- Anzeigen -


Potenzielle Angreifer sind überall


Die Industrie 4.0 stellt Unternehmen vor die Herausforderung, ihre Sicherheitsvorkehrungen grundsätzlich zu überdenken
Das Honeynet war insgesamt acht Monate im Netz. Der erste Zugriff erfolgte fast zeitgleich mit dem "Scharfschalten". Während der Laufzeit verzeichneten die TÜV SÜD-Experten über 60.000 Zugriffe aus mehr als 150 Ländern

(21.08.15) - Mehr als 60.000 Zugriffe auf eine virtuelle Infrastruktur verzeichnete TÜV SÜD in der achtmonatigen Laufzeit eines Honeynet-Projekts. Das Honeynet kombinierte reale Hardware und Software mit einer simulierten Umgebung eines kleineren Wasserwerks. Die Zugriffe erfolgten von Servern aus der ganzen Welt und teilweise unter verschleierten IP-Adressen. Mit dem Honeynet-Projekt hat TÜV SÜD den Nachweis erbracht, dass Infrastrukturen und Produktionsstätten gezielt ausgeforscht werden.

Die Industrie 4.0 stellt Unternehmen vor die Herausforderung, ihre Sicherheitsvorkehrungen grundsätzlich zu überdenken. Die zunehmende Digitalisierung und Vernetzung macht Infrastrukturen und Produktionsstätten anfälliger und schafft neue "Einfallstore" für einen möglichen Missbrauch – von der Spionage bis zur Sabotage. Mit einem High-Interaction-Honeynet hat TÜV SÜD neue Erkenntnisse gewonnen, von denen Unternehmen aus unterschiedlichsten Branchen profitieren können.

Genaue Analyse von Zugriffs- und Angriffsaktionen
"Ein Honeynet ist ein System, das Angreifer anlocken und die Analyse der Zugriffs- und Angriffsaktionen ermöglichen soll", sagt Dr. Armin Pfoh, Vice President im Bereich Strategie & Innovation von TÜV SÜD. Für das aktuelle Projekt hatte TÜV SÜD ein Wasserwerk in einer deutschen Kleinstadt simuliert. "Zu diesem Zweck haben wir ein sogenanntes High-Interaction-Honeynet eingerichtet, das reale Hardware und Software mit einer simulierten Umgebung kombinierte", erklärt Dr. Pfoh. Die Sicherheitsvorkehrungen entsprachen dem industrieüblichen Niveau. Den praxisnahen Aufbau des Systems und die Sicherheitsvorkehrungen haben die TÜV SÜD-Experten zusammen mit Vertretern der Versorgungswirtschaft entwickelt und umgesetzt.

Das Honeynet war insgesamt acht Monate im Netz. Der erste Zugriff erfolgte fast zeitgleich mit dem "Scharfschalten". Während der Laufzeit verzeichneten die TÜV SÜD-Experten über 60.000 Zugriffe aus mehr als 150 Ländern. "Damit konnten wir nachweisen, dass selbst eine relativ unbedeutende Infrastruktur im Netz wahrgenommen und ausgeforscht wird", sagt Dr. Thomas Störtkuhl, Senior Security Experte und Teamleiter Industrial IT Security bei TÜV SÜD. Die Top-3-Zugriffsländer nach IP-Adresse waren China, die USA und Südkorea, wobei die IP-Adressen allerdings keine belastungsfähige Aussage über den tatsächlichen Standort des Zugreifenden ermöglichen. Zudem erfolgten die Zugriffe zum Teil über verdeckte bzw. verschleierte IP-Adressen.

Interessant war auch die Erkenntnis, dass die Zugriffe nicht nur über Standardprotokolle der Büro-IT, sondern auch über Industrieprotokolle wie Modbus TCP oder S7Comm erfolgten. "Die Zugriffe über Industrieprotokolle waren zwar deutlich seltener, kamen aber ebenfalls aus der ganzen Welt", erklärt Dr. Störtkuhl. Damit ist für den Sicherheitsexperten klar, dass Lücken in der Sicherheitsarchitektur von Steuerungsanlagen entdeckt werden und dass die Systeme für einen möglichen Angriff anfällig sind. Das kann entweder ein genereller Angriff auf bestimmte Strukturen und Devices oder ein gezielter Angriff auf ein ausgewähltes System sein.

Deutliches Warnsignal für Unternehmen
Die Ergebnisse des Honeynet-Projekts sind ein deutliches Warnsignal – nicht nur für die Betreiber von Infrastrukturen, sondern auch für produzierende Unternehmen. "Auch kleine oder unbekannte Firmen werden entdeckt oder gesehen, weil ständig Ausspäh-Aktionen im Internet laufen", betont Dr. Thomas Störtkuhl. Damit können diese Firmen zu Opfern einer Angriffswelle werden, auch wenn sie nicht gezielt ausgesucht wurden. "Wenn Unternehmen durch Ausspäh-Aktionen erst einmal auf den Monitor von potenziellen Angreifern geraten sind", so der Sicherheitsexperte, "wird dadurch auch ein gezielter Angriff zu einem späteren Zeitpunkt erleichtert." Das zeigen auch die Angriffsversuche auf das Honeynet von TÜV SÜD, die über unterschiedliche Protokolle erfolgten. Dabei handelte es sich zum einen um eine weltweite Denial-of-Service- (DoS-)Attacke und zum anderen um zwei gezielte Angriffsversuche über zwei unterschiedliche Industrieprotokolle.

Monitoring ist Basis für die Entwicklung von Schutzmaßnahmen
Die wichtigsten Botschaften aus dem Honeynet-Projekt von TÜV SÜD: Infrastrukturen und Produktionsstätten werden kontinuierlich ausgeforscht. Das gilt selbst für ein relativ unbedeutendes Wasserwerk in einer deutschen Kleinstadt. Aus Zugriffen können Angriffe werden, die ein hohes Schadenspotenzial haben – von der Ausspähung von Betriebsgeheimnissen bis zur Sabotage einer kompletten Infrastruktur. Ohne die Anpassung ihrer Sicherheitsvorkehrungen fahren Unternehmen und Betreiber von Infrastrukturen ein hohes Risiko. Ein gezieltes Monitoring ist Voraussetzung dafür, dass Unternehmen ihre Gefährdungslage realistisch einschätzen und wirkungsvolle Schutzmaßnahmen entwickeln können. Nach den Erfahrungen aus dem Honeynet-Projekt muss das Monitoring zwingend auch Industrieprotokolle erfassen, weil potenzielle Angreifer diese Protokolle kennen und nutzen. (TÜV Süd: ra)

TÜV Süd: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Unternehmen

  • Industrielles Netzwerk-Monitoring

    Rhebo, Anbieterin für Industrial Security und Industrial Continuity, hat 2018 mit einem Wachstumsrekord und einer Umsatzsteigerung von 300 Prozent abgeschlossen. Der Marktanteil in der DACH-Region steigerte sich im selben Zeitraum auf 30 Prozent. Diese Entwicklung wird in 2019 bestätigt. Bis Juli dieses Jahres konnte Rhebo ihren Umsatz im Vergleich zum Vorjahr bereits verdoppeln. Rhebo sieht darin ihre Strategie bestätigt, die Cybersicherheit vernetzter Industrieanlagen um den Aspekt der Anlagenverfügbarkeit und Operational Continuity zu erweitern. Hierfür hatte das deutsche Unternehmen seine Lösung für industrielles Netzwerk-Monitoring mit Anomalieerkennung "Rhebo Industrial Protector" bewusst um Funktionen erweitert, die über Cybersecurity hinausgehen. Die Lösung von Rhebo erkennt somit nicht nur versteckte Angriffe durch Cyberkriminelle oder Aktivitäten von Schadsoftware in der Automatisierungstechnik von Industrieunternehmen und der Netzleittechnik von Energie- und Wasserversorgungsunternehmen. Auch technische Fehlerzustände, welche die Netzwerkqualität und damit die Verfügbarkeit und Prozessstabilität beeinträchtigen können, werden lückenlos gemeldet.

  • Angebote für Behörden und Schulen

    Die Digitalisierung ist eine der größten Chancen und zugleich Herausforderungen der aktuellen Zeit. Sie betrifft alle Bereiche, prägt und verändert in immer stärkerem Ausmaß das Leben und Arbeiten der Menschen. Das gilt auch für zwei Bereiche, in denen Kommunikation elementar wichtig ist: Behörden und Bildung. Hierfür hat Cryptshare ab sofort zwei Lösungen im Portfolio. Dank "Cryptshare für Behörden" können Behörden zentrale Anforderungen der Europäischen Datenschutz-Grundverordnung sowie interne Datenschutz-Richtlinien umsetzen. Und mit "Cryptshare for Schools" bietet das Unternehmenab sofort kostenlose Software-Lizenzen für alle deutschen Schulen in öffentlicher Trägerschaft an. Er fördert damit die datenschutzgerechte Kommunikation in Behörden, der Schulverwaltung, bei Lehrkräften, Eltern und Schülern.

  • Bot-Erkennungs- und Abwehrfunktionen

    Barracuda hat das indische Startup InfiSecure Technologies erworben. Damit stattet die Sicherheitsspezialistin ihren erst kürzlich vorgestellten "Service Advanced Bot Protection" für die Barracuda WAFaaS-Plattformen sowie die Web Application Firewall mit erweiterten Funktionen aus. InfiSecure Technologies hat sich auf die Erkennung und Minimierung fortschrittlicher Bots mit niedriger Latenzzeit spezialisiert. Laut Gartner sind "DDoS-Angriffe, betrügerische Käufe, Web Scraping sowie Schwachstellen-Scans und -Angriffe die Hauptarten von Bot-Angriffen". Solch schadhafte Bots entwickeln sich ständig weiter, so dass sie menschliches Verhalten immer genauer nachahmen können. Abwehrstrategien zur Bot-Erkennung und -Minderung werden daher immer wichtiger.

  • Cyber-Risiken ganzheitlich verwalten

    Tenable erweitert ihr "Cyber Exposure"-Ökosystem um neue Technologieintegrationen. Diese umfassen Lösungen führender Anbieter öffentlicher Cloud-Infrastrukturen sowie SIEM- und IT-Service-Management. Gemeinsam ermöglichen sie Kunden Cyber-Risiken ganzheitlich zu verwalten, zu messen und zu reduzieren. Grundlage dafür ist der tiefere Einblick in die gesamte moderne Angriffsoberfläche sowie die integrierten Sicherheits- und IT-Workflows, um Probleme schnell zu erkennen und zu lösen.

  • Erweiterung des Zero-Trust-Netzwerkzugriff

    Pulse Secure gab bekannt, dass aufgrund der wachsenden Nachfrage nach Hybrid-IT-Modellen und Zugriff mit kompromissloser Sicherheit im ersten Halbjahr 2019 ein zweistelliges Wachstum beim Handelsvolumen erzielt werden konnte. Außerdem gab das Unternehmen erhebliche Errungenschaften in punkto Produktinnovation, Kommunikationsprogramme, Kundenservice und Gewinnung qualifizierter Mitarbeiter bekannt. "Unser Umsatzwachstum zeigt deutlich, dass wir die robusteste und flexibelste Plattform für sicheren Zugriff bieten. Unsere Position ist ideal, um Kapital aus dem Wachstum des Marktes zu schlagen und die Nachfrage nach unseren Lösungen für den Rest des Jahres und bis 2020 hinein weiter anzukurbeln", so Sudhakar Ramakrishna, CEO von Pulse Secure, zu einer vor Kurzem durchgeführten Umfrage von IDG, bei der herauskam, dass 91 Prozent der Unternehmen vorhaben, ihre Ausgaben für die Zugriffssicherung in den nächsten 18 Monaten zu steigern.