Kampf gegen Cyber-Attacken

Industrie 4.0 bietet attraktive Angriffsziele

Im Industrie-4.0-Umfeld finden Cyber-Kriminelle attraktive Angriffsziele und dabei häufig sehr leichte „Datenbeute“.

Terminator-Armdrücken

Die Angriffe von Cyber-Kriminellen gestalten sich heute ausgefeilter denn je.

Rund 229 Tage – so viel Zeit verbringen Cyber-Kriminelle laut M-Trends Report von Mandiant im Netzwerk ihrer Opfer, bevor sie entdeckt werden. Dabei gestalten sich die Angriffe von Datendieben heute ausgefeilter denn je und für Unternehmen extrem schwer zu identifizieren. Das Problem: Der klassische „Fort-Knox-Ansatz“, bei dem kritische Daten möglichst sicher verschanzt werden, reicht nicht, um ein Netzwerk umfassend zu schützen. Eine Kombination statischer Sicherheitsstrategien mit Methoden für rasche Reaktionen ist nötig, wie etwa eine kontinuierliche Netzwerküberwachung. Ziel ist beispielsweise im Industrie-4.0-Umfeld eine intelligente Analyse aller verfügbaren Maschinendaten. So lassen sich Bedrohungen zu einem frühen Zeitpunkt erkennen und bekämpfen.

Unternehmen erzeugen jeden Tag Terabytes an sicherheitsrelevanten Daten – etwa von Firewalls, Anti-Malware-Tools oder Intrusion-Detection-Systemen (IDS). Dazu kommen Logfiles, Anwendungsdaten sowie Web- und E-Mail-Protokolle. Um ein umfassendes Bild zu erhalten, sollten möglichst viele dieser Informationen gesammelt und miteinander korreliert werden. Denn dies macht es einfacher, Muster und vor allem Abweichungen vom Normalzustand zu erkennen. So genannte Operational-Intelligence-Plattformen können dies ermöglichen: Sie führen extrem große Mengen unstrukturierter Daten zusammen und indexieren die Informationen. Unternehmen können so ähnlich wie bei einer Suchmaschine im Internet ihre Daten zu verschiedenen Themen „befragen“ und miteinander verknüpfen. So entsteht ein unmittelbares Gesamtbild der Bedrohungslage, das auch winzige Spuren von Manipulationen in einem Meer scheinbar unverdächtiger Ereignisse aufdeckt. Warnmeldungen und Berichte in Echtzeit erleichtern es Sicherheitsverantwortlichen, potenzielle Gefahren sofort auszumachen.

Ereignismuster erkennen


Ein Beispiel: Bei einem Finanzinstitut hatte sich ein interner User mit dem Benutzernamen „Administrator“ an einem Windows-Endgerät angemeldet. Da aber alle Benutzer ein individuelles Login haben und somit nicht in der Lage sind, sich als „Root“ oder „Administrator“ anzumelden, löste dieser Vorgang einen Alarm in der Sicherheitsabteilung aus. Gleichzeitig erkannte die Anti-Malware-Anwendung, dass auf demselben Endgerät ein Schadprogramm ausgeführt wurde. Mit einem Spezialwerkzeug für die Vermeidung von Datenverlusten konnte schließlich festgestellt werden, dass von dem „Administrator“-PC unverschlüsselte Kreditkarteninformationen an einen verdächtigen Command- und Control-Server übermittelt wurden. Alles deutete auf einen Hackerangriff hin – drei verdächtige Ereignisse, die sich innerhalb kürzester Zeit auf einem einzigen Gerät abspielten. Der Angreifer konnte sich über die gefälschten Anmeldedaten einloggen und vermutlich Malware sowie eine Hintertür für den remoten Zugriff installieren, um so an die Kreditkartendaten zu gelangen.

Das Unternehmen reagierte, indem es das Ereignismuster ermittelte und auf drei verschiedene Datenquellen anwendete. Sollte ein ähnlicher Vorgang erneut auftreten, wird er automatisch erkannt und ein entsprechender Alarm ausgelöst. Darüber hinaus ist der Alarm mit einem einfachen Script verknüpft, das alle externen Verbindungen eines infizierten Geräts automatisch blockiert und einen künftigen Datendiebstahl sofort identifizieren und verhindern kann. Anhand einer Mustersuche in alten Daten ließen sich weitere infizierte Geräte finden und anschließend säubern.

Ein anderes Unternehmen nutzte eine Operational-Intelligence-Lösung des Anbieters Splunk, um Spearfishing-Attacken auf seine Mitarbeiter aufzuklären und zukünftig zu verhindern. Die Sicherheitsverantwortlichen analysierten dafür alle externen E-Mail-Domains, von denen aus Nachrichten in das Unternehmen gelangten und alle externen Webseiten, die von Mitarbeitern aufgerufen wurden. Zusätzlich wurden auch noch Dienste und ausführbare Dateien, unter die Lupe genommen, die auf internen Maschinen liefen.

Dadurch konnte das Unternehmen die genaue Abfolge der Ereignisse nachvollziehen, die zur Entwendung vertraulicher Daten geführt hatte. Ein Mitarbeiter erhielt eine ihm unbekannte Nachricht von einer externen E-Mail-Domain und besuchte anschließend eine Webseite, die innerhalb des Unternehmens nur selten aufgerufen wird. Durch den Aufruf der Seite wurde der PC mit Malware – vermutlich einem Toolkit für den Fernzugriff – verseucht. Um solche Angriffe zukünftig zu verhindern, definierten die Sicherheitsexperten im Unternehmen eine maßgeschneiderte Suche über die Operational Intelligence Plattform und verknüpften sie mit einer Alarmfunktion. Falls eine ähnliche Verkettung von Ereignissen erneut auftreten sollte, warnt das System jetzt in Echtzeit.

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok