Data Science und maschinelles Lernen
Was gegen Cyberattacken hilft
Vom Internet of Things (IoT) zur Smart Factory: Nicht nur bei privaten Anwendungen sind digitale Techniken beständig auf dem Vormarsch, auch für produzierende Branchen spielen sie eine immer wichtigere Rolle. In vielen modernen Industrieunternehmen bilden digitale Netzwerke längst das Rückgrat der Maschine-zu-Maschine-Kommunikation. Dies wissen jedoch auch die Hacker.
Ein hoher Grad an Vernetzung ermöglicht nicht nur weltweiten Informationsaustausch in Echtzeit, sondern auch ein zeit- und kosteneffizientes Management von Services, Logistik und industriellen Fertigungsprozessen. Damit wachsen allerdings auch die Herausforderungen: Je mehr diese Prozesse über das Internet gesteuert werden, desto anfälliger sind sie für potenzielle Hacker-Angriffe. Ein erfolgreicher Angriff kann indessen verheerende Folgen mit sich bringen: Ganze Produktionsbetriebe sind manipulierbar oder im Extremfall sogar komplett lahmzulegen. Ein weiteres Szenario besteht darin, dass sensible Daten in die falschen Hände geraten, die Forschungs- und Entwicklungsergebnisse mehrerer Jahre binnen Millisekunden unwiederbringlich abfließen und der Innovationsvorsprung womöglich rasant schwindet.
Grundsätzlich schaden Hacker-Angriffe sowie jegliche Art von Vorfällen, durch die die IT-Sicherheit beeinträchtigt wird, jedem betroffenen Unternehmen. Abhängig vom Ausmaß der Attacke können beträchtliche Folgekosten entstehen, und das öffentliche Image ist mitunter nachhaltig beschädigt. Obwohl das Risiko sowie die Notwendigkeit wirksamer Gegenmaßnahmen weitgehend bekannt sind, wächst die Gefahr, dass Cyberangriffe sensible Unternehmensdaten bedrohen. Die Gründe dafür sind vielfältig. Einerseits nehmen die Fertigkeiten der Hacker und Cyberkriminellen immer weiter zu - sogar bis zur Professionalisierung. Die umfasst neben den persönlichen Fähigkeiten auch das Niveau der Tools, die zum Einsatz kommen. Zum anderen machen es viele Unternehmen potenziellen Angreifen nicht gerade schwer, die in Betrieb befindlichen Sicherheitsschranken zu überwinden. Die Sicherheitsvorkehrungen in unternehmenseigenen IT-Systemen sind oft zu statisch und einseitig für einen echten Schutz gegen die immer moderneren Angriffsmethoden. Ein weiterer Punkt, der für ganzheitliche IT-Sicherheitskonzepte immer mehr Relevanz gewinnt, sind Maßnahmen gegen Insider Threats. Darüber hinaus nimmt die maschinelle Vernetzung und Automatisierung entlang komplexer Wertschöpfungsketten vom Mittelstand bis zum Global Player immer weiter zu - Stichwort Industrie 4.0. Daher gilt es, ein passendes Arsenal an Sicherheitslösungen bereitzustellen.
Besondere Anforderungen an Hightech-Fabriken
Mit der fortschreitenden Digitalisierung wandeln sich auch die Prozesse rund um die Produktion industrieller Güter. Durch neue Möglichkeiten des Big-Data-Managements ändert sich unter anderem die Prognose- und Planungsgenauigkeit quantifizierbarer Größen in den Betrieben. Ebenso revolutioniert Cloud Computing den Workflow im Datenaustausch und -zugriff. Experten aus IT, Produktion und Logistik arbeiten mit neuen Techniken, die eine gezieltere Prozesssteuerung, synchronisierte Lieferketten sowie verkürzte Produktions- und Innovationszyklen ermöglichen. Die Folge: Die "Digitale Fabrik" wird zum komplexen Gebilde aus miteinander vernetzten Komponenten. Ein Beispiel: Produktdaten müssen nahtlos zwischen Product-Lifecycle-Managment (PLM), Manufacturing-Execution-System (MES) und Automatisierungssoftware auszutauschen sein. Dabei zeigt sich, dass aus starren Wertschöpfungsketten dynamische, offene Netzwerke werden. Sowohl einzeln als auch im Verbund stellt jedes Glied der Wertschöpfungskette ein potenzielles Ziel für Hacker-Angriffe dar. Die Folge: Um die gesamte Kette vor Attacken zu schützen, muss die IT-Sicherheit ganz andere Standards erfüllen, als dies bislang die Regel war.
Die Risiken von SSL-Verschlüsselung bei Cloud Computing
Die Industrie ist auf dem Weg in die "Rechnerwolke": Nach Schätzungen des Bundesverbands der Deutschen Industrie (BDI) könnten schon bis zum Jahr 2025 mehr als 75 Prozent aller Daten von Wirtschaftsunternehmen über Cloud-basierende Services laufen. Viele Industrieunternehmen setzen schon heute auf Services, von denen ein Großteil verschlüsselte Verbindungen vom Cloud-Host zurück zum On-Premise-Anwender benutzt. Eine wirksame Sicherheitslösung für drohende Gefahren versprechen sich viele Anwender von der SSL-Verschlüsselung. Tatsächlich vergrößert ein SSL-Zertifikat durch Verschlüsselung der Client-Server-Kommunikation die Sicherheit im Datenverkehr. Schon deshalb nutzen auch Public-Cloud-Services verschlüsselte Verbindungen vom Server zum Anwender. Das Problem: Die Masse des verschlüsselten Traffics ist zusehends schwieriger auf Gefahrenquellen zu kontrollieren. Zudem stellt der Workflow bei der Analyse verschlüsselter Daten einen Engpass dar. Denn Daten, die verschlüsselt in die Cloud zu transferieren sind, müssen für eine Analyse erst entschlüsselt werden, bevor sie sich analysieren lassen - um anschließend erneut verschlüsselt zu werden. Dies ist ein überaus rechenintensiver Prozess.
Inzwischen setzen Cyberkriminelle immer häufiger bei diesen Verschlüsselungstechniken an, um Remote-Zugriff auf Netzwerke und Maschinen zu erlangen. Angreifer verwenden die Verschlüsselung als Mittel der Verschleierung. Oftmals machen sie es für präventive IT-Sicherheitsprodukte am Perimeter unmöglich, eine signaturbasierende Erkennung durchzuführen, die das Angriffsmuster beschreibt. Hat ein Angreifer erst Zugang zum Netzwerk erlangt, kann er seine Ausbeutung dort ganz ungehindert außerhalb des Überwachungsbereiches der Perimeterverteidigung vornehmen.
Angesichts der komplexen Lage nutzen viele IT-Abteilungen Decryption (Entschlüsselung) und Kontrollpunkte innerhalb des Netzwerks, die verschlüsselten Traffic abfangen und eine Replik entschlüsseln, um die zu überwachenden Inhalte besser überblicken zu können. Zwar kann dies Fernbefehle und Kontrollsignale von Malware, Bot-Netzen und fortschrittlichen Attacken aufdecken. Allerdings erfordern SSL-Entschlüsselungslösungen aufgrund der komplexen Decryption-Algorithmen leistungsstarke Hardware. Weitere Nachteile: Viele SSL-Techniken sind mittlerweile veraltet und angreifbar. Insofern schützen sie die verschlüsselten Benutzerdaten nicht ausreichend.
Insider Threats: Verdeckte Bedrohung von innen
Gefahrenquellen für die IT-Sicherheit müssen ihren Ursprung nicht zwangsläufig außerhalb des Unternehmens haben. Beispielsweise sind Insider Threats ein Thema, dem die Industrie 4.0 perspektivisch mit geeigneten Gegenmaßnahmen begegnen muss. Der klassische Weg, sensible Anlagen und IT-Einrichtungen rigoros per physischer Zugangskontrolle zu schützen, verfehlt in modernen digital vernetzten Fabriken sein Ziel. Auch stellt der zunehmende Trend zu Bring Your Own Device (BYOD) eine große Herausforderung für das IT-Sicherheitskonzept dar. Beispielsweise können sich Mitarbeiter unwissentlich zum Mittäter des Datendiebstahls machen, wenn sie sich mithilfe auch geschäftlich genutzter Mobilgeräte wie Laptop oder Smartphone in ein öffentliches Netzwerk einloggen und von Hackern mit Schadsoftware infiziert werden.
Trägt der Mitarbeiter nun seinen verseuchten Rechner zurück ins Unternehmen, baut die Malware eine Verbindung zu seinem Command-and-Control-Server auf und verbreitet sich innerhalb kürzester Zeit im kompletten Firmennetzwerk. Dies macht ersichtlich, wie einfach sich alle perimeterbasierenden Sicherheitssysteme in Wirtschaftsunternehmen unterwandern lassen.
Echtzeiterkennung durch Data Science und maschinelles Lernen
Wer sich auf die Analyse vergangener Attacken konzentriert und ausschließlich auf Systeme setzt, die die Malware am Netzwerkperimeter abfangen, vergibt die Chance einer wirksamen Echtzeiterkennung aktuell laufender Angriffe. Eine solche Echtzeiterkennung bieten beispielsweise die Plattformlösungen der IT-Sicherheitsexperten von Vectra Networks. Durch das Zusammenwirken von Data Science, maschinellem Lernen und Verhaltensanalyse lassen sich damit alle Phasen eines Angriffs auf ein Firmennetzwerk erkennen. Dies priorisiert die einzelnen Gefahren und schafft einen umfassender Überblick über potenzielle Hacker-Aktivitäten. Die Software überwacht dabei den gesamten internen Netzwerk-Traffic - kontinuierlich und auf allen angeschlossenen Betriebssystemen, Applications und Geräten.
Mithilfe der so gewonnenen Daten lassen sich Anwendergruppen, Devices und hochwertige Daten-Assets konstruieren, die das tatsächliche Netzwerkverhalten des jeweiligen Unternehmens präzise widerspiegeln. Der Effekt: Durch intensives Echtzeit-Monitoring sind außergewöhnliche Verbindungen sowie untypischer Datenaustausch automatisch identifizierbar und bis zum Ursprung zurückzuverfolgen.
Automatisierte und umfassende Gefahrenabwehr
Mitdenkende Systeme, die auf der Basis von Echtzeitmethoden operieren, können ein breites Spektrum von Störgrößen identifizieren: Im Falle gezielter und opportunistischer Attacken erkennen sie maschinelle Befehle und Kontrollen, aber auch Bot-Netzmonetisierung, laterale Bewegungen, Datenakquise sowie das Herausschleusen von Informationen vollautomatisch und ohne Zeitverzug - eine zwingende Voraussetzung für das sofortige Eingreifen durch die IT-Experten des betroffenen Unternehmens.
Zusätzlich zur lückenlosen Überwachung des Netzwerkverkehrs scannt die Software zudem sämtliche Geräte, Kontenzugriffe und Aktivitäten der verschiedenen Nutzergruppen, die im Firmennetzwerk aktiv sind.
Sicher ist: Solange Hacker und Cyberkriminelle nach Wegen suchen, in fremde Netzwerke einzudringen und auf sensible Daten zuzugreifen, bleibt vollständige IT-Sicherheit eine Utopie. Allerdings setzen Data Science und maschinelles Lernen eine Sicherheitslösung in Kraft, die die notwendigen Entwicklungsschritte der Industrie 4.0 aktiv unterstützt.
Lesen Sie mehr zum Thema
