Sicherheit ist das Ziel
In der klassischen IT sind Systeme und Anwendungen in der Lage, Protokollierungsdaten direkt zu erzeugen.
Geräte und Systeme der Anlagen bieten oftmals keine oder nur eingeschränkte Funktionen zur Erzeugung von SRE (Site Reliability Engineering). Virenscanner oder detaillierteres Logging ist ohne Gefährdung der kritischen Dienstleistung / Produktion nicht realisierbar.
Site Reliability Engineering (SRE) ist ein Software-Engineering-Ansatz für IT-Operations. SRE-Teams verwenden Software als Tool zur Verwaltung von Systemen, Behebung von Problemen und Automatisierung von Operations-Aufgaben.
Die OHSzA (Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung) beschreibt: "Ist somit die bestehende Infrastruktur nicht in der Lage, auskömmliche Protokollierungsereignisse bereitzustellen, SOLLTE die Protokollierungsinfrastruktur so gewählt werden, dass Detektion und Reaktion im sinnvollen Rahmen möglich sind."
@Acht:Werk
Wie Sie sehen, ergeben sich aus der Orientierungshilfe des BSI – die nicht nur für Deutschland gültig ist und auch in anderen Ländern als Grundlage für die Implementierung eines Anomalie Erkennungstools dienen kann – drei wesentliche Aufgabenbereiche: Protokollierung, Detektion und Reaktion.
Protokollierung:
Der Bereich Protokollierung beschreibt die Planung und Umsetzung zur Erhebung, Speicherung und Bereitstellung aller notwendigen Protokoll- und Protokollierungsdaten.
Diese MÜSSEN erhoben werden, um SRE, die sich negativ auf die Informationssicherheit auswirken, zu erkennen und auszuwerten.
Für Geräte und Systeme in der kritischen Dienstleistung, aber auch in der Produktion als wesentliche bzw. wichtige Einrichtung nach NIS2, MUSS der Betreiber Protokollierungsdaten aus System- und Netzebene erheben, um entsprechende SRE zu erkennen und zu bewerten.
Detektion:
Ziel der Detektion ist es, SRE, die die Verfügbarkeit, Vertraulichkeit, Integrität oder Authentizität eines Gerätes oder Systems der kritischen Dienstleistungen oder wesentlichen und wichtigen Einrichtungen beinträchtigen, zu erkennen und anzuzeigen.
Die Detektion von sicherheitsrelevanten Ereignissen kann musterbasiert und/oder anomaliebasiert erfolgen.
Das BSI hat hierzu die Empfehlung CS-134 "Monitoring und Anomalie Erkennung in Produktionsnetzwerken" herausgegeben (Grundlage für Deutschland sowie unterstützende Hilfe für Länder des EU-Raums)
Jetzt kommt Werbung:
Unser IRMA®-System erstellt mit rein passivem Netzwerkmonitoring qualifizierte SRE für jede Art von Anlagen (Operational Technology (OT), Netzleittechnik, Fernwirktechnik)
@Acht:Werk
Reaktion:
In der Praxis kann nie ausgeschlossen werden, dass Sicherheitsvorfälle auftreten. Um Schäden zu begrenzen und Folgeschäden zu vermeiden, müssen erkannte Sicherheitsvorfälle schnell und effizient bearbeitet werden. Dafür ist es notwendig, ein vorgegebenes und erprobtes Verfahren zur Behandlung von Sicherheitsvorfällen zu etablieren. Somit ist eine entsprechende Richtlinie zu erstellen, in der alle Aspekte einer solchen Behandlung der SRE geregelt sind.
Das SzA MUSS automatisch alarmieren. Es MUSS immer gewährleistet sein, dass keine Beeinträchtigung der kritischen Dienstleistung und Produktion erfolgt.
@Industrial Automation
Gas / Wasser / Strom / Abwasser - die Anforderungen an die OT werden härter, denn deren kurzfristige Erfüllung ist gesamtgesellschaftlich elementar.
Eine Angriffserkennung gerade in diesen Anlagen bedarf aufgrund der Strukturen, Geräte und Protokolle spezieller Lösungen. Im Anlagen- und Produktionsbereich, als Herzstück des Unternehmens, sind Systeme zur Anomalie Erkennung besonders wichtig.
Produktionsanlagen haben ein wenig andere Ansprüche
Strikt getrennte Netze für den Datenaustausch sind heute fast nicht mehr vorhanden. Die Vernetzung von Produktionsanlagen und Steuerungseinheiten mit der Büro-IT oder über das Internet bieten Ihnen als Unternehmer nicht nur Vorteile durch kontinuierliche Optimierung und Flexibilisierung der Fertigung - sie birgt auch viele Gefahren.
Etablierte Sicherheitselemente wie Antivirenschutz, Intrusion Detection oder Prävention Systeme erkennen nur bekannte traditionelle Schadsoftware wie Malware oder Trojaner. Für die neuesten Technologien heutiger Cyberangriffe sind diese nicht mehr ausreichend.
Deshalb stellt die effiziente Angriffserkennung und somit Absicherung von Produktionsanlagen gegen Cyberangriffe, interne Manipulation oder fehlerhafte Konfiguration eine zunehmende Herausforderung dar.
Ein kontinuierliches Monitoring der Kommunikation in der Produktionsanlagen-IT entdeckt neuartige Anomalien. Um unvermittelbar reagieren zu können und Schäden zu vermeiden braucht es eine intelligente Echtzeit-Analyse mit aussagekräftigen Alarmmeldungen, die priorisiert verteilt werden.
@Industrial Automation, Acht:Werk
Und schon wieder Werbung:
Mit IRMA® können Sie auf ein leistungsfähiges Industrie-Computersystem zurückgreifen. Ohne jegliche Aktivität im IT-Netz überwacht IRMA® kontinuierlich Ihre Anlagen, liefert Informationen und ermöglicht die risikobasierte Analyse sowie intelligente Alarmierung. Und das alles über eine Management-Konsole. IRMA® wurde als innovative Lösung am Stand der Technik entwickelt und gewährleistet damit Ihre anhaltende Handlungsfähigkeit.
Sie wollen jederzeit den aktuellen Sicherheitsstatus Ihres IT-Netzes erkennen? Die relevanten Risiken sollen bekannt und bewertet sein?
IRMA® ist das erste Überwachungssystem, das sich störungsfrei in den Produktionsprozess implementiert - mit nur wenigen Schritten ist Ihre IRMA® bereit, Ihr Produktionsnetzwerk zu überwachen - ohne zeit- und kostenintensive Implementierungsprozesse und Konfiguration. Außerdem ist IRMA® skalierbar und in Ihr bestehendes ISMS und/oder SIEM integrierbar.
Download:
Ganzheitlicher Schutz in Produktionsanlagen - Anomalie Erkennung
Das sind unsere Vertrauenspunkte - für Gas, Wasser, Strom, Abwasser und Produktion.
25 Jahre Expertise im Bereich Automatisierung, jahrzentelanges Erfahrungswissen in Beratung und Umsetzung sagen schon viel aus.
@Industrial Automation