Archiv der Kategorie: IOT – IoT-Security

In fünf Schritten zu Sicherheit und Stabilität in Kritischen Infrastrukturen

Das Mai 2018 in zweiter Fassung veröffentlichte Whitepaper »Anforderungen an sichere Steuerungs- und Telekommunikationssysteme« übersetzt die Highlevel-Forderungen aus dem deutschen IT-Sicherheitsgesetz und dem »Österreichische Programm zum Schutz Kritischer Infrastrukturen« (APCIP) in technische Anforderungen. Trotz des vergleichsmäßig hohen Detailgrades, auf den sich der deutsche Bundesverband der Energie- und Wasserwirtschaft (BDEW) und Österreichs Energie (OE) geeinigt haben, bleiben die Maßnahmen vage in der konkreten Umsetzung.

Das Whitepaper beschreibt auf 80 Seiten und in acht Maßnahmengruppen, wie die Prozess- und Netzleittechnik (PNLT) von Energie-, Wasserwirtschafts- und Öl/Gas-Unternehmen vor Störungen geschützt werden soll. Die Gruppen umfassen:

  1. Allgemeine Anforderungen (Sichere Systemarchitektur, definierte Verwaltungsprozesse, Sicherstellung der Datensicherheit und -integrität)
  2. Projektorganisation (Ansprechpartner, Tests, Datenspeicherung und -übertragung, Übergabeprozesse)
  3. Basissystem (Systemhärtung, Schadsoftware-Schutz, Authentifizierung, Virtualisierung)
  4. Netzwerk und Kommunikation (Protokolle, Segmentierung, Fernzugänge, Dokumentation)
  5. Anwendung (Rollen, Authentifizierung, Autorisierung, Umgang mit Webapplikationen, Integritätsprüfung, Logging)
  6. Entwicklung (Standards, Freigabe, Integrität)
  7. Wartung (Updates, Konfigurations- und Change Management, Sicherheitslücken)
  8. Datensicherung und Notfallplanung (Backup, Wiederanlauf)

Am Tagesgeschäft vorbei gedacht

Die Maßnahmengruppen des Whitepapers folgen damit der Architektur und Struktur der PNLT. Das Whitepaper verfehlt damit jedoch die Day-to-Day-Workflows und Zusammenhänge zwischen einzelnen Maßnahmen. Die Prozess- und Organisationslogik der IT/OT-Sicherheit wird nicht abgebildet. Insbesondere fehlt die Eingliederung in die etablierten Managementsysteme (wie QMS oder ISMS), die der Logik des kontinuierlichen Verbesserungsprozesses (Plan, Do, Check, Act) folgen. In der IEC 62443 wird dies zumindest in Teilen mit der Beschreibung der Risikoanalyse begonnen. In der Schweiz orientiert sich das »Handbuch Grundschutz für «Operational Technology» in der Stromversorgung« des VSE explizit am US-amerikanischen NIST-Standard. Dieser bricht die Cybersicherheit in Kritischen Infrastrukturen auf fünf logische Ebenen eines Defense-In-Depth-Konzepts herunter, die in einem Verbesserungsprozess münden:

  1. Identifizieren (Identify)
  2. Schützen (Protect)
  3. Erkennen (Detect)
  4. Reagieren (Respond)
  5. Wiederherstellen (Recover)

Der kontinuierliche Verbesserungsprozess für die Verfügbarkeit und Sicherheit der Steuerungsnetze hängt maßgeblich von der Transparenz und Sichtbarkeit durch eine Monitoring- und Anomalieerkennungslösung ab (Quelle: Rhebo)
Abb. 1: Der kontinuierliche Verbesserungsprozess für die Verfügbarkeit und Sicherheit der Steuerungsnetze hängt maßgeblich von der Transparenz und Sichtbarkeit durch eine Monitoring- und Anomalieerkennungslösung ab (Quelle: Rhebo)

BDEW-Whitepaper im Prozesskontext

Es ergibt daher Sinn, die Anforderungen des BDEW-/OE-Whitepapers auf die fünf Schritte des NIST-Frameworks zu beziehen.

Schritt 1: Identifizieren

Hinter dem Identifizieren verbergen sich alle Aspekte einer detaillierten Risikoanalyse. Der erste Schritt ist hierbei die Herstellung vollständiger Transparenz in Bezug auf:

  • Netzwerkstruktur
  • Komponenten, ihre Eigenschaften, Prozesse und Services
  • Bestehende Sicherheitslücken
  • Kommunikationsverbindungen (intern und mit externen Netzen)
  • Kommunikationsverhalten der einzelnen Komponenten
  • Kommunikationsprotokolle
  • Kommunikationsinhalte
  • Unterliegende Prozesse

Letztlich verbirgt sich hierunter vor allem die Maßnahmengruppe 4 »Netzwerk und Kommunikation«. Aber auch Aspekte der Gruppen »Allgemeine Anforderungen« (bestehende Sicherheits- und Monitoringstrukturen, Verwaltungsprozesse), »Projektorganisation« (Verantwortliche) und »Wartung« (Updates, Konfigurationen, Sicherheitslücken) fallen hierunter.

Grundsätzlich geht es darum, eine ganzheitliche Istanalyse der PNLT, organisatorischen Struktur und Gefährdungslage durchzuführen. Sie bildet die Basis, um festzulegen, worüber überhaupt gesprochen werden muss. Damit die nachfolgenden Schritte der Sicherung weder im Gießkannenprinzip ausgeführt werden, noch zu kurz gedacht werden, muss zwingend vollständige Transparenz hergestellt werden. Technologisch sollte hierbei über diesen Zeitraum der Istanalyse hinaus gedacht werden, denn auch im laufenden Betrieb der Sicherung, Erkennung und Reaktion steht und fällt die Handlungsfähigkeit der Verantwortlichen mit der Transparenz.

Im ersten Schritt müssen allen Komponenten, deren Verbindungen und die Verbindungsqualität analysiert werden. Rechts oben wird der Gesamtqualitäts-Score für das jeweilige Netzwerk auf einer Skala von 0-10 errechnet (Quelle: Rhebo Industrial Protector)
Abb. 2: Im ersten Schritt müssen allen Komponenten, deren Verbindungen und die Verbindungsqualität analysiert werden. Rechts oben wird der Gesamtqualitäts-Score für das jeweilige Netzwerk auf einer Skala von 0-10 errechnet (Quelle: Rhebo Industrial Protector)

Die Istanalyse ist auch nicht nur relevant, um die eigene PNLT besser zu verstehen. Sie offenbart in der Regel auch bestehende Engpässe, Gefährdungen und Fehlerzustände. In Stabilitäts- und Sicherheitsaudits, die wir regelmäßig in Kritischen Infrastrukturen im Rahmen der Erst- und Wiederholungsanalyse durchführen, finden sich im Schnitt rund 22 Gefährdungskategorien, die bislang den Verantwortlichen unbekannt waren. Die Analyse erfolgt hierbei mittels der industriellen Anomalieerkennung Rhebo Industrial Protector, die jegliche Kommunikation und Komponenteneigenschaften innerhalb der PNLT bis auf Inhaltsebene analysiert.

Schritte 2 und 3: Sichern und Erkennen

Diese Systemlösung bildet im Anschluss des Schrittes »Identifizieren« als Monitoring- und Detektionswerkzeug auch das Rückgrat der Sicherung der PNLT und des Erkennens von Störungen. Hierbei lernt die Anomalieerkennung das zu erwartende Verhaltensmuster der PNLT und analysiert die Kommunikation im Normalbetrieb auf Abweichungen (Anomalien). Wie vielfältig diese Anomalien ausfallen können, skizziert ein im März 2019 von der Allianz für Cyber-Sicherheit des BSI veröffentlichte Empfehlung zu Monitoring und Anomalieerkennung in industriellen Netzen. Die Anomalien werden in Echtzeit gemeldet und für die forensische Analyse inklusive der Rohdaten gespeichert.

Die Anomalieerkennung meldet jede abweichende Kommunikation im Steuerungsnetz und weist dieser eine Risikobewertung zu (1). Weiterhin können Details mit Handlungsempfehlungen abgerufen (2) und die Anomaliemeldung für die forensische Analyse als PCAP herunterladen werden (3). (Quelle: Rhebo)
Abb. 3: Die Anomalieerkennung meldet jede abweichende Kommunikation im Steuerungsnetz und weist dieser eine Risikobewertung zu (1). Weiterhin können Details mit Handlungsempfehlungen nachgeschaut werden (2) und die Anomaliemeldung für die forensische Analyse als PCAP herunterladen werden (3). (Quelle: Rhebo Industrial Protector)

Bei der Sicherung kommen hierbei die bekannten Mechanismen wie Segmentierung, Rollenkonzepte, Authentifizierung, Autorisierung, Prüfung der Datensicherheit und -integrität, Veränderungsmanagement, aktive Schadsoftware-Werkzeuge zum Einsatz. Diese sind im BDEW-/OE-Whitepaper über fast alle Kategorien verteilt. Im Sinne des Defense-in-Depth-Ansatzes, nach dem »Es gibt keine 100 prozentige Sicherheit.« die Basis aller Erkenntnis ist, übernimmt die Anomalieerkennung hier die Instanz eines durchgängigen Überwachungs-, Analyse- und Frühwarnsystems. Der Schutz der PNLT geht somit Hand in Hand mit der Fähigkeit, jedwede Veränderung zu detektieren. Denn nur was gesehen wird, kann auch abgewehrt werden. Das ist umso wichtiger in Infrastrukturen, die aus pragmatischen Gründen nicht auf Fernzugänge oder Webapplikationen verzichten können. Veränderungen betreffen hierbei nicht nur Vorfälle, die eindeutig als Sicherheitsgefährdung identifiziert werden können. Insbesondere wird auf die Fähigkeit hingewiesen, Vorgänge zu erkennen, die nicht durch die gängigen Blacklisting- oder Whitelisting-Konzepte abgedeckt werden. Diese Anomalien oder Abweichungen vom zu erwartenden Netzverhalten bergen bei täglich rund 400.000 neuen Schadprogrammen die eigentliche Gefahr.

Schritte 4 und 5: Reagieren und wiederherstellen

Diese Schritte werden im BDEW-/OE-Whitepaper nur sehr abstrakt behandelt, auch wenn sie im Tagesgeschäft die eigentliche Herausforderung darstellen. Über alle Kategorien wird auf die Notwendigkeit einer Notfallkonzeption verwiesen, konkrete Ansätze hierfür fehlen jedoch auch im eigentlichen Kapitel »Datensicherung und Notfallplanung«.

Eine sinnvolle Reaktion auf einen Vorfall im Sinne der Abwehr sowie internen und externen Kommunikation kann nur erfolgen, wenn alle Daten zum jeweiligen Vorfall vorliegen. Dazu gehören sowohl Details zu den Kommunikationsinhalten als auch Informationen zum Verlauf und den beteiligten Komponenten und Systemen. Die notwendige Vorfallsanalyse ist letztlich nur so gut, wie die Vorfallsdaten vollständig sind. Entsprechend hängen sowohl Effektivität der Reaktion als auch die Geschwindigkeit der Wiederherstellung und die kontinuierliche Verbesserung zur Steigerung der Resilienz maßgeblich von einer stichhaltigen und schnellen Analyse ab. Nicht zuletzt ist die Fähigkeit zur Analyse und Dokumentation auch für die Meldepflicht maßgeblich.

Verantwortliche in Kritischen Infrastrukturen sollten deshalb Überwachungssysteme auch danach bewerten, ob diese die Reaktion auf Vorfälle und die Wiederherstellung unterstützen. Dazu gehören:

  • Detailspeicherung von Anomalien mit Metadaten und Rohdaten;
  • Speicherung in universellem Format (z. B. PCAP), um Daten leicht teilen und programmunabhängig analysieren zu können;
  • universelle Schnittstellen (REST-API, Syslog u.a.) zur schnellen, verlustfreien Weiterleitung an andere Sicherheitssysteme (z. B. aktiv blockende Firewalls oder SIEM)
  • automatisierte Weiterleitungsregeln zur Unterstützung der unternehmensinternen Prozesse.

Auch diese Anforderungen können von einigen industriellen Anomalieerkennungen vollumfänglich abgebildet werden.

In Steuerungsnetzen kann es zu plötzlichen und schleichenden Störungen (Stillstand oder Blackout) sowie Effizienzverlusten kommen. Eine Monitoring- und Anomalieerkennungslösung minimiert die Wahrscheinlichkeit des Auftretens und unterstützt umgehend bei der Wiederherstellung (Quelle: Rhebo)
Abb. 4: In Steuerungsnetzen kann es zu plötzlichen und schleichenden Störungen (Stillstand oder Blackout) sowie Effizienzverlusten kommen. Eine Monitoring- und Anomalieerkennungslösung minimiert die Wahrscheinlichkeit des Auftretens und unterstützt umgehend bei der Wiederherstellung (Quelle: Rhebo)

Fazit

Wer das BDEW-/OE-Whitepaper umsetzen möchte, sollte auch weitere Empfehlungen (z. B. des VSE und des BSI) berücksichtigen, um gezielt und strukturiert die Anforderungen umsetzen zu können. Grundsätzlich sollte das Konzept der Defense-in-Depth verfolgt werden. Zu dieser gehört neben aktiven Absicherungswerkzeugen (Firewalls, Virenscanner, Datendioden) auch eine passive Monitoringkomponente in Form einer industriellen Anomalieerkennung. Die Chief Information Security Officers und IT-Leiter Kritischer Infrastrukturen erhalten die bislang fehlende Sichtbarkeit in ihre Netzwerke, ein proaktives Frühwarnsystem und schaffen eine fundierte Basis für das übergeordnete Netzwerk-Monitoring und die forensische Datenanalyse. Damit können sie ihre Prozess- und Netzleittechnik effektiv gegen Störungen wie Cyberattacken, Manipulation aber auch technische Fehlerzustände schützen und die Versorgungssicherheit gewährleisten.

In Kritischen Infrastrukturen ist Meldepflicht Selbstschutz

Die gesetzliche Pflicht, Störungen in den Netzwerken kritischer Infrastrukturen zu melden, wird oft als bürokratischer Aufwand wahrgenommen. Der vorgeschriebene Informationsaustausch zwischen kritischen Infrastrukturen und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) birgt ohne Zweifel Aufwände und Unklarheiten. Jedoch überwiegt der Mehrwert, der sich aus der Schwarmintelligenz ergibt. Je mehr Akteure über Gefährdungen berichten, desto mehr Akteure können sich gegen diese auch aktiv vorbereiten, bevor Störungen entstehen. So wird Meldepflicht zum Selbstschutz.

Der Mehrwert kann jedoch nur entstehen, wenn über den Tellerrand der gängigen Monitoring- und Sicherheitssysteme geschaut wird. Genau hier setzt das Prinzip des Defense-In-Depth an, das die gängigen Lösungen (Firewalls, Virenscanner etc.), die mittlerweile als Standard in jeder Kritischen Infrastruktur angenommen werden können, um Abwehrmechanismen erweitert, die auch das Unbekannte sichtbar machen.

Dass bislang unbekannte Angriffs- und Störungsmuster in Zukunft eine entscheidende Rolle bei der Gefährdungslage spielen, zeigten nicht zuletzt die mehrstufigen, lange Zeit verborgen agierenden Kampagnen Industroyer und Dragonfly 2.0. Während mit Dragonfly 2.0 Angreifer über Monate bis Jahre Kritische Infrastrukturen auch in Deutschland ausspioniert haben, legte Industroyer 2016 die Stromversorgung Kiews für mehrere Stunden lahm.

Auf der Suche nach dem Unbekannten

Genau hier liegt auch die größte Unklarheit für die Informationssicherheitsbeauftragten in kritischen Infrastrukturen. Das IT-Sicherheitsgesetz (und damit das EnBW, AtG und BSIG) fordert eine Meldung von »erheblichen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder geführt haben.«

Die Formulierung birgt zwei Unschärfen, mit denen Betreiber zu kämpfen haben:

  1. Wie sollen Störungen erkannt werden, die erst langfristig zu einer Beeinträchtigung führen könnten, zum Beispiel Advanced Persistent Threats?
  2. Wie kann bewertet werden, ob die Beeinträchtigungen durch eine Störung erheblich sein könnten?

Auf der FAQ-Seite des BSI findet sich zur ersten Frage lediglich der Hinweis: »Werden Angriffe auf die Kritische Infrastruktur unter Verwendung von neuartigen, außergewöhnlichen, zielgerichteten oder aus technischer Sicht bemerkenswerten Angriffsverfahren entdeckt, muss davon ausgegangen werden, dass eine Einwirkung auf die Kritische Infrastruktur möglich ist, sobald sich die Angreifer dazu entschließen«.

Auch bei der Frage, was »erheblich« bedeutet, sind Informationssicherheitsbeauftragte weitestgehend auf sich gestellt: »Eine eindeutige, umfassend geltende Antwort, wann eine Störung erheblich ist, ist nicht möglich. Stattdessen ist es erforderlich, dass die Verantwortlichen in KRITIS-Unternehmen Einzelfallentscheidungen treffen«.

Aus unseren Erfahrungen des Monitorings von Leitsystemen und Netzleittechnik mittels industrieller Anomalieerkennung wissen wir, dass weder versteckte Angriffe noch offene Sicherheitslücken eindeutig erkannt und eingeschätzt werden. Hinzu kommt, dass die Entwicklungen der Digitalisierung und des Smart Grid zu immer komplexeren Kommunikationsstrukturen führen, die neben Sicherheitsgefährdungen auch die Wahrscheinlichkeit technischer Fehlerzustände erhöhen.

Wer entscheiden will, muss sehen können

Betreiber benötigen somit Werkzeuge, die zwei Dinge ermöglichen:

  1. Vorgänge erkennen, die durch gängige Sicherheitslösungen mit Blacklisting- oder Whitelistingansatz übersehen werden.
  2. Vorgänge dahingehend bewerten, ob diese (erhebliche) Beeinträchtigungen hervorrufen könnten.

Netzleittechnik und Leitsysteme sind von einer deterministischen Kommunikationsstruktur geprägt. Dadurch können zum Beispiel mit einer industriellen Anomalieerkennung alle Vorgänge erkannt werden, die in irgendeiner Form vom deterministischen Grundmuster abweichen. Ein gutes Monitoringsystem erkennt bei den sicherheitsrelevanten Vorfällen u.a. neue:

  • Netzteilnehmer oder Kommunikationsbeziehungen;
  • Verbindungen zum Internet;
  • Protokolle;
  • Befehlsstrukturen sowie Netzwerkscans.

Hinzu kommen sowohl bestehende CVE-Sicherheitslücken an Geräten und Software, als auch Netzstörungen, die keine IT-Sicherheitsvorfälle sind, aber an das BSI gemeldet werden müssen. Zu letzteren gehören Konfigurations- und Kommunikationsfehler sowie andere technische Fehlerzustände, die sich beispielsweise aus der Abnahme der Netzwerkqualität ergeben. Gefährdungen jeglicher Form werden somit in ihrem frühesten Stadium erkannt und in Echtzeit gemeldet.

Die Bewertung der Vorfälle wird durch die industrielle Anomalieerkennung über verschiedene Stufen ermöglicht. Zum einen wird jede Meldung in Sicherheit oder Netzwerkqualität kategorisiert. Des Weiteren erhält jede Meldung eine Risikobewertung in Abhängigkeit von Kommunikationsvorgang und betroffenen Komponenten. Schlussendlich wird jede Meldung inklusive der Rohdaten als frei exportierbares PCAP gespeichert. Somit ist eine umgehende forensische Analyse auf einer vollständigen, nachvollziehbaren Datenlage für alle Stakeholder möglich. Informationssicherheitsbeauftragte können damit auf jede potentielle Gefährdung reagieren, bevor es zur Beeinträchtigung kommt.

Unternehmenssicherheit: Insider Threats erfolgreich abwehren

Moderne Systeme für Dynamic Data Protection helfen dabei, Daten vor Verlust und Diebstahl verlässlich zu schützen. Sie ermöglichen flexible und dynamische Sicherheitsmechanismen auf Basis eines individuellen Risiko-Scores. Auf diese Weise lässt sich die höchstmögliche Produktivität der Mitarbeiter beibehalten und ein maximaler Schutz der Daten sicherstellen.

Das größte Risiko für die Datensicherheit in Unternehmen kommt von innen – durch so genannte Insider Threats. Dabei lassen sich verschiedene Arten von Bedrohungen unterscheiden: Häufig begünstigen Mitarbeiter unwissentlich oder unbeabsichtigt die Abwanderung sensibler Unternehmensdaten. Beispielsweise können durch die arglose Mitnahme und fahrlässige Verwendung von firmeninternen USB-Sticks oder anderen Datenträgern betriebliche Informationen in fremde, unberechtigte Hände gelangen. Ein weiterer Risikofaktor ist der absichtliche Datendiebstahl durch Firmenangehörige: In diesem Fall handeln die Täter mit Vorsatz oder kriminellem Motiv und nehmen einen Schaden für das Unternehmen durch die Veruntreuung von Daten bewusst in Kauf. Eine dritte Kategorie von Bedrohungen sind kompromittierte Anwender. Dabei haben sich Kriminelle Zugang zu den Anmeldedaten eines Mitarbeiters verschafft und missbrauchen diese für Angriffe.

Eine Möglichkeit zur Abwehr der Risiken bieten Lösungen für Data Loss Prevention (DLP). Sie beinhalten herkömmliche Funktionen für Identitätsmanagement, Monitoring, Verschlüsselung sowie Zugriffskontrolle. Zudem steuern und überwachen sie Nutzer-Aktivitäten und bieten Mechanismen, um Datenströme im Unternehmensnetzwerk zu filtern und zu schützen. Konventionelle DLP-Systeme sind aber in der Regel sehr starr und bieten nicht die nötige Dynamik, um auf die verschiedenen Spezies von Insider Threats adaptiv zu reagieren. Die Lösungen fokussieren häufig nur den reinen Infrastrukturschutz oder die Abwehr von externen Gefahren. Dabei nutzen sie meist statische Auswertungen, die sich nicht flexibel an verschiedene Arten von Benutzern und Transaktionen anpassen und dadurch zusätzliche Sicherheitslücken verursachen. So verwenden solche Systeme für alle User immer die gleichen Policies und Richtlinien, verbieten von vornherein bestimmte Aktionen und schränken dadurch die Produktivität der Mitarbeiter erheblich ein. Überdies senden die meisten DLP-Lösungen an die Sicherheitsverantwortlichen in Unternehmen eine riesige Anzahl von teilweise unnötigen Alerts, auf die reagiert werden muss. Dies erhöht den Administrationsaufwand und verursacht zusätzliche Kosten.

Sicherheit im Einklang mit Produktivität und Effizienz

Einen weitaus effektiveren Schutz vor Insider Threats bieten moderne Lösungen für Dynamic Data Protection (DDP). Sie schneiden interne Sicherheitsrichtlinien ohne Zutun eines Administrators automatisch und adaptiv auf alle Nutzer oder Geräte zu. Dadurch können Unternehmen die Sicherheit ihrer Nutzer und Daten lückenlos mit den Anforderungen an Produktivität und Effizienz in Einklang bringen. Das Besondere: Flexibel und individuell passen DDP-Systeme die Reaktion auf einen Sicherheitsvorfall anhand des jeweiligen Risikos an. Auf diese Weise wird der momentane Sicherheitslevel automatisch und situativ an die jeweiligen Anforderungen angeglichen. Dabei besteht die Möglichkeit, dynamisch und je nach Rolle oder Verhalten eines Mitarbeiters spezielle Policies zu generieren.

Ein Beispiel: Eine bestimmte Person darf interne Daten auf einen USB-Stick kopieren und diesen mit nach Hause nehmen, um dort beispielsweise an einer Firmenpräsentation weiterzuarbeiten. Handelt es sich jedoch um kritische oder sensible Unternehmensdaten, besteht ein höheres Risiko. In diesem Fall regelt eine Richtlinie, dass der Mitarbeiter die Daten nur verschlüsselt kopieren darf. Ein weiteres Szenario beschreibt noch höhere Sicherheitsanforderungen: Hat ein Betriebsangehöriger bereits ein auffälliges Verhalten gezeigt – zum Beispiel durch einen versuchten Zugriff auf Daten, für die er nicht berechtigt ist – ist höchste Vorsicht geboten. Dann sollte eine entsprechende Policy ihm die Mitnahme von Daten komplett verbieten.

Risiko-Score resultiert aus Nutzerverhalten

Grundlage der Erkennungsmechanismen ist die Technologie „User and Entity Behaviour Analytics“ (UEBA). Die DDP-Lösung beobachtet dabei das Verhalten der Nutzer, definiert daraus automatisch einen bestimmten Risiko-Score und passt die Berechtigungen des Betroffenen adaptiv an die jeweiligen Risiken an. Beschäftigte mit geringem Risikofaktor verfügen dann über mehr Rechte und können dadurch produktiver arbeiten. Besonders wichtig ist es dabei auch, bestimmte Verhaltensänderungen eines Mitarbeiters zu erkennen. Greift er beispielsweise von einem anderen Ort als üblich auf Daten zu oder meldet er sich von einem bisher nicht genutzten Gerät an, wird ein erhöhtes Risiko festgestellt. Das DDP-System ist hierbei in der Lage, die jeweiligen Datenpunkte zu identifizieren und zu korrelieren. So lassen sich potenzielle Probleme und Bedrohungen frühzeitig erkennen und gezielt Gegenmaßnahmen einleiten. Beim Einsatz einer solchen Lösung ist jedoch das berechtigte Interesse von Mitarbeitern auf Privatsphäre gegenüber des zu erwartenden Schadens abzuwägen.

Dabei wird der Risiko-Score herangezogen, um die jeweilige Berechtigung des Users passgenau zu definieren, um also den Datenzugriff lediglich zu überwachen und zuzulassen, ihn zu verschlüsseln oder vollständig zu blockieren. So werden beispielsweise die Security-Experten im Unternehmen in hohem Maße entlastet. Diese können sich durch den hohen Automatisierungsgrad und die adaptiven, risikobasierten Anpassungen ganz auf relevante, auffällige Aktivitäten konzentrieren. Zudem lässt sich die benötigte Zeit für die verlässliche Erkennung von Risiken und Bedrohungen auf nur wenige Sekunden reduzieren.

 

Fazit

Insider Threats zählen zu den größten Risiken für die Sicherheit von Unternehmensdaten. Herkömmliche Security-Tools wie etwa DLP-Systeme reichen meist nicht mehr aus, um die Bedrohungen effektiv abzuwehren. Hilfreicher sind moderne Dynamic-Data-Protection-Lösungen, die auf einem risikoadaptiven Ansatz basieren. Sie richten sich nicht nach starren Policies, sondern passen sich dynamisch an das Verhalten der User und die damit verbundenen Risiken an. Dies wirkt sich positiv auf die Produktivität aus und gewährleistet gleichzeitig den optimalen Schutz der Daten.

Thingbots nun größte Gefahr für das Internet

Schon im vergangenen Jahr haben wir in dieser Blog-Reihe festgestellt, dass die Gefahr durch angreifbare IoT-Geräte zunimmt. Dieser Trend hat sich laut einer aktuellen Studie deutlich bestätigt. Mehr noch: Attacken auf IoT-Geräte übertreffen zahlenmäßig inzwischen die Angriffe auf Web- und Anwendungsdienste sowie E-Mail-Server.

Gemäß der Studie „The Hunt for IoT“ wurden bereits in der ersten Hälfte des Jahres 2018 dreizehn neue Thingbots entdeckt. Zum Vergleich: Im ganzen Jahr 2017 waren es sechs und 2016 neun. Bei Thingbots handelt es sich um IoT-Geräte, die mit Malware kompromittiert sind.

Demnach wurde Spanien in den letzten 18 Monaten am häufigsten angegriffen. Weitere oft attackierte Länder waren Russland, Ungarn, die USA und Singapur. Die meisten Angriffe zwischen dem 1. Januar und dem 30. Juni 2018 stammten aus Brasilien (18%), gefolgt von China (15%), Japan (9%), Polen (7%), USA (7%) und Iran (6%). Die am häufigsten von Bots infizierten IoT-Geräte waren Small/Home Office-Router, IP-Kameras, digitale Videorekorder und Videoüberwachungsanlagen.

Auch Deutschland stark betroffen
In Deutschland ist die Gefahr ebenfalls sehr hoch, nicht zuletzt aufgrund zunehmend eingesetzter Industrie-4.0-Lösungen und der stark wachsenden Zahl an IoT-Geräten. Auch hier stellen derzeit die auf einfache Weise mit dem Internet verbundenen Geräte wie Smart TV, Gebäudesteuerung und Überwachungskameras sowie im Privatbereich Spielekonsolen, Videorekorder und Haushaltsgeräte das größte Risiko dar. Viele dieser Geräte werden nur selten auf Sicherheitslücken geprüft und aktualisiert sowie deren Standard-Passwort geändert.

Den meisten Unternehmen ist diese Gefahr durchaus bewusst. So besitzt das Thema Security eine hohe Priorität bei Projekten, die auf einer IoT-Infrastruktur basieren. Dau gehören zum Beispiel vernetzte Fahrzeuge, kritische Infrastrukturen oder intelligente Produktionssysteme. Doch vor allem Privatnutzer und Mitarbeiter sind häufig nachlässig und setzen weitgehend  bedenkenlos vernetzte Heimsysteme oder Smartphones auch im beruflichen Umfeld ein.

Häufig eingesetzte Methoden
Das spiegelt sich in der Zunahme von Social-Engineering-Attacken wider. Zwar bleibt bei Thingbots die meistgenutzte Angriffsmethode Distributed Denial of Service (DDoS), im vergangenen Jahr kamen aber weitere Methoden hinzu. Dazu gehören die Installation von Proxy-Servern zum Starten von Angriffen, Kryptojacking, die Installation von Tor-Knoten und Paket-Sniffern, DNS-Hijacks, Credential Collection, Credential Stuffing und Betrugstrojaner. Gerade die letzte Methode zielt vor allem auf Nutzer.

Die häufigste Maßnahme, mit der Angreifer IoT-Geräte aufspürten und infizierten, waren Internet-Scans, die nach offenen Remote-Administrationsdiensten suchten. Telnet und Secure Shell (SSH) waren die beliebtesten Protokolle, gefolgt von Home Network Administration Protocols (HNAP), Universal Plug and Play Protocols (UPnP), Simple Object Access Protocols (SOAP) und anderen Transmission Control Protocol (TCP) Ports, die von IoT-Geräten verwendet werden.  

Infrastrukturen und Mobilgeräte anfällig
Laut der Studie sind IoT-Infrastrukturen „ebenso anfällig für Authentifizierungsangriffe über schwache Anmeldeinformationen wie die IoT-Geräte selbst“. Zur IoT-Infrastruktur gehören vor allem Server und Datenbanken.

Mobile IoT-Gateways sind genauso gefährdet wie herkömmliche drahtgebundene und WiFi-basierte IoT-Geräte. Bis zu 62 Prozent der getesteten Geräte waren anfällig für Angriffe per Fernzugang. Dabei wurden vor allem schwache Standardbenutzerdaten des Herstellers ausgenutzt.

Mirai weiterhin gefährlich
Außerdem ergab die Studie, dass die Gefahr durch Mirai weltweit kaum abnimmt. Zwar reduzierte sich die Anzahl der Mirai-Scannersysteme von Dezember 2017 bis Juni 2018 leicht. Europa bleibt jedoch die einzige Region, in der die Infektion mit Mirai-Scannern relativ konstant geblieben ist.

Dabei müssen Unternehmen neben dem ursprünglichen Bot auch mindestens 10 Mirai-Ableger berücksichtigen. Dazu gehören Annie, Satori/Okiru, Persirai, Masuta, Pure Masuta, OMG, SORA, OWARI, Omni und Wicked. Diese Geschwister von Mirai können weitaus mehr als nur DDoS-Angriffe starten. Zum Beispiel setzen sie Proxy-Server ein, um Krypto-Währungen zu suchen und andere Bots zu installieren.

Geeignete Maßnahmen treffen
Um sich ausreichend vor Thingbots zu schützen, müssen Unternehmen mehrere Schichten betrachten: zum einen die Applikationen und IoT-Broker, die Informationen verarbeiten und aufbereiten, und zum anderen Infrastrukturen sowie Endpunkte und Sensoren. Ein DDOS-Schutz ist auf allen Schichten sämtlicher Infrastrukturen und Applikationen notwendig, da es sonst zu einem Totalausfall der Systeme kommen kann. Eine Strategie zum Schließen von Sicherheitslücken in Anwendungen über Updates muss ebenfalls gegeben sein. Eine WAF (Web Application Firewall) sollte sicherstellen, dass sogar angreifbare Anwendungen bis zum Software-Update abgesichert sind.

Einfache Sensoren ohne Speicher und ohne gängiges Betriebssystem lassen sich aufgrund der geringen Kapazitäten nur schwer angreifen. Hier ist ein grundlegender Manipulationsschutz oft ausreichend. Endgeräte mit Speicher und Anwendungen sind dagegen durch veränderbare, komplexe Passwörter, Sicherheitsupdates, Härtung des Betriebssystems und bei Bedarf mit Virus- und Malware-Schutz zu versehen.

Dabei lassen sich zum Teil bereits genutzte Internet-bezogene Security-Maßnahmen erweitern und anpassen. Dazu gehören etwa DDOS-Schutz, WAF oder die klassische Netzwerk-Firewall. Kommen jedoch IoT-spezifische Protokolle zum Einsatz wie MQTT, sind meist neue Schutzmechanismen zu implementieren, zum Beispiel ein MQTT Gateway oder eine MQTT-fähige WAF. In jedem Fall sollten Digitale Signaturen, strenge Authentifizierung und Verschlüsselung immer Bestandteil der IoT-Kommunikation sein.

Fazit
Thingbots verbreiten sich immer stärker und die Angriffsmöglichkeiten auf das IoT nehmen zu. Daher sollten Unternehmen jetzt für hohe Sicherheit sorgen, vor allem durch Bot-Abwehr am Anwendungsperimeter sowie eine Anti-DDoS-Lösung. Sonst können Vorfälle zu deutlichen Umsatzeinbußen führen.

IoT: Zutrittskontrolle und Cybersecurity

Die Verknüpfung von physischen und digitalen Sicherheitskomponenten mit dem IoT läutet in der Tat die nächste Phase der digitalen Transformation ein: Das Zusammenspiel aller Komponenten eines vernetzten Sicherheitssystems optimiert zum einen die Effektivität, zum anderen übermitteln die individuellen Hardwareeinheiten Daten, die bei richtiger Handhabung auch eine Business Intelligence ermöglichen. Das Thema Cybersecurity ist dabei elementar und essentiell für den Erfolg eines jeden IoT-Systems.

Vernetzte Zutrittskontrolle

Ein interessantes Beispiel für ein solches vernetztes System ist die Zutrittskontrolle. Denn die Technologien von Türstationen umfassen weit mehr als nur Video-Türklingeln. Als Teil eines IoT-Systems können Netzwerk-Türstationen mit einem äußerst komplexen und hochwertigen Sicherheitsnetzwerk verbunden werden. Gleichzeitig werden Business-Intelligence-Daten gesammelt und sicher an Smartphones oder Server gesendet.

So können beispielsweise auch KFZ-Nummernschilder als Berechtigungsnachweise für einen Zutritt genutzt werden. Bei diesem System arbeiten verschiedene Technologien über das Netzwerk zusammen und sichern auf diese Weise die Zutrittskontrolle auf einen Parkplatz oder ein bestimmtes Areal. Sobald ein Fahrzeug in den Erfassungsbereich einer Kamera gerät, wird die Software der Kamera aktiviert und das Kfz-Kennzeichen des Fahrzeugs überprüft. Die Netzwerk-Kamera sendet die Daten anschließend an die Türsteuerung am Tor. Sie wiederum entscheidet durch die angeschlossene Datenbank mit den zugelassenen Kennzeichen, ob der Zutritt gewährt wird oder nicht. Sollte das Nummernschild eines Fahrzeuges nicht für den Zutritt freigegeben sein, kann sich der Fahrer beispielsweise über die Netzwerk-Video-Türstation mit einem Mitarbeiter verbinden, der dann entscheidet, ob er den Zutritt gewährt oder nicht. Die erhobenen Daten aus den geschilderten Vorgängen werden protokolliert und gespeichert.

Diese beschriebenen Vorgänge und Elemente kommunizieren alle über offene Protokolle miteinander. Die standardisierte, sichere Informationsübermittlung ermöglicht auch die Einbindung verschiedener Komponenten von mehreren Herstellern. Dadurch können Unternehmen Geräte nutzen, die für ihre individuellen Bedürfnisse am besten geeignet sind.

Maßnahmen zur IT-Sicherheit

Das Beispiel der KFZ-Kennzeichen-Zutrittskontrolle unterstreicht auch die Notwendigkeit, die Cybersecurity anwendungsorientiert umzusetzen. Jede Komponente dieses Systems stellt einen potenziellen Zugang für Kriminelle dar. Ist eines der Bestandteile in diesem Netzwerk nicht ausreichend geschützt, können sensible Informationen abgegriffen werden – mit der Folge, dass das Unternehmen einen realen Schaden erleiden kann.

Die Sicherung der verbundenen Geräte sowie die Sicherung der Daten selbst haben dabei oberste Priorität. Netzwerk- und Datenlecks verursachen nicht nur schwerwiegenden Reputationsschäden für das betroffene Unternehmen, sondern jeder Verstoß behindert auch die weitere Entwicklung des IoT. Dies liegt daran, dass sowohl Unternehmen als auch die Öffentlichkeit darauf vertrauen müssen, dass IoT-Technologien den Erwartungen an einen ungefährlichen und cybersicheren täglichen Betrieb gerecht werden. Datenschutzrichtlinien wie zum Beispiel die Datenschutz-Grundverordnung (DSGVO) sollten als Hilfe und nicht als Hindernis verstanden werden.

Schnelles Handeln für den Fortschritt

Um im Wettbewerb zu bestehen, müssen Unternehmen die besten am Markt erhältlichen Technologien miteinander verbinden – auch wenn das bedeutet, dass sie mehrere Anbieter kombinieren müssen. Standard- sowie offene Protokolle, mit denen verschiedene Geräte einfach miteinander kommunizieren können, sind der beste Weg für eine Sicherstellung der Kompatibilität bestehender und zukünftiger Produkte. Es ist ebenso wichtig, dass das Sicherheitssystem einfach zu bedienen ist. Die riesigen Datenmengen aus unterschiedlichen Quellen müssen aggregiert und den Nutzern in leicht managebaren Formaten präsentiert werden. Schließlich sollen Analysten die Daten interpretieren, um schnell entschlusskräftige Entscheidungen treffen zu können. IoT-Technologien und -Produkte, die einfach in der Bedienung sind, auf offenen Protokollen und globalen Standards basieren sowie den hohen Anforderungen an die Cybersecurity genügen, vereinen wichtige Erfolgsqualitäten.

Die Förderung offener Systeme zwischen Hardware, Software und Anwendungstechnologien sowie -Produkten bringt Vorteile. Organisationen wie ONVIF, die sich für standardisierte Netzwerkprotokolle einsetzen, leiten eine neue Ära der Zusammenarbeit in der Sicherheitsbranche ein. Dies bildet zusammen mit der Priorisierung von Cybersecurity die Grundlage für eine immer stärker vernetzte Welt.

 

Cybersecurity – Was User und Unternehmen wissen müssen

Cyberkriminalität boomt und wird weiterhin rasante Entwicklungen und Herausforderungen für die IT-Sicherheit mit sich bringen. Sicherheitsexperten und Datenwissenschaftler haben sieben Entwicklungen identifiziert, die ein Umdenken in der Cybersecurity erfordern: von biometrischem Hacking, Künstlicher Intelligenz und der Cloud als Einfallstor für IoT-Hacks bis hin zu branchenweiten Security Trust Ratings und einem Cyber Cold War aufgrund von neuem Isolationismus der Politik und Wirtschaft durch Handelsembargos.

Das gefälschte Gesicht – Hacker manipulieren Gesichtserkennungssoftware

Mit Phishing-Attacken und Hacks wie „SIM SWAPS“ untergraben Angreifer bereits regelmäßig die Wirksamkeit von Zwei-Faktor-Authentifizierung-(2FA)-Methoden (z. B. Login mit Passwort und SMS-Code). Eine mehrstufige Authentifizierung durch biometrische Merkmale bietet hier eine zusätzliche Sicherheitsebene. Sie verwendet Daten, die spezifisch für den End-User sind. Der Technologiegigant Apple setzt bei seinen neuen iPhones etwa auf Gesichtserkennung. Fakt jedoch ist: Keine Authentifizierungsmethode ist zu 100 Prozent sicher. Hacker werden zukünftig Identitäten trotz und gerade mit Gesichtserkennungssoftware stehlen. So überlistete bereits 2016 ein Bildverarbeitungsspezialist der University of North Carolina Gesichtserkennungssysteme mit öffentlich verfügbaren Digitalfotos und mobiler VR-Technologie. Unternehmen sollten sich daher mit verhaltensbasierten Systemen schützen. Tastenanschlag, Mausbewegungen, Geschwindigkeit beim Scrollen et cetera – physisches Verhalten einer Person ist eindeutig und lässt sich nicht nachahmen.

Industrie 4.0 – Angreifer nutzen Schwachstellen bei Hardware- und Cloud-Infrastruktur

In einer Umfrage identifizierten 76 Prozent der 1.000 Teilnehmer die massive Einflussnahme auf das industrielle IoT als wichtige Sicherheitsfrage. Die Vielzahl vernetzter Geräte, mobile Zugriffe und verschiedene Applikationen machen den Schutz von Systemen und Daten zunehmend komplexer. Mit gleichzeitig steigender Datenmenge setzen Unternehmen immer mehr auf Cloud-Lösungen und -Provider für Wartung, Updates und Device-Management. Die Multi-Tenancy-Architektur vieler skalierbarer Dienste für IoT-Systeme führt aber zu technologischen Schwachstellen. Angriffe auf die Cloud-Infrastruktur sind daher deutlich lukrativer, um wichtige Systeme zum Stillstand zu bringen. Produktion, Energieerzeugung und andere wichtige Sektoren könnten gleichzeitig betroffen sein. Ein effektiver, ganzheitlicher Schutz erfordert daher Einblicke in das Verhalten von Mensch und Maschine, um automatisch unautorisierte Eingriffe in IoT-Systeme zu verhindern, ohne dass die Verfügbarkeit beeinträchtigt wird.

Künstliche Intelligenz bleibt nur ein Buzzword in der Cyber-Sicherheit

Künstliche Intelligenz, die menschliche Kognition beziehungsweise geistige Aktivität reproduzieren kann, gibt es in der Cybersecurity nicht. Auch in 2019 wird KI ein beliebtes Schlagwort für Marketer und unausgereifte Produktlösungen bleiben. Manche Firmen gehen dabei sogar soweit, menschliche Eingriffe in ihr Produkt zu verschleiern. Automation und nicht KI per se, kann Security-Experten im Unternehmen in hohem Maße entlasten. So können sich diese durch einen hohen Automatisierungsgrad und adaptive, risikobasierte Lösungen sowie Anpassungen etwa ganz auf relevante, auffällige Aktivitäten konzentrieren.

Politische Isolation und Handelsstreit beschwören Cyber Cold War herauf

Spionage hat Staaten und Unternehmen schon immer einen Weg zum Erwerb neuer Technologien eröffnet. Allein 43 Milliarden Euro Schaden durch Hackerangriffe hat der IT-Verband Bitkom und das Bundesamt für Verfassungsschutz für Unternehmen in Deutschland in den vergangenen zwei Jahren festgestellt. Isolationismus bei der Handelspolitik wird in vielen Fällen Nationen und Unternehmen dazu veranlassen, verstärkt durch Cyber-Taktiken Einfluss auf andere Staaten, kritische Infrastrukturen und wichtige Branchen zu nehmen oder geistiges Eigentum stehlen. Solche Angriffe zielen dabei häufig auf einzelne Mitarbeiter als Einfallstor für Schadsoftware. Statt weitere Mauern zu bauen, gilt es daher, besser zu verstehen, wie und warum Menschen mit sensiblen Daten umgehen und wo sich diese bewegen. Mit der Analyse von Nutzerverhalten kann gezielt auf hochriskante Aktivitäten eingegangen werden. Mittels automatischer Anomalie-Erkennung können Unternehmen normales Nutzerverhalten sowie gewöhnlichen ein- und ausgehenden Datenverkehr von verdächtigen Datenbewegungen unterscheiden.

Security Trust Ratings – die neue Grundlage für Kooperationen in der Wirtschaft

In der heutigen „Zero Perimeter World“, einer digitalen Welt ohne klare Grenzen, sind kritische Daten und geistiges Eigentum mehr denn je gefährdet. Die Verantwortung für die Datensicherheit bleibt dabei jedoch immer beim Unternehmen, auch wenn die Daten beispielsweise bei einem Provider liegen. Branchenweite Security Trust Ratings sind notwendig, wenn Unternehmen nach Zusicherungen suchen, dass Partner und Wertschöpfungsketten vertrauenswürdig und ausreichend gesichert sind. Firmen müssen Security daher von oben nach unten in ihre Unternehmenskultur integrieren. So kann diese etwa nur dann funktionieren, wenn Mitarbeiter das Gefühl haben, einen Beitrag zur ganzheitlichen Sicherheit des Unternehmens zu leisten. Das Thema darf daher nicht nur in der Verantwortung der IT-Teams liegen, sondern ist ein Geschäftswert. So suchen schon jetzt 58 Prozent der befragten Forcepoint-Umfrageteilnehmer aktiv nach vertrauenswürdigen Cloud-Anbietern mit einem guten Ruf für Sicherheit.

DSGVO – Mitarbeiter und Unternehmen streiten über Verantwortlichkeiten bei Datenverlust

Mit der DSGVO sind Konfrontationen im Gerichtssaal vorprogrammiert: 2019 wird es Gerichtsverfahren wegen Datenschutzverletzungen geben, bei denen ein Mitarbeiter seine Unschuld bekundet und ein Arbeitgeber vorsätzliches Handeln unterstellt. Ob ein Richter zugunsten eines Arbeitgebers oder eines Arbeitnehmers entscheidet, ist dabei nahezu irrelevant. Vielmehr werden mangelhafte IT-Sicherheitsmaßnahmen eines Unternehmens öffentlich präsentiert. Firmen müssen daher Menschen und Daten schützen und bösartige Aktivitäten identifizieren, bevor sie kritische Systeme und IPs schädigen. Die Analyse von Nutzerverhalten und Datenbewegungen am Arbeitsplatz hilft dabei, das Gesamtbild eines Vorfalls zu verstehen. Eingesetzte Lösungen müssen dabei drei Grundprinzipien erfüllen: legitimer Zweck, Verhältnismäßigkeit und vollständige Transparenz. Der Schutz personenbezogener Daten und der Privatsphäre sollte Grundvoraussetzungen für jedes erfolgreiche Unternehmen sein.

Datenskandale – mit Edge Computing die Vertrauenslücke schließen

Der Facebook-Datenskandal rund um Cambridge Analytica war 2018 nur die Spitze des Eisbergs. Das Vertrauen der User in viele Online-Dienste und dem verantwortungsvollen Umgang mit ihren Daten ist gering. Unternehmen werden versuchen mit Edge Computing diese Vertrauenslücke zu schließen. Daten werden nicht mehr automatisch in die Cloud geladen und zentral in einem Datencenter gespeichert, sondern auf dem jeweiligen Endgerät oder der Applikation (also am Rande des Netzwerks – dem „Edge“). Das verbessert den Datenschutz und erlaubt Usern mehr Kontrolle über ihre Daten. Edge Computing allein wird das mangelnde Vertrauen der Verbraucher aber nicht überwinden können. Es reicht nicht aus, dass Unternehmen Daten sowohl auf dem Gerät als auch in der Cloud erfassen und sichern. Um Vertrauen zu schaffen, müssen sie nachvollziehbar offenlegen, wie Nutzerdaten gesichert und genutzt werden.

So werden intelligente Städte sicher

Städtische Infrastrukturen werden immer stärker digitalisiert und vernetzt. Aber mit der Zunahme von Smart-City-Lösungen wächst auch die Angriffsfläche, die Cyberkriminelle für ihre Zwecke ausnutzen können. Städte dürfen die genutzten Daten und die öffentliche Infrastruktur jedoch keinem hohen Risiko aussetzen. Daher müssen sie vor allem zwei große Schwachstellen vermeiden: eine unzureichende Absicherung von öffentlichen WiFi-Netzen sowie Sicherheitslücken bei den eingesetzten IoT-Geräten und -Sensoren.

Gerade letzteres wird häufig unterschätzt. Tatsächlich weisen viele IoT-Geräte nur voreingestellte Passwörter auf, die sich zum Teil nicht verändern lassen. Solche Standard-Passwörter sprechen sich aber in Hacker-Kreisen schnell herum, so dass Angriffen Tür und Tor geöffnet wird. Attacken können dann Infrastrukturen empfindlich stören, zum Beispiel Verkehrsinformationen und Leitsysteme oder Steuerungen für Parkplätze, Laternen, Luft- und Lärmmessungen, die auf die Sensorik des Internet of Things zurückgreifen.

Eine Absicherung der Geräte und Sensoren durch Security-Software ist aber aufgrund der geringen Speicher- und Rechenkapazitäten kaum möglich. Daher müssen sie durch eine Art Schutzwall aus Systemen mit ausreichenden Ressourcen abgesichert werden. Entsprechend benötigen Städte ein durchgängiges Sicherheitskonzept. Gleichzeitig müssen die Hersteller konsequent aktuelle Security-Standards nutzen und weiterentwickeln, um ihre IoT-Produkte besser zu schützen.

Ganze Strukturen gefährdet

Neben Geräten werden auch ganze Systeme und Technologien für Smart Cities immer noch ohne geeignete Sicherheitsarchitekturen oder Lösungen zur Abwehr von Bedrohungen entwickelt. Diese Nachlässigkeit kann eine Reihe von Schwachstellen verursachen, die wiederum ernsthafte Probleme nach sich ziehen. Ein Hacker, der eine intelligente Parkuhr kontrolliert, kann lästig sein, aber ein cyberkriminelles Eindringen in die Verkehrsleitstruktur könnte katastrophale Folgen haben.

Auf der diesjährigen Black-Hat-Konferenz untersuchte das X-Force Red Team von IBM bestehende kommunale Technologien, um die Möglichkeit von groß angelegten Angriffen zu ermitteln. Die Nachforschungen konzentrierten sich auf vier gängige Systeme und fanden 17 Schwachstellen, von denen neun als kritisch eingestuft wurden. Ein europäisches Land benutzte ein empfindliches Gerät zur Strahlungsdetektion. In den USA war es ein System zur Überwachung der Verkehrsregelung. Die fraglichen Schwachstellen waren bei beiden Gelegenheiten nicht komplex. Die Anbieter hatten es einfach versäumt, grundlegende Sicherheitsmaßnahmen zu implementieren.

Zudem simulierten die Forscher von IBM einen Angriff auf Geräte, die den Wasserstand in Staudämmen überwachen. In weniger als einer Minute konnten sie die umliegenden Gebiete überfluten. Der simulierte Hack fand auf einer häufig verwendeten, aber leicht zu kapernden Hardware für Smart Cities statt.

Neue Gesetze und Verordnungen dürften die Sicherheitslage aber nicht wesentlich verbessern, da sie ohnehin nicht mit der technischen Entwicklung Schritt halten können. Daher helfen nur eher allgemein gefasste Rahmenbedingungen wie das IT-Sicherheitsgesetz sowie einheitliche Regelungen, die bereits heute von verantwortungsvollen Herstellern entwickelt und befolgt werden. In Zukunft müssen sie aber die technischen Möglichkeiten noch konsequenter und zeitnäher umsetzen, um kritische Infrastrukturen besser zu schützen, die bereits heute jeden Tag angegriffen werden.

Der Wettlauf um die Entwicklung

Ein einfaches Weiter-so und Ignorieren der Entwicklung bringt Städte aber nicht weiter. Denn schon heute befinden sie sich in einem Wettlauf um Bürger und Unternehmen. So müssen sie moderne, attraktive Infrastrukturen bieten, damit sie auch weiterhin erfolgreich sind. Gerade hier leisten Smart-City-Lösungen einen wichtigen Beitrag. Damit lassen sich umfassende Erkenntnisse aus unzähligen Sensoren, Interaktionen und Verhaltensweisen gewinnen. Laut einem aktuellen Whitepaper von ABI Research könnten weltweite Smart-City-Technologien im nächsten Jahrzehnt dadurch mehr als 20 Billionen Dollar an zusätzlichen wirtschaftlichen Vorteilen erschließen.

Europa verfolgt dabei große Ambitionen. Gemäß einer Untersuchung des Europäischen Parlaments aus dem Jahr 2017 gibt es hier bereits 240 Städte mit über 100.000 Einwohnern, die zumindest über einige intelligente Lösungen verfügen. Dazu gehört Technologie zur Verbesserung der Energienutzung, der Verkehrssysteme oder anderer Infrastrukturen. Die Europäische Innovationspartnerschaft Smart Cities and Communities sagt voraus, dass bis Ende 2019 sogar 300 Städte intelligent sind.

Die Zukunft gestalten

Führungskräfte, Vordenker, Entwickler, Dienstleister und Städteplaner müssen daher die Zusammenarbeit mit Regulierungsbehörden und Systempartnern dringend intensivieren. Nur gemeinsam können sie die Einführung sicherer Netzwerke und Geräte gewährleisten. Die gesamte Technologiebranche sollte auch mehr tun, um das Prinzip ‚Security-by-Design‘ konsequent in der gesamten Entwicklung von Infrastrukturen umzusetzen. Darüber hinaus muss die Ende-zu-Ende-Sicherheit verbessert werden, einschließlich strenger Authentifizierung der Benutzer sowie Richtlinien für alle Kommunikationswege. Gleichzeitig sollten Dienstleister ihre Verschlüsselungsfunktionen für den Datenschutz mit aktueller Software erweitern.

So müssen alle Beteiligten die Warnzeichen für eine zunehmende Cyberkriminalität bei städtischen Infrastrukturen ernst nehmen. Außerdem sind Cybersicherheitsexperten in allen Phasen einzubeziehen –von der Planung und dem Bau bis zum Infrastrukturmanagement. Städte müssen intelligenter werden. Das gilt nicht nur für die Nutzung der Daten, sondern auch für die Abwehr von Gefahren durch Cyberkriminelle. Die bislang geschlossenen städtischen Systeme waren von der Außenwelt abgekoppelt. Doch bei den offenen Smart-City-Lösungen hilft nur eine agile Sicherheitsarchitektur, welche die neuesten Security-Standards und -Funktionen voll ausschöpft und sich ständig weiterentwickeln lässt.

Das gehört zum Sicherheitsportfolio

Software Composition Analysis (kurz SCA) bezeichnet die detaillierte Untersuchung aller Open-Source-und Dritt-Komponenten, die sich in Anwendungen befinden. Die Analyse liefert Sicherheits-, Rechts- und Entwicklerteams verwertbare Daten, um Schwachstellen im Code eines Softwareprodukts zu identifizieren und zu beseitigen. Gleichzeitig lassen sich auch Verstöße gegen Open Source Compliance-Richtlinien aufdecken, denn nur wenn Unternehmen wissen, welche OSS- Komponenten von ihnen genutzt werden, können sie auch Lizenzbestimmungen zuverlässig einhalten und auf Anfrage eine entsprechende Dokumentation vorlegen.

Scannerlösungen ermöglichen Softwareanbietern und Hersteller von IoT-Geräten:

  • eine durchgängige Inventarisierung aller Open-Source-Assets (Software Bill of Materials – BOM)
  • das Managen von Open-Source-Schwachstellen
  • die Sicherstellung von Open-Source-Compliance
  • die Auslieferung ihrer Anwendungen und Geräte unter Angabe der Nutzungsrechte von Dritten (Third Party Disclosures)

Über SCA-Lösungen lassen sich automatisierte Prozesse innerhalb des Schwachstellen- und Compliance-Managements realisieren. Sie decken nicht nur auf, welche Source Libraries von den Entwicklern genutzt werden, sondern auch welche Drittanbieter-Bibliotheken standardmäßig damit verknüpft sind. Dabei lässt sich der genaue Anteil des übernommenen Codes innerhalb des proprietären Quellcodes prozentual bestimmen. Das Sicherheitsteam wird zudem automatisch per Warnmeldung über neu entdeckte Schwachstellen benachrichtigt.   

Das entgeht statischen Analyse-Tools

Viele Unternehmen vertrauen bei der Sicherheit ihrer Anwendungen noch immer zu sehr auf statische Analyse-Tools. Nicht immer reichen diese jedoch aus. Grundsätzlich können Softwareanbieter und Gerätehersteller mit statischen Analyse-Tools ihren eigenen proprietären Source Code analysieren. Entweder wird dazu ein abstrakter Syntaxbaum (AST) oder ein Modell der Anwendung erstellt, das unter anderem Ablaufsteuerung, Datenfluss oder Variablen abbildet. Einmal fertiggestellt, kann der AST nach vordefinierten Regeln abgefragt werden und so Schwachstellen und andere Sicherheitsprobleme aufdecken.

Statische Anwendungssicherheitstests (SAST) sind ohne Frage ein wichtiger Bestandteil des Software Development Life Cycles. Sie haben jedoch Grenzen – vor allem wenn es um die Analyse von Open Source geht. In vielen Fällen können die statischen Tools nicht den schnellen Veränderungen der OSS-Welt nachkommen. So werden in OSS-Paketen beispielsweise Sicherheitsschwachstellen gefunden, die längst von den verantwortlichen Autoren oder der Community beseitigt wurden.

Oft ist der Output der statischen Analyse-Tools auch einfach so umfangreich, dass es für Entwicklerteams extrem schwierig ist, einen klaren Blick auf die Ergebnisse zu erhalten und die Probleme schnell und effektiv zu lösen. Darüber hinaus kommen statische Tests meist erst gegen Ende des Entwicklungsprozesses zum Einsatz, um alle Abhängigkeiten in der vollständigen Anwendung berücksichtigen zu können.

Tests für die Anwendungssicherheit

Blitztest für Open Source Software

Ob statische oder dynamische Analysen, Penetrationstests und Fuzzing – das Managen von Open Source bleibt zentrale Aufgabe der Software Composition Analysis. Wer Software entwickelt oder diese in seine Geräte integriert und sich in Sachen OSS auf der sicheren Seite glaubt, sollte seinem Entwicklerteam oder externen Dienstleister einfach einmal die folgenden Fragen stellen:

  • “Nutzen wir die neueste Version von Apache Struts 2?”

Die Frage nach Apache Struts ist ein guter Test. Das Open-Source-Framework zur Entwicklung und Bereitstellung von Web-Applikationen in Java stand bereits 2017 im Mittelpunkt des spektakulären Equifax-Hacks. Damals konnten Angreifer über eine Sicherheitslücke insgesamt  145,5 Millionen Datensätze des US-amerikanische Finanzdienstleisters Equifax abgreifen. Auch in diesem Jahr wurden neue Schwachstellen bekannt. Gibt es auf die Schnelle keine klaren Informationen darüber, wo und wie Apache Struts 2 genutzt wird, ist davon auszugehen, dass sich das Unternehmen nicht auf dem neuesten Stand befindet.

  • “Was tun wir, wenn ein Kunde Anwendungen oder Geräte, in denen OpenSSL genutzt wird, aus Sicherheitsgründen ablehnt?“

Software-Sicherheitsaudits beinhaltet fast immer eine Überprüfung von Komponenten Dritter. Mit Unterstützung einer SCA-Plattform können Anbieter ihren Kunden einen detaillierten und vollständigen Einblick über die Verwendung von OSS- und Dritt-Komponenten bieten. Um langfristig Sicherheitsbedenken aus dem Weg zu räumen, können Unternehmen zudem auf das kontinuierliche Scannen und Monitoring aller Software-Komponenten verweisen.

  •  „Eine neue Vulnerability macht gerade Schlagzeilen. Sind wir davon betroffen?”

SCA-Lösungen beinhalten in der Regel Dashboards und Reports die das Risikopotential ihrer Anwendungen und die Gefährdung durch spezifische Schwachstellen über das ganze Unternehmen hinweg analysieren und bewerten. Sinnvoll ist hier auch die Integration der SCA-Plattform in den Build-Zyklus, um schnell und proaktiv Sicherheitslücken zu schließen.

Wer die Vorteile von Open Source Software für sich nutzen will, muss sich auch mit den Risiken hinsichtlich Sicherheit und Compliance auseinandersetzen. Die Grundregel lautet: „Kenne Deinen Code!“ Unternehmen, die Software Composition Analysis aktiv in ihre Sicherheits- und Compliancestrategie einbeziehen, schützen sich nicht nur vor Schwachstellen, sondern tragen auch zu einer sicheren Software Supply Chain im IoT bei.

Cybersicherheit in der Industrie: Kein Zutritt für Trojaner, Viren und Co.

Hacker können im Zuge der Digitalisierung von Prozessen Sicherheitslücken leichter ausnutzen und Maschinen und Geräte infizieren. Laut einer aktuellen Bitkom-Studie hat die Anzahl von Cyberattacken in den vergangenen zwei Jahren für 84 Prozent der Industrieunternehmen zugenommen. Dadurch sind Angreifer in der Lage, die komplette IT-Landschaft eines Unternehmens lahmzulegen. Eine passende Firewall schafft Abhilfe. Sie schützt Unternehmen vor Cyberbedrohungen und erhöht die firmeninterne IT-Sicherheit. Doch worauf sollte man bei der Wahl einer passenden Firewall achten?

In der Industrie 4.0 verzahnen sich Prozesse mit modernster Informations- und Kommunikationstechnik. Maschinen und Produkte sind zunehmend softwaregesteuert und kommunizieren miteinander. Damit steigt auch die Flexibilität der Produktion. Die Vernetzung von Mensch, Maschine und industriellen Prozessen ist somit ein wichtiger Faktor für die Produktivität und verändert nachhaltig die Art und Weise, wie Unternehmen zukünftig produzieren und arbeiten. Gleichzeitig birgt die digitale Vernetzung jedoch ein großes Bedrohungspotenzial. Cyberangriffe auf industrielle Anlagen und kritische Infrastrukturen führen zu Imageschäden, stören den Geschäftsbetrieb, verursachen Datenverluste und können Menschen gefährden. Für einen unterbrechungsfreien Ablauf der industriellen Prozesse müssen die IT-Systeme deshalb umfassend abgesichert sein.

Firewall: Der „Tower“ hat alles im Blick

Eine Firewall schützt die gesamte IT-Landschaft, indem sie Cyberbedrohungen abwehrt. Sie ist daher ein unverzichtbarer Bestandteil der firmeninternen IT-Sicherheitsstrategie. Eine Firewall agiert längst nicht mehr nur wie ein Türsteher, der die Eingangstür zum Datenparadies mit essenziellen Unternehmensinformationen und zu Prozessen bewacht sowie unerwünschten Gästen wie Trojanern, Viren und anderen Schädlingen den Zutritt verwehrt. Inzwischen fungiert sie eher wie ein Tower am Flughafen. Dieser ermöglicht, über das ganze Informationssystem hinweg das Geschehen im Netzwerk zu kontrollieren und darüber hinaus potenzielle Bedrohungen zu beobachten und präventiv abzuwehren.

Firewall – worauf achten?

Zunächst sollten die Verantwortlichen die aktuellen und zukünftigen Sicherheits­anforderungen des Unternehmens identifizieren und vorausschauend planen: Bandbreite, auszulagernde Dienste, Zugang zu Netzwerkressourcen für Personen, die nicht physisch vor Ort sind und so weiter. Angesichts der fortschreitenden Digitalisierung und der sich immer schneller wandelnden Anforderungen ist es wichtig, auf flexible Technologien zu setzen, die sich an unterschiedliche Bedürfnisse wie beispielsweise die zunehmende Migration in die Cloud anpassen lassen. Zudem sollten IT-Verantwortliche auf offizielle Sicherheitsgütesiegel achten. In Europa prüfen zentrale Zertifizierungsstellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder in Frankreich die Nationale Agentur für Sicherheit der Informationssysteme (ANSSI) auf Antrag Dienstleister oder Produkte. Eine Produktzertifizierung bestätigt, dass das Produkt bestimmte funktionale und sicherheitsrelevante Eigenschaften erfüllt, die in Schutzprofilen, Sicherheitsvorgaben oder technischen Richtlinien festlegt sind. Eine Firewall sollte sich zudem leicht in die firmeninterne Landschaft integrieren lassen und für den Anwender einfach zu bedienen sein.

Die Aufgaben einer Firewall

  • Datenverkehr des Netzwerks filtern:
    Analyse und Kontrolle des gesamten Datenverkehrs
  • Einen sicheren Zugang bereitstellen:
    Gewährleistung eines sicheren Informationsaustauschs – sowohl On-Premises als auch in der Cloud
  • Potenzielle Gefahren erkennen:
    Erfassung und Blockierung von möglichen Bedrohungen
  • Netzwerkfehler korrigieren:
    Feststellung und Beseitigung von Schwachstellen im Netzwerk

Fazit

Das Konzept der Industrie 4.0 eröffnet vielen Unternehmen neue Wertschöpfungsmöglichkeiten. Gleichzeitig birgt es neue Gefahren durch gezielte Angriffe von Hackern. Der Schutz von sämtlichen firmeninternen IT-Systemen und -Prozessen sollte daher in Unternehmen höchste Priorität haben. Als Grundlage für umfassende Sicherheit ist eine passende Firewall ein unverzichtbarer Bestandteil des IT-Sicherheitskonzepts. Sie analysiert den gesamten Datenverkehr, verhindert Cyberattacken auf IT-Systeme und schützt das Netzwerk vor unbefugten Zugriffen.

NGFW: Neue Dimensionen der Netzwerksicherheit

Unternehmen sind heute durch verteilte Organisationsstrukturen gekennzeichnet: Es gibt häufig viele verschiedene Standorte, Firmenangehörige sowie Freelancer arbeiten flexibel in unterschiedlichen Büros, im Home-Office oder mobil. Dafür muss eine hohe Netzwerk-Konnektivität gewährleistet werden. Auch Interaktive Software-as-a-Service (SaaS)-Applikationen wie beispielsweise Office 365 erfordern äußerst schnelle, performante Verbindungen mit geringen Latenzzeiten.

Auch Bedrohungen aus dem Cyberspace stellen immer neue Anforderungen an die Netzwerksicherheit. Ransomware und Spionage-Software, welche über Exploits Zugang zum Unternehmensnetzwerk erhalten, beeinträchtigen die Funktionsweise von Netzwerkdiensten. Eine noch höhere Gefahr geht von sogenannten Evasions aus. Dabei handelt es sich um getarnte Exploits, welche den Netzwerkverkehr verschleiern, so dass die Übertragungsprozesse nicht zweifelsfrei erkannt werden können. Angriffe durch bestehende Signaturen und andere grundlegende Funktionen lassen sich so nur schwer stoppen.

Traditionelle Netzwerk-Security-Lösungen helfen hier nicht mehr weiter. Sie sind nicht in der Lage, eine ausreichende Verfügbarkeit von Daten und Anwendungen über verschiedenste Geräte, Netze und Zugriffspunkte hinweg zu gewährleisten. Zudem sind sie extrem anfällig gegenüber modernen Angriffsvarianten und lassen sich kaum skalieren und damit nur schwer an die spezifischen Anforderungen im Unternehmen anpassen.

Um diese Herausforderungen erfolgreich zu stemmen, müssen die Firmennetzwerke hinsichtlich Konnektivität, Sicherheit sowie Web- und Cloud-Fähigkeit in ein ganzheitliches Gesamtkonzept eingebunden werden. Moderne Next-Generation-Firewall-Lösungen (NGFW) sind in der Lage, Tausende von Firewalls, IPSs, VPNs und SD-WANs in nur wenigen Minuten über eine zentrale Konsole zu installieren und in Betrieb zu nehmen. Dabei lässt sich das System bedarfsgerecht skalieren und individuell an das Wachstum der jeweiligen physischen und virtuellen Unternehmensnetzwerke anpassen. Dies ermöglicht das Management hocheffizienter Prozesse in verteilten Firmennetzwerken. So sind alle Daten und Anwendungen in der gesamten IT-Infrastruktur verlässlich geschützt – egal ob im Rechenzentrum, an den verschiedenen Firmenstandorten oder in der Cloud.

NGFW bietet Anwendern umfassende Transparenz und einen 360-Grad-Blick auf die gesamte Netzwerk-Architektur. Neben der Verringerung der Komplexität können die Netzwerkkosten gesenkt, Ausfallzeiten um bis zu 50 Prozent reduziert und IT-Risiken signifikant verringert werden.

P.S.: Zum Thema „Smarte Produktionsanlagen sicher betreiben“ findet bei uns ein kostenfreies Webinar statt. Hier geht’s zur Anmeldung.