Home » Fachbeiträge » Endpoint Security » Angriffserkennung beginnt am Endgerät

Angriffserkennung beginnt am Endgerät

Mit dem Aufkommen von Smart Home, Smart Grid und Smart City entstehen stark verteilte und vernetzte Edge Devices, also Geräte am Rande des Netzwerks. Dies stellt sowohl eine Herausforderung für die Cybersicherheit als auch für den reibungslosen Betrieb dar. Eine schlanke endpunktbasierte Überwachung mit Angriffserkennung kann sowohl einzelne Geräte als auch ganze Flotten schützen.

4 Min. Lesezeit
Foto: ©AdobeStock/ hasan

In (Industrial)-Internet-of-Things-((I)IoT)-Netzwerken reicht die Vernetzung, Kommunikation und Steuerung häufig über den Sicherheitsperimeter der herstellenden und betreibenden Unternehmen hinaus. Dies bedeutet, dass die Cybersicherheit bis zu einem gewissen Grad der Kontrolle der Verantwortlichen entzogen ist. Neben den Schnittstellen und Zugängen zu Serviceunternehmen stellt auch die Nutzung öffentlicher Netzwerke ein Sicherheitsrisiko dar. Darüber hinaus greifen Nutzerinnen und Nutzer über ihre Endgeräte, die in das Heimnetz integriert sind, auf (I)IoT-Systeme zu, insbesondere im Fall von Smarthome-Anwendungen.

Cybersicherheit – zu häufig eine offene Flanke

Die Einbindung von (I)IoT-Anwendungen in private und öffentliche Ökosysteme erhöht die Angriffsflächen erheblich. Angreifende, von Cyberkriminellen bis hin zu staatlich unterstützten Advanced Persistent Threats, können beispielsweise das Handy, den privaten Router oder unsichere Smarthome-Geräte nutzen, um kritische (I)IoT-Systeme zu kompromittieren.

Dies birgt nicht nur das Risiko von Beschädigungen einzelner Anlagen, sondern aufgrund der Vernetzung der Systeme auch die Gefahr, dass über eine kompromittierte Anlage weitere Anlagen übernommen und für Botnets oder koordinierte Abschaltungen genutzt werden. Es besteht auch die Möglichkeit, auf die internen Steuerungs- und IT-Systeme des betreibenden Unternehmens zuzugreifen.

Die verantwortlichen Unternehmen, insbesondere bei kritischen, komplexen und kostenintensiven (I)IoT-Systemen, müssen daher einen Weg finden, ihre Anlagen umfassend abzusichern.

Fehlersuche: Die Nadel im Heuhaufen

Eine weitere Herausforderung in (I)IoT-Netzwerken besteht darin, Fehlkonfigurationen, Softwarefehler und technische Fehlerzustände zu erkennen, zu lokalisieren und einzugrenzen, die zu Betriebsstörungen führen können.

Die Ursachenforschung bei Betriebsstörungen ist oft zeitaufwendig und mühsam. Häufig ist unklar, ob der Fehler auf Software- oder Hardwareprobleme zurückzuführen ist oder sogar Auswirkungen eines Angriffs sind. Dieses Thema ist keineswegs irrelevant, wie aus Risikoanalysen, Schwachstellenbewertungen und Überwachungsprojekten industrieller Netzwerke bekannt ist. Fast die Hälfte der dort identifizierten Anomalien lässt sich auf technische Fehlerzustände zurückführen.

Bild 1: Beispielhaftes Dashboard des IIoT-Monitorings mit Angriffserkennung und -abwehr mit Übersicht aller Systeme, Anomaliemeldungen und Kommunikationsstatistiken

Risiken im Minutentakt

Die Risikolandschaft im Bereich IIoT-Anwendungen wird anhand von Ergebnissen eines Monitorings weltweit verteilter kritischer Edge Devices deutlich. Im Juni 2023 bestand das betreffende Netzwerk aus über 60.000 Geräten auf sieben Kontinenten, die mit einem zentralen Betriebsmanagement-und Monitoringsystem verbunden waren. Vor der Implementierung eines Sicherheitsmonitorings mit Angriffserkennung und -abwehr konnten zwar Leistungsparameter der hochwertigen Edge Devices zentral überwacht und gesteuert werden, jedoch fehlten bislang Sichtbarkeit und Schutzmechanismen gegen Cyberattacken und digitale Störungen.

Bereits während der initialen Risikoanalyse, die als Grundlage für die Entwicklung und Implementierung des kontinuierlichen Monitorings mit Sicherheitsautomatisierung dient, wurden verschiedene zuvor verborgene Cyberrisiken identifiziert. Beispielsweise hatten falsch konfigurierte Geräte unerlaubten Zugang zum Internet, was das Angriffspotenzial erheblich erhöhte. Zudem wurden unsichere Kommunikationsverfahren festgestellt, die von einem kritischen Drittanbieter genutzt wurden.

Es wurden auch Hardware-Defekte und Softwarefehler an einigen Geräten entdeckt, die zu Sicherheits- und Verfügbarkeitsproblemen führten. Basierend auf der Analyse der Risikolandschaft, Hardware- und Softwareparameter wurde eine effektive und sinnvolle Sicherheitsstrategie entwickelt, welche die Definition der Baseline-Kommunikation und kritischer abzuwehrender Vorgänge umfasste. Das industrielle Sicherheitsmonitoring wurde nachfolgend speziell auf die Edge Devices zugeschnitten und konzentrierte sich auf drei Aspekte:

  1. Die schlanke Programmierung und Containerisierung der Sicherheitslösung ermöglichte eine Ressourcenschonung der Edge Devices sowie eine zentrale, ferngesteuerte Bereitstellung und Verwaltung auf allen Geräten.
  2. Das Sicherheitsmonitoring sollte eine globale Sichtbarkeit über alle Auffälligkeiten auf einem zentralen Dashboard bieten.
  3. Kritische Sicherheitsvorfälle sollten direkt auf den Edge Devices blockiert werden, um eine Ausbreitung auf andere Geräte zu verhindern.

Im Zweifelsfall wird seitdem das betroffene Edge Device komplett vom Netzwerk getrennt. Nicht kritische Anomalien sollten in Echtzeit dem Monitoringteam gemeldet werden,
das anhand der PCAPs (Packet Captures, eine freie Programmierschnittstelle, um Netzwerkverkehr mitzuschneiden) und Kommunikationsmuster eine weiterführende Prüfung vornehmen kann.

Nach der Implementierung des kontinuierlichen Sicherheitsmonitorings wurden auch die täglichen Risiken und Angriffsversuche sichtbar (Bild 2). Hierzu gehörten Portscans, nicht autorisierte Anfragen über HTTP und DHCP, veraltete Protokolle, unverschlüsselte Kommunikation und fehlerhafte Zugriffe. Innerhalb eines Zeitraums von nur sieben Tagen wurden über 2.200 relevante Auffälligkeiten auf den verteilten Edge Devices identifiziert und gemeldet. Entsprechend den Sicherheitsrichtlinien wurden kritische Auffälligkeiten direkt auf den Geräten blockiert, um eine Eskalation zu verhindern.

Bild 2: Einwöchiges Histogramm der häufigsten identifizierten Anomalien auf den global verteilten IIoT-Anlagen eines Unternehmen.

Lokale und zentrale OT-Sicherheit wachsen zusammen

Die lokale und zentrale OT-Sicherheit verschmelzen in den Bereichen IoT und IIoT wie in keinem anderen Feld der Digitalisierung und Automatisierung. Herstellende und betreibende Unternehmen stehen vor einer Vielzahl von Sicherheitsanforderungen, darunter

  • die Absicherung der verteilten Anlagen gegen Angriffe aus externen, nicht vom Unternehmen kontrollierten Netzwerken,
  • die Gewährleistung des Flottenschutzes, also das Verhindern der Risikoeskalation und Ausbreitungvon Malware,
  • die Absicherung der cloudbasierten Plattform,
  • die Absicherung der Apps für Endnutzer,
  • die Lokalisierung und Eingrenzung von Fehlfunktionen, Softwarefehlern und technischen Fehlerzuständen,
  • der Aufbau einer globalen Threat Intelligence für orchestrierte Sicherheitsprozesse sowie
  • die Automatisierung der Sicherheitsprozesse für eine schnelle Reaktion und kosteneffiziente Betriebsführung.

Die Vielschichtigkeit kann durch einen Defensein-Depth-Ansatz passend adressiert werden. Laut NIST umfasst der Ansatz „die Kombination mehrerer heterogener Sicherheitstechnologien für die gängigen Angriffsvektoren, um sicherzustellen, dass Angriffe, die von einer Technologie übersehen werden, von einer anderen erkannt werden“.

Bild 3: Das IIoT Security Monitoring überwacht lokal alle Edge Devices und kann zusätzlich das Steuerungsnetz einbeziehen, um Risiken, Fehlerzustände und Cyberangriffe zu identifizieren.

Durch das Monitoring auf Netzwerk- und Endgeräteebene wird die erforderliche Sichtbarkeit innerhalb des eigenen Perimeters geschaffen (Bild 3). Eine integrierte Anomalieerkennung identifiziert Abweichungen vom erwarteten Kommunikationsverhalten, die auf Sicherheitsverstöße, Kompromittierungen oder Fehlerzustände hinweisen. Risikobewertung und die Analyse von PCAPs ermöglichen eine schnelle Auswertung und Priorisierung von Maßnahmen.

Die Sicherheitsautomatisierung, die auf die spezifischen Endgeräte abgestimmt ist, gewährleistet, dass kritische Vorfälle bereits am Edge gestoppt werden, um die Flotte und die zentrale Betriebsführung zu schützen.

Klaus Mochalski, Gründer Rhebo GmbH

Andere interessante Fachbeiträge

Tippende Hände auf Tastatur und Datenschutzsymbol im Vordergrund

Mehrfachregulierung durch NIS-2

Mit der NIS-2-Regulierung, die neue Cybersecurity-Pflichten fordert, entsteht für viele Firmen eine Mehrfachregulierung. Gründe dafür können die Doppelrolle von Unternehmen oder parallel anzuwendende sektorspezifische Regelungen sein.

Mann tippt mit Finger auf Cloud-Symbol

Wie Workload-Security mit SASE funktioniert

Bedrohungen erkennen, Prozesse schützen: Für die Absicherung und Verwaltung von Zugriffen auf Workloads, Anwendungen und Daten ist Secure Access Service Edge (SASE) eine der stärksten Optionen.

Hacker mit Glitch-Effekt

Mit Ransomware-Erpressern richtig verhandeln

Mit der zunehmenden Komplexität und Häufigkeit von Ransomware-Angriffen wird es immer wichtiger, die effektivsten Verhandlungstaktiken zu verstehen und anzuwenden, um die Auswirkungen solcher Vorfälle zu minimieren und den Geschäftsbetrieb schnell wiederherzustellen. Unser Autor untersucht verschiedene Vorgehensweisen für Ransomware-Situationen und wie sie sich auf das Ergebnis auswirken.