Aufrufe
vor 8 Monaten

Netzwoche 09/2018

Illustration: Scharfsinn

Illustration: Scharfsinn / shutterstock.com 32 XXXXXXXXXXX XXXXXXXXXXXX FOCUS INDUSTRIE 4.0 Auf dem Weg zur Industrie 4.0 cgr. Vor ungefähr drei Jahren ist das Schlagwort «Industrie 4.0», oder Industrie 2025, in der Schweiz angekommen. Glaubt man Google Trends, dann erreichte der Hype um das Thema Mitte 2015 einen Höhepunkt. Dies ist etwas später als in Deutschland, wo der Begriff massgeblich entwickelt und geprägt wurde. Folgt man dem Hype Cycle von Gartner, dann hat Industrie 4.0 die Hype-Kurve schon verlassen, was bedeutet, dass die Phase der übertriebenen Erwartungen überschritten wurde und das Tal der Tränen zurückliegt. Jetzt ist die Technologie angekommen und es geht an die Umsetzung. Diese Entwicklung unterstreichen auch die Fachbeiträge in diesem Fokus. Die Betreiber von vernetzten Geräten sind anfälliger für Angriffe. Wie hoch die Gefahren bei dem «Samsam» genannten Vorgehen ist, zeigt Sonja Meindl, Country Manager Schweiz und Österreich bei Check Point. Gleichzeitig zeigt Meindl auf, wie sich Firmen schützen können. Martin Gutmann, Leiter Analytics & Data Consulting bei Swisscom, erklärt den Mehrwert, den Unternehmen aus den Daten vernetzter Geräte ziehen können. «Predictive Analytics» ist für ihn der Schlüssel, denn mit Daten aus der Vergangenheit lasse sich immer häufiger auch die Zukunft voraussagen. Die aus den Daten gewonnenen Erkenntnisse gilt es zu nutzen, um daraus neue Geschäftsmodelle zu entwickeln, oder die Effizienz zu steigern. Stella Gatziu Grivas, Leiterin Kompetenzschwerpunkt Cloud Computing an der FHNW, präzisiert die Begriffe digitale Transformation und Digitalisierung. Häufig werden diese synonym verwendet, was aber falsch sei. Denn eine digitale Transformation beziehe den Wandel von Prozessen mit ein, die Digitalisierung mache die analoge Welt nur digital, nicht mehr und nicht weniger. 09 / 2018 www.netzwoche.ch © netzmedien ag

Focus Industrie 4.0 33 Ransomware in Produktionsanlagen – eine neue Gefahr Betreiber von Automatisierungssystemen können Ransomware vernachlässigen. Wegen der speziellen Konfiguration haben diese meist weder einen E-Mail-Account noch aktiven Internetzugriff. So ist der klassische Infektionsweg fast ausgeschlossen. Das ändert sich nun mit dem Fortschreiten der Malware-Evolution. Aktuelle Schadsoftware bringt häufig den eigenen Verschlüsselungs-Key mit sich und muss diesen nicht mehr bei einem Command-and-Control-Server abholen. Verseuchte Systeme suchen dann nach weiteren Ausbreitungspfaden innerhalb der Systeme und legen diese damit lahm. Im Vorfeld aber steht immer noch eine aktive Handlung eines Menschen, der dem Angreifer «die Tür geöffnet» und das erfolgreiche Eindringen ermöglicht hat. Eine andere Vorgehensweise lässt sich etwa bei Samsam feststellen, dessen besondere Herangehensweise speziell für Operational-IT-Umgebungen gefährlich wird. Kein User nötig Bei Samsam verzichten die Angreifer auf Interaktionen durch einen User. Sie setzen zielgerichtete Angriffsvektoren ein und fokussieren auf Industrien und Organisationen, bei denen die Benutzung von bestimmten gleichbleibenden Tools sehr wahrscheinlich ist. Die Hacker scannen Serversysteme, die im Internet erreichbar sind, auf Schwachstellen und versuchen einen Exploit auszunutzen, um die Kontrolle über den Server zu erlangen. Sie übernehmen Serversysteme dieser Art, indem mögliche schwache oder standardisierte Passwörter ausgehebelt werden. Hat der Angreifer die Kontrolle über einen Einstiegspunkt, wird das gesamte Netzwerk gescannt, ähnliche angreifbare Systeme werden ausfindig gemacht und die Schadsoftware wird verteilt. Diese agiert komplett unabhängig vom Command-and-Control-Server und verschlüsselt die vorhandenen Daten. Speziell ältere Maschinen im Produktionsumfeld mit häufig nur unzureichend gepatchten Betriebssystemen und Anwendungssoftware sind besonders angreifbar. Systems und stellen Hacker bei jedem weiteren Server vor die gleichen Hürden. Flächendeckende Angriffsversuche werden unrentabel. ·· Systeme, die aufgrund von Abhängigkeiten oder alter Betriebssysteme nicht gepatched werden können, sollten mit gesonderten Zugangskontrollen versehen und in eigenen geschützten Segmenten verwaltet werden. ·· Segmentierung zwischen demilitarisierter Zone, IT und OT sowie Client- und Serversystemen mit dazwischengeschalteten Firewall-Systemen mit aktivierten Antivirus- und Intrusion-Prevention-Funktionen helfen, die «seitliche» Verbreitung von Schadsoftware zu verhindern und mögliche Schäden zu minimieren. ·· Zero-Day-Schutzmassnahmen können auch unbekannte Angriffe erkennen und abwehren. ·· Regulierung von externen Datenzugriffen wie Remote Support von Maschinenherstellern und Lieferanten. Sämtliche Schutzmassnahmen sollten im echten Schutzmodus betrieben werden, ohne Kompromisse zugunsten der Performance zu machen. Wie in vielen Fällen kommen also nicht unbedingt Kosten auf das Unternehmen zu, sondern es sollten bereits vorhandene Lösungen effektiv genutzt werden, um Angreifern, wie der Gruppe hinter Samsam, den Erfolg zu verwehren. Illustration: aurielaki / iStock.com DIE AUTORIN Sonja Meindl Country Manager Schweiz und Österreich, Check Point Risikominimierung Bei der Risikominimierung sollten deshalb Schritte eingeleitet werden, die auch solche Systeme und ihren besonderen Schutzstatus berücksichtigen: ·· Alle Systeme sollten möglichst zeitnah mit aktuellen Patches versorgt werden. Ganz besonders exponierte Systeme, die vom Internet aus erreichbar sind. ·· Einmalige und komplexe Passwörter erschweren oder verhindern im besten Fall die Übernahme des ersten www.netzwoche.ch © netzmedien ag 09 / 2018