Nach Oben
Themen Industrie 4.0 Themenfelder
Zurück

Security Monitoring

Elija Boss 28. August 2023
Die Komplexität industrieller Umgebungen und kritischer Infrastrukturen nimmt stetig zu, insbesondere wenn es darum geht, diese ausreichend abzusichern. Proaktive Sicherheitsmassnahmen wie das Security Monitoring oder der Betrieb von einem Security Operation Center (SOC), gewinnen dadurch immer mehr an Bedeutung und sind in vielen Unternehmen zu einem integralen Bestandteil der Cyber Abwehr geworden.

Unter Security Monitoring versteht man die konstante Überwachung und Protokollierung sämtlicher Vorgänge innerhalb einer Netzwerk-Umgebung und teilweise sogar darüber hinaus. Jegliche Aktivitäten von der System- bis zur Benutzerebene werden analysiert und in einem Zusammenspiel aus künstlicher und menschlicher Intelligenz korreliert, ausgewertet und behandelt. Dieser Ansatz ermöglicht die frühzeitige Erkennung von potenziellen Bedrohungen und eine sofortige Reaktion auf Sicherheitsvorfälle. So wird auch eine vermeintlich legitime Aktion genauer betrachtet, wenn sich beispielsweise ein Benutzer innert kürzester Zeit aus verschiedenen Ländern anmeldet.

Während Firewalls oder Antiviren-Lösungen oft nur lokal fungieren, sprich als Torwächter vor dem Netzwerk und am Endpunkt (PCs, Server, Maschinen), bietet das Security Operation Center einen holistischen Ansatz. So werden besagte Lösungen miteingebunden, Logs & Informationen aus allen möglichen Quellen gesammelt und zentral in einer Art Flugschreiber aufbereitet. Dadurch können Angriffe nicht erst bei deren Einschlag auf besonders schützenswerte Systeme erkannt, sondern auf allen Ebenen und oft bereits beim ersten verdächtigen Anzeichen oder einem initialen Zugriff unterbunden werden. Zudem stehen bei einem besonders schwerwiegenden Vorfall (Major Incident) unmittelbare Ressourcen zur Eindämmung, Forensik und Bewältigung (Incident Response) zur Verfügung.

 

Sachlage

Der zeitliche Aspekt spielt beim Security Monitoring eine entscheidende Rolle, denn nach wie vor dauert es durchschnittlich über 200 Tage bis eine Kompromittierung entdeckt wird. In dieser Zeit können Cyberkriminielle einem Unternehmen nachhaltig schaden, kritische Infrastrukturen komplett lahmlegen oder an marktentscheidende Daten gelangen und diese im Darknet weiter veräussern.

Jeden Tag werden bis zu 100 neue Schwachstellen in IT-/OT-Systemen gemeldet und weltweit findet alle 10 Sekunden ein meist finanziell motivierter Angriff statt, was zu Schäden von über 10 Millionen Franken pro Minute führt. Die meisten Angriffe finden zu Randzeiten, während der Feriensaison oder an Wochenenden statt und umso wichtiger ist es, auch ausserhalb der regulären Betriebszeiten eine entsprechende Überwachung mit spezialisierten Fachkräften dahinter in Bereitschaft zu haben. Denn hat ein erfolgreicher Angriff erst einmal stattgefunden, sind Unternehmen erst nach 2-3 Monaten in der Lage, den regulären Betrieb wieder aufzunehmen.

Weshalb ist dies speziell für OT-Umgebungen relevant?

«OT» bezieht sich auf «Operational Technology» und beschreibt Systeme, die physische Prozesse steuern, z. B. in der industriellen Automatisierung, Energieversorgung oder VerkehrstechnikDie Implementierung von Erkennungs- und Reaktionsmechanismen, kombiniert mit einem auf OT-Sicherheit spezialisierten Security Operations Center, ist in OT-Umgebungen aus verschiedenen wichtigen Gründen essentiell.

  1. Sicherheitslücken in älterer Technologie: Viele OT-Systeme wurden lange vor dem aktuellen Stand der Cybersicherheit entwickelt. Diese Systeme wurden oft ohne eingebaute Sicherheit oder mit veralteten Sicherheitsstandards erstellt und können daher anfällig für Angriffe sein.
  2. Steigende Vernetzung: Mit dem Aufkommen von IoT (Internet of Things) und Industrie 4.0 sind OT-Systeme zunehmend mit IT-Netzwerken und dem Internet verbunden. Diese Vernetzung erhöht das Angriffspotenzial und erfordert fortgeschrittene Überwachung und Reaktion.
  3. Physische Auswirkungen: Im Gegensatz zu herkömmlichen IT-Systemen, bei denen ein Angriff zu Datenverlust oder -diebstahl führen kann, können Angriffe auf OT-Systeme physische Auswirkungen haben, z. B. die Abschaltung von Stromnetzen, die Störung von Produktionslinien oder sogar potenzielle Sicherheitsbedrohungen für Menschen.
  4. Komplexe Bedrohungslandschaft: Angreifer, die OT-Umgebungen ins Visier nehmen, verfügen oft über spezialisiertes Wissen und Fähigkeiten. Ein SOC, das sich auf OT spezialisiert hat, kann dabei helfen, diese speziellen Bedrohungen zu erkennen und darauf zu reagieren.

 

Handlungsempfehlungen

Überwachung & Analyse

Stellen Sie sicher, dass Sie wissen, was in Ihrem Netzwerk vorgeht. Sei es mit eigens dafür zur Verfügung gestellten Ressourcen oder einem darauf spezialisierten Dienstleister

 

Detection / IR / DR / BCM

Angriffserkennung, Incident Response, Disaster Recovery & Business Continuity Management gehen Hand in Hand. Erarbeiten Sie Notfall-Pläne & -Konzepte in welchen definiert wird, wie im schlimmsten Fall reagiert, wiederhergestellt und der Betrieb wieder aufgenommen werden kann. Trainieren Sie diese Pläne regelmässig in unterschiedlichen Szenarien.

 

Auditierung

Lassen Sie Ihre Infrastruktur auf technische wie auch betriebliche Abläufe untersuchen. Im Zuge eines Audits oder Penetrationstests erhalten Sie klare Anhaltspunkte zu Schwachstellen und wie Sie diese beheben können. Achten Sie bei der Beauftragung konkret auf den Skope und die konkrete Definition, was und wer getestet wird.

 

Threat Intelligence & Threat Hunting

Security Analysts halten sich ständig auf dem Laufenden bezüglich aktueller Bedrohungen, Angriffsmustern und neuen Schwachstellen. Ergänzend dazu besteht die Möglichkeit gezielt auf die Jagd nach Informationen und Angriffsindikatoren in Bezug auf das eigene Unternehmen zu gehen

Elija Boss

Account Manager, Selution AG

Selution AG

Selution ist Experte für ganzheitliche Sicherheit und IT-Lösungen schweizweit. Sie begleiten Unternehmen bei digitalen Transformationen und schützen sie durch Managed Security Services vor modernsten Bedrohungen und Hackerangriffen.

www.selution.ch
Johannes Raff

Johannes Raff

CEO, Clue Security Services AG

Clue Security Services AG

Clue unterstützt Unternehmen aller Grössen dabei, ein vollumfängliches Security Konzept zu planen, zu realisieren und zu betreiben. Unsere Services, welche wir für jeden Kunden nach seinen Bedürfnissen implementieren decken spezifisch OT/IoT-Infrastrukturen ab. So steht dem Einzug in die Industrie 4.0 nichts mehr im Wege.

www.clue.ch
+41 44 667 77 66

Unsere Website verwendet Cookies, damit wir die Page fortlaufend verbessern und Ihnen ein optimiertes Besucher-Erlebnis ermöglichen können. Wenn Sie auf dieser Webseite weiterlesen, erklären Sie sich mit der Verwendung von Cookies einverstanden.
Weitere Informationen zu Cookies finden Sie in unserer Datenschutzerklärung.

Wenn Sie das Setzen von Cookies z.B. durch Google Analytics unterbinden möchten, können Sie dies mithilfe dieses Browser Add-Ons einrichten.