fehlendes Know-how mit MSS ausgleichen

Personelle Engpässe und fehlende IT-Sicherheitstechnologien in Unternehmen können mit Hilfe von externen Dienstleistern abgefangen werden. Firmen, die solche Managed Security Services (MSS) anbieten, gibt es mittlerweile für alle relevanten Bereiche der Informationssicherheit. MSS ermöglichen einen bedarfsorientierten Abruf von Know-how, Experten-Support und den Einsatz aktueller Technologien, während die Kontrolle über die interne IT-Security im Unternehmen bleibt. Sicherheitsanbieter wie Symantec verfügen über ein globales Netzwerk von IT-Security-Analysten und ein breites Spektrum an Cyber Security Services. Dadurch sind sie in der Lage, die Daten und Erkenntnisse eines Unternehmens, mit den Ergebnissen weltweiter Kundenumgebungen einer Branche abzugleichen und Übereinstimmungen in der Vorgehensweise von bekannten Angriffen zu identifizieren. Zusammen mit den Daten des Unternehmens lassen sich so unter anderem konkrete Hinweise auf Angreifer zurückverfolgen.

Mithilfe streng methodischer, forensischer Verfahren können – ähnlich wie in der Kriminalistik – verdächtige Vorfälle im Zusammenhang mit IT-Systemen untersucht und digitale Spuren ausgewertet werden. Die Ergebnisse liefern wichtige Hinweise für notwendige Prozesse und Handlungsspielräume, um zukünftige Attacken einzudämmen. Wichtig hierbei ist es zu verstehen, wie der identifizierte Cyberangriff funktionierte, welches Ziel er verfolgte und welche Kollateralschäden die Attacke verursacht hat.

Durchschnittlich 256 Tage Reaktionszeit

Zunächst muss ein Angriff jedoch erst einmal entdeckt werden, was durchaus Zeit in Anspruch nehmen kann. Unternehmen benötigen im Durchschnitt 256 Tage, um einen Angriff auf ein System zu erkennen. Forensischen Methoden liefern deshalb keine schnellen Antworten bei konkreten Vorfällen. Vielmehr geht es um eine detaillierte Analyse eines Vorfalls, die vor allem die Sicherheit der Daten und Prozesse langfristig erhöht. Aus diesem Grund sind zusätzliche weitere Methoden zur Erstbewertung notwendig, um identifizierte Sicherheitslücken so zeitnah wie möglich zu schließen. Das Gesamtbild mit den über einen längeren Zeitraum gesammelten Erkenntnissen der forensischen Untersuchung, vervollständigt sich daher erst nach und nach.

Produzierende Unternehmen können aus dem Ablauf eines Angriffs zahlreiche Rückschlüsse ziehen. Anhand der bei einer Cyber-Attacke genutzten Malware lässt sich zum Beispiel das Angriffsmuster der Schadsoftware analysieren und daraus eine mögliche Abwehr konstruieren. Dazu empfiehlt sich der Einsatz unternehmenseigener SIEM-Systeme (Security Information and Event Management). Diese sammeln Informationen aus den einzelnen IT-Komponenten, etwa Log-Daten, und stellen mögliche Zusammenhänge her. Sollten sie verdächtige Aktivitäten bemerken, schlagen sie umgehend Alarm.

IT-Forensik: eine Investition in die Zukunft

Allerdings erkennen sie nur solche Angriffsmuster, die in der Vergangenheit bereits das System angegriffen haben oder hinterlegt wurden. Für einen umfassenderen Schutz der internen Daten sind deshalb Informationen zu globalen Sicherheitsbedrohungen und -lücken notwendig.

Fertigende Unternehmen müssen Informationssicherheit während des gesamten Lebenszyklus einer Produktionsstätte beachten und entsprechende Maßnahmen ergreifen. Im Ernstfall sollten sie so schnell wie möglich reagieren, um größeren Schaden zu verhindern. Dazu sind so viele Informationen wie möglich über den Feind im Netz, seine Taktik und Angriffstechnologien notwendig. Denn eines ist sicher: Die Zahl der Angriffspunkte und das Risiko von Angriffen auf Industrieanlagen wird in den kommenden Jahren weiter steigen.

Firmen zu diesem Artikel
Verwandte Artikel