Netzwerkanalyse in Produktionsanlagen sicher durchführen

Fortschreitende Vernetzung verschiedener IT-Systeme sowie immer komplexer ablaufende Cyberangriffe fordern eine effektive und kontinuierliche Netzwerkanalyse. Im Fokus sollte dabei nicht nur der Traffic selbst stehen, sondern auch alle Netzwerkteilnehmer.

Schützen Sie Ihre vernetzte Automatisierung und Produktionsanlagen effektiv vor Cyberangriffen, indem Sie die wichtigsten Segmente Ihres Netzwerks kontinuierlich überwachen lassen. Hier erfahren Sie, wie Sie dabei effektiv und sicher zugleich vorgehen können.

Bei der Netzwerkanalyse unterscheidet man zwischen zwei Aufgabenbereichen: Dem Erkennen schützenswerter IT-Assets sowie der kontinuierlichen Analyse des Traffics.

Grundsätzlich geht es bei der Netzwerkanalyse der Systeme darum, bestehende Sicherheitslücken oder Schwachstellen zu erkennen, um so Cyberangriffen vorzubeugen.

Die Analyse des Traffics ist hingegen ein dauerhafter Prozess. Hier gilt es die erlaubten Kommunikationen zu überprüfen und Anomalien direkt zu erkennen. Ziel ist die ordnungsgemäße Nutzung zu prüfen, so z.B. genutzte Protokolle, Verbindungen oder geforderte Verschlüsselungen. Dies ist der wesentlichen Faktor, um die Verfügbarkeit zu kontrollieren und sicherzustellen.

Durch IIoT und Industrie 4.0 sind heutzutage sehr viele Geräte an einem Netzwerk angeschlossen. SCADA Systeme, Steuerungen, PLCs, HMIs, Sensoren und Aktoren nutzen standardisierte Kommunikationen und könnten fleißig mit Druckern, Smartphones und sogar Kaffeemaschinen kommunizieren. Dies ist in manchen Anlagen leider der aktuelle Stand, aber aus Sicherheitsgründen absolut nicht empfehlenswert.

Gehen wir also im Folgenden davon aus, dass das zu analysierende Netzwerk von dem normalen Firmennetzwerk getrennt ist und wir somit “nur” ein SCADA-System, mehrere Programmierrechner, Steuerungen / SPSen, PLCs, HMIs, Sensoren und Aktoren haben.

Eignet sich NMap für die Netzwerkanalyse von Produktionsanlagen?

Ein klares “Jein”. Denn der Einsatz von NMap birgt im Zusammenhang mit Produktionsanlagen zu hohe Gefahren. Zunächst sollte man sich beim Einsatz von Tools wie Nmap, oder anderen kommerziellen Tools, bewusst sein, dass es Steuerungskomponenten AKTIV anspricht und somit zu einer Belastung und Ausfall dieser Systeme führen kann. Darum raten wir allen Unternehmen von Automatisierungsanlagen, dass NMAP nur gezielt in Netzwerken und Systemen genutzt werden sollte, wo absolut sichergestellt ist, dass diese robust für aktive Anfragen sind. Dies muss vorher getestet werden!

Es kommt hinzu, dass die Informationen über das Netzwerk und Mitschnitte aus dem Netzwerk lokal auf den Computern gespeichert werden und somit auch in die Hände von Hackern gelangen können.

Im Folgenden erfahren Sie, wie Sie relevante Bereiche Ihres Netzwerks passiv und somit auf eine für die Automatisierungsanlagen unbedenkliche Weise scannen können.

Netzwerkanalyse in 3 Schritten

1. Schritt: Bestimmung schützenswerter Netzwerksegmente
Anstatt das gesamte Netzwerk zu analysieren, ist es zunächst sinnvoll, sich auf Netzwerksegmente zu konzentrieren, die besonders schützenswert sind. Im Rahmen einer ISMS-Implementierung stellt man sich folgende Fragen: An welcher Stelle würde Sie ein Cyberangriff empfindlich treffen? Welche sind die für den Produktionsprozess unabdingbaren Hard- und Softwareelemente? An welchen Stellen befinden sich unersetzliche Informationen (z. B. ein bestimmter Herstellungsprozess) Ihres Unternehmens, die geschützt werden müssen?

Gerade diese Informationen spielen für Verfügbarkeit der Produktionsanlage und somit den Erfolg eines Unternehmens eine zentrale Rolle. Daher lohnt es sich, die Kommunikation in den relevanten Bereichen näher zu analysieren.

IP-Ports analysieren
Folgende Fragen helfen dabei, IP-Ports, Protokolle und die Kommunikationen zu beurteilen:

  • Wird der IP-Port / IP-Protokoll in meiner Anwendung benötigt?
  • Hat der Service nur die für seine Aufgabe notwendigen Rechte?
  • Ist dieser Service passwortgeschützt und werden die Passwörter verschlüsselt übertragen?
  • Sind die Daten verschlüsselt?
  • Gibt es für diesen IP-Port / IP-Protokoll bekannte Exploits?
  • Kann man bekannte Exploits sichern oder durch Updates eliminieren?

HINWEIS: Ein gutes Passwort nützt nichts, wenn es als Klartext an das Gerät gesendet wird – und somit jeder Netzwerkteilnehmer es mitlesen kann. Selbst gut verschlüsselte Kommunikationen sind überflüssig, wenn eine Schwäche bekannt ist, mit der sich der Sicherungsmechanismus aushebeln lässt.

2. Schritt: Kontinuierliches Traffic-Monitoring
Die in Schritt 1 definierten schützenswerten Netzwerksegmente sollten permanent überwacht werden. Dies kann mit dem Computer System IRMA durchgeführt werden. IRMA scannt passiv das Netzwerk in einem kontinuierlichen Prozess ab und schlägt bei Anomalien Alarm. Es werden alle IT-Assets und Kommunikationen sowie die Nutzung dargestellt. Außerdem werden für eine forensische Detailanalyse, z. B. mit Wireshark, die Verbindungsdaten native zwischen gespeichert und können als pcab-Datei exportiert und genutzt werden.

Vorteile von IRMA
Mithilfe von IRMA können Verantwortliche für vernetzte Automatisierungen und Produktionsanlagen ihr Netzwerk kontinuierlich analysieren. Durch die einfache Bedienbarkeit und Automatisierung ist der Einsatz eines IT-Spezialisten nicht zwingend notwendig.

Gerade ältere vernetzte Automatisierungsanlagen sind sehr empfindlich, wenn es um einen aktiven Eingriff von Analysetools ins Netzwerk geht. Ein Anlagenausfall birgt nicht nur wirtschaftliche Ausfälle, sondern ist auch im Hinblick der Mitarbeiter bedenklich. Darum benutzt IRMA den passiven Zugang zum Netzwerk und nutzt maschinelles Lernen, um die Übersicht aller Teilnehmer und Verbindungen anzuzeigen.

IRMA sammelt außerdem Informationen über die Kommunikation in diesen Bereichen und protokolliert diese. Zugleich erkennt das System ungewöhnliche Prozesse, sogenannte Anomalien, und schlägt Alarm. Ein Beispiel für solche Anomalien können Aktivitäten eines APT (“Advanced Persistent Threats”) sein. Dies sind Cyberangriffe, die Virenscanner und Firewalls umgehen können und bis zu 200 Tage ungestört Schäden im Netzwerk verursachen. Je früher man diese Gefahren erkennt, desto besser kann man reagieren.

3. Schritt: Detailanalyse mit Wireshark
Während IRMA die Anomalie erkennt, kann ein Fachmann mit Hilfe von Wireshark eine weitergehende Detailanalyse durchführen, um die Ursache zu identifizieren. Die von IRMA protokollierten und zwischen gespeicherten Daten werden dabei genauer untersucht: Welche Protokollfunktionen wurden zu welchem Zeitpunkt genutzt, welche Fehler wurden im Protokoll nicht behandelt oder wer hat ggfs. permanent Protokollfehler ins Netzwerk kommuniziert?

Mithilfe dieser Informationen lassen sich innerhalb des Traffics mögliche Schwächen und Störungen erkennen und somit Sicherheitslücken schließen.

Fazit zur Netzwerkanalyse

In der heutigen Zeit mit der Vernetzung vieler Teilnehmer und dem Wunsch auf alles online zugreifen zu können, ergeben sich viele mehr Angriffspunkte und Schwachstellen. Firewalls, VPN und Virenscanner reichen nicht mehr, um ein System und seine Daten ausreichend zu schützen.

Wenden Sie die hier genannten Themen an und schützen Sie Ihre Produktionsanlage gegen Cyber-Angriffe mit intelligenten Netzwerk-Monitoring um auffälliges Verhalten, Anomalien und Angriffe frühzeitig zu erkennen.