Suchen

Cyber-Security Aktives und passives Scanning – warum beides wichtig ist

| Autor / Redakteur: Chris Sherry* / Ines Stotz

Die Folgen eines Angriffs auf eine KRITIS-Umgebung sind weitreichend. Um solche Risiken schnell zu erkennen und Gegenmaßnahmen einzuleiten, ist es unabdingbar passives und aktives Scanning in OT-Umgebungen durchzuführen.

Firmen zum Thema

IT-Organisationen müssen sich der Herausforderung stellen, auch die industrielle Betriebstechnik abzusichern. Dabei ist aktives und passives Scanning wichtig.
IT-Organisationen müssen sich der Herausforderung stellen, auch die industrielle Betriebstechnik abzusichern. Dabei ist aktives und passives Scanning wichtig.
(Bild: gemeinfrei / CC0 )

Die digitale Transformation begünstigt, dass IT- und OT-Umgebungen zusammenwachsen. Fernwartung, schnellere Produktionszyklen, kleinere Produktionsmengen, schnellere Lieferketten und vor allem auch mehr Geschwindigkeit von der Prototypenentwicklung hin zur Produktion sind nur einige der Vorteile. Mit der Einführung von 5G wird die Wertschöpfungskette einmal mehr beschleunigt. Die stärkere Vernetzung der Geräte mit den Steuerungssystemen und deren Software öffnet neue Geschäftsmodelle.

Dabei beschreibt die Cyber- und Ausfallsicherheit einen Nachteil: Viele Technologien zur Erkennung von Gefahren in OT-Netzwerken scheitern an den Anforderungen der OT-Ingenieure nach einem möglichst unterbrechungsfreien Betrieb. Aus Security-Sicht ist die Auswahl des Scannings zum richtigen Zeitpunkt in der gegebenen Umgebung oft schwierig.

Bildergalerie

Warum Scannings wichtig sind

Ein entdeckter Trojaner ist EKANS. Er ist auf industrielle Steuerungssysteme und deren Soft- und Hardware ausgerichtet. Vergleichbar mit anderer Ransomware verschlüsselt er Daten und übermittelt den Opfern eine Notiz, welche die Zahlung zur Freigabe verlangt. Er ist so konzipiert, dass 64 verschiedene Softwareprozesse auf den Computern der Opfer beendet werden. Darunter sind viele, die spezifisch für industrielle Steuerungssysteme sind. Er kann Daten verschlüsseln, mit denen diese Steuerungssystemprogramme interagieren.

Im Vergleich zu anderer Malware, die speziell für die industrielle Sabotage entwickelt wurde, ist dies ein grober Schlag für Software, die zur Überwachung kritischer Infrastrukturen, wie etwa der Pipelines einer Ölgesellschaft, eingesetzt wird. Die Folgen eines Angriffs auf eine KRITIS-Umgebung sind weitreichend und können auch die Umwelt gefährden. Um solche Risiken schnell zu erkennen und Gegenmaßnahmen einzuleiten, ist es unabdingbar passives und aktives Scanning in OT-Umgebungen durchzuführen.

Aktives Scanning

IT- und OT-Umgebungen aktiv zu scannen, ist in der Cybersicherheit eine der wichtigsten Maßnahmen. Besonders Überblick über die Vorgänge zu verschaffen und die „Gesundheit“ der Systeme zu überprüfen ist wichtig. Konkrete Informationen lassen sich oftmals nur durch aktive Anfragen herausfinden und sind nicht im normalen Datenverkehr zu finden oder werden von den Systemen automatisch übermittelt.

Die Funktionsweise sieht das Versenden eines Testverkehrs in das Netzwerk und die Abfrage von einzelnen Endpunkten vor. Die aktive Überwachung kann sehr effektiv sein, um grundlegende Profilinformationen wie Gerätename, IP-Adresse, Netflow- oder Syslog-Daten sowie detailliertere Konfigurationsdaten wie Marke und Modell, Firmware-Versionen, installierte Software/Versionen und Betriebssystem-Patch-Level zu erfassen. Durch das direkte Senden von Paketen an Endpunkte kann aktives Scannen die Datenerfassung beschleunigen. Jedoch erhöht dies das Risiko von Fehlfunktionen an den Endpunkten, indem inkompatible Abfragen an sie gerichtet oder kleinere Netzwerke mit Datenverkehr gesättigt werden. Dagegen ist ein Vorteil aktivem Scannings, dass es nur bei Bedarf scannt.

Nachteile entstehen in OT-Umgebungen. Diese Systeme, vor allem die Steuerungssoftware, wurde oftmals nicht darauf vorbereitet ihre Aufgaben durchzuführen, während kommuniziert. Die Gefahr, dass die Controller verwirrt werden und nicht mehr wissen, was ihre eigentliche Aufgabe ist, besteht in der Realität. Viele dieser Systeme reagieren empfindlich auf äußere Einflüsse. Aus diesem Grund werden vor allem in OT-Umgebungen eher passive Scans durchgeführt.

Passives Scanning

Bei dem passiven Scan wird der Netzwerkverkehr stillschweigend analysiert, um Endpunkte und Verkehrsmuster zu identifizieren. Es erzeugt keinen zusätzlichen Netzwerkverkehr und birgt fast keine Risiken bei der Unterbrechung kritischer Prozesse durch direkte Interaktion mit den Endpunkten. Die passive Überwachung kann jedoch mehr Zeit für die Erfassung von Asset-Daten benötigen, da sie auf Netzwerkverkehr zwischen Assets wartet, um ein vollständiges Profil zu erstellen. Außerdem sind in einigen Fällen nicht alle Bereiche des Netzwerks verfügbar, was die Fähigkeit zur passiven Überwachung des Datenverkehrs in der gesamten OT-Umgebung einschränkt.

Aktive Scanns sind dennoch wichtig, benötigen jedoch Vorbereitung, damit Ausfälle und physischer Schaden vermieden wird. Die Durchführung ist sinnvoll, wenn Maschinenparks und Produktionsstraßen stillstehen. Im besten Fall treten lediglich Latenzzeiten auf, was jedoch Kosten verursacht.

Lösungen für die Erkennung und Überwachung von OT-Umgebungen vereinen inzwischen sowohl aktive als auch passive Scanning-Technologien. Sie erlauben es OT-Teams mehr Transparenz in ihren ICS-Umgebungen zu erreichen.

Fazit: IT-Organisationen müssen sich der Herausforderung stellen, auch die industrielle Betriebstechnik abzusichern. Aktives und passives Scanning ist wichtig, um einen Überblick über die Vorgänge in den OT-Umgebungen zu bekommen. Die Folgen eines Scannings sollten berücksichtigt werden. Aktives Scanning sollte nur temporär durchgeführt werden, um Produktionsausfälle zu vermeiden. Passives Scanning bietet eine geringere Wahrscheinlichkeit von Störungen, liefert jedoch nicht die gleichen Ergebnisse.

Aus diesem Grund benötigen Unternehmen Lösungen, die beides in sich vereinen. Eine Lösung ist Forescout Technologies. Sie bietet eine Cloud-basierte Lösung zur unternehmensweiten Netzwerksegmentierung. Die Software hilft, die Sicherung kritischer Anwendungen zu erleichtern, die Anfälligkeit gemischter IT/OT-Umgebungen zu reduzieren und die Auswirkungen von Angriffen auf das Netzwerk zu begrenzen. Die Lösung ermöglicht es Unternehmen, ihre Netzwerksegmentierung zu definieren und zu implementieren. Dazu gehören komplexe Unternehmensnetzwerke, Rechenzentren, Clouds und vor allem auch OT-Umgebungen.

* Chris Sherry, Regional Vice President EMEA bei Forescout

(ID:46611627)