Startseite » Security »

Rhebo sucht nach Anomalien im Netzwerk

Industrie 4.0
Rhebo sucht nach Anomalien im Netzwerk

18. Dezember 2017
5 Minuten Lesezeit
Monitoring- und Sicherheitslösungen für Industrie-4.0-Umgebungen müssen unkompliziert, schnell und gut integrierbar sein. Um Cyber-Gefahren zu trotzen, suchen neue selbstlernende Systeme nicht nach bekanntem Schadcode, sondern nach Anomalien im Verhalten der Komponenten eines Netzwerks. Dabei können auch Implementierungsfehler erkannt und so Prozesse optimiert werden.

Stefan Sebastian, Produkt & Strategie, Rhebo GmbH

Mit der zunehmenden Vernetzung industrieller Steuernetze geraten Fertigungsumgebungen nicht nur in den Fokus von Cyberkriminellen. Die Fertigungszellen und damit deren Steuernetze werden auch komplexer und störungsanfälliger. Die gängigen Lösungsansätze, die aus der Unternehmens-IT bekannt sind, adressieren diese Herausforderungen jedoch nur unzureichend. Zum einen konzentrieren sie sich auf die Absicherung gegen bekannte externe Angriffe. Gegenüber Advanced Persistent Threats wie WannaCry, Industroyer und NotPetya sind sie machtlos. Zum zweiten sind die gängigen Lösungen noch immer mehrheitlich inkompatibel mit der Fertigungs-IT (im Englischen hat sich für diese der Begriff der Operational Technology oder OT eingebürgert).

Schlussendlich kommt hinzu, dass eine mindestens ebenso relevante Quelle für Störungen in den Fertigungszellen selbst liegt. Selbst in kleinen Zellen finden sich heute häufig über 50 Komponenten und Endgeräte verschiedener Hersteller, die eine Vielzahl Funktionalitäten und Konfigurationen aufweisen. Diese Komplexität fördert Netzwerkprobleme und Störungen durch Kommunikationsfehler, Kapazitätsengpässe und Netzwerkdegradation. Die Fertigungsumgebungen hängen jedoch von einer funktionierenden Echtzeitkommunikation ab. Bereits kleine Aussetzer können zu Produktionsstörungen führen. In Audits zeigt sich dabei wiederholt, dass Steuernetzbetreiber weder eine Übersicht ihrer eingebundenen Komponenten besitzen, noch die Kommunikationsstruktur und -muster kennen. Eine industrielle Anomalieerkennung hat diese Herausforderungen aber im Blick: Sie schafft eine vollständige Transparenz im Steuernetz. Sie meldet jegliche verdächtigen Vorfälle inklusive Netzwerkproblemen, Änderungen im Kommunikationsverhalten aufgrund von Manipulation, Netzwerk- oder Anlagenverschleiß. Um ein effektives Reagieren auf Anomalien zu erleichtern, weist sie gemeldeten Anomalien eine Risikobewertung zu und priorisiert sie entsprechend.

Das fehlende Wissen entsteht durch die gängigen Blackboxtechnologien Firewall & Co., die über Updates und Feature-Listen Sicherheit und Verfügbarkeit versprechen, aber Transparenz verhindern. Unternehmen benötigen für ein effektives Netzwerkmanagement jedoch Souveränität über ihre Netzwerke. Und diese startet bei einem sauberen Network Mapping. Es entspricht einer permanenten Steuernetzinventur und beantwortet die entscheidenden Fragen für Administratoren: Wer ist im Steuernetz aktiv? Wer kommuniziert mit wem in welcher Hierarchie und wie oft? Wie hoch ist die Netzwerkbelastung über die Zeit? Was wird konkret im Steuernetz kommuniziert (Abfragen und Befehle)? Gibt es Verschiebungen in der Funktion? Zu den Antworten aus dem Network Mapping gehören dabei:

  • IP- und MAC-Nummer der Komponenten
  • bestehende Kommunikationsmuster zwischen Komponenten
  • Kommunikationshierarchien (Master-Slave)
  • verwendete Protokolle
  • Frequenz der Kommunikationsmuster
  • Inhalte der Datenpakete

Erst diese asset- und eventbasierte Analyse ermöglicht ein echtes Verstehen und effektives Management des Steuernetzes.

Löschen, wo es wirklich brennt

Eine industrielle Anomalieerkennung bedeutet auch eine Erweiterung der Gefahrenanalyse. Nicht nur Cyberhacks und Malwareangriffe werden erkannt. Auch Modifikationen der Kommunikationshierarchie, Netzwerk- oder Anlagenverschleiß, fehlerhafte Datenpakete, schleichende Veränderungen, Kapazitätsengpässe und nicht zuletzt menschliche Fehler werden erkannt und gemeldet. Diese Erweiterung des Scopes bedeutet ein vollständigeres Bild der Steuernetzdynamik, aber auch mehr Anomaliemeldungen. Administratoren benötigen deshalb ein System, das sie bei der Priorisierung und Einschätzung der Anomalien unterstützt. Aus dem Network Mapping lässt sich hierfür eine Risikolandkarte für das Steuerungssystem ableiten. Diese definiert, zu welcher Risikostufe die einzelnen überwachten Komponenten gehören. Zudem wird für mögliche Kommunikationsveränderungen festgelegt, welches Störungsrisiko sich daraus ergibt. Eine Veränderung der Master-Slave-Beziehungen wird zum Beispiel mit einer hohen Risikobewertung belegt.

Die Komponenten und Eingriffe werden hierfür auf einer Risikoskala eingestuft. Im laufenden Betrieb der industriellen Anomalieerkennung erlaubt dies eine Risikobewertung jeder einzelnen Anomaliemeldung (Risk Score). Je höher der Risk Score, desto höher die Gefahr für die Fertigung. Die Bewertung erfolgt in Echtzeit. Auf dem HMI der Anomalieerkennung können Administratoren die Meldungen z.B. nach Risk Score filtern und gezielt überprüfen. Neben dem Risk-Score-Filter sind weitere Filtermöglichkeiten, etwa nach Protokolltyp, Anlage und MAC-Adresse möglich. So können Maßnahmen schnellstmöglich priorisiert und umgesetzt werden.

Steuernetze in die Unternehmens-IT integrieren

Die Steuernetzdaten sind auch für weitere Anwendungen im Unternehmen interessant, die entweder im Leitstand (SCADA, SPS) oder aber in der Unternehmens-IT (Firewall, SIEMS, MES, SAP etc.) verortet sind. Über eine universelle und leistungsstarke Schnittstelle (z.B. REST-API, Syslog, SNMP, IEC 104 u.a.) können die Anomaliedaten über Netzwerkzellen hinweg an die entsprechenden Backend-Systeme weitergeleitet werden. Ein individuell definierbares Data-Filtering-Tool erlaubt zusätzlich die Automatisierung von Big-Data-Prozessen. So können Regeln (Data Filtering Policy) festgelegt werden, an welche Backend-Applikation bestimmte Arten der Anomaliemeldungen gesendet werden sollen. Eine Anomaliemeldung, die auf eine unbekannte Malware hinweist, kann z.B. automatisch und in Echtzeit an die Firewall oder das SIEMS gesendet und dort als neue zu blockierende Gefährdung hinterlegt werden. Meldungen, die auf einen Verschleiß eines Anlagenteils hinweisen, können für die vorausschauende Instandhaltung an das MES gesendet werden. Die Daten werden somit aussagekräftige Quelle für die IT-Sicherheit, Qualitätssicherung, Instandhaltung und Produktionssteuerung.

Die industrielle Anomalieerkennung wird als Ebene-2-Absicherung und Werkzeug für das umfassende Netzwerkmonitoring in die Unternehmensinfrastruktur integriert. Durch die Schaffung von Transparenz und Klarheit, die risikogebundene Bewertung der Anomalien und die reibungslose Integration in das Big-Data-Netz werden Störungen frühzeitig vermieden und zugleich die Handlungsfähigkeit gesteigert. Das gewährleistet ein effektives Management und – nicht zuletzt – die Steigerung der Produktivität und Sicherheit.

www.rhebo.com

Details zu den Rhebo-Lösungen für die Automatisierte Industrie:

www.hier.pro/QV9Sv

Messe SPS IPC Drives 2017:

Halle 6, Stand 140A

Teilen:
Newsletter

Abonnieren Sie unseren Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Videos

Hier finden Sie alle aktuellen Videos


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de