Do you want to see our content in English?

x
  • English
Continue
x

Interne Sabotage aufdecken: Wie ein Logistikunternehmen mit Anomalieerkennung Angriffe stoppte

““

Logistik und Supply ChainVerkehr und Logistik

IoT Use Case - Rhebo + Digital Forensics
3 Minuten Lesezeit
Vorlesen
3 Minuten Lesezeit
Vorlesen

KONTINUIERLICHE ANALYSE DER FERNZUGÄNGE

Lamp icon

ECHTZEIT-DETEKTION VON MANIPULATIONSVERSUCHEN

Rhebo protection icon

ABSTELLEN DER INTERNEN SCHWACHSTELLEN

Sabotage aus den eigenen Reihen ist nur sehr schwer nachweisbar, weil die Vorgänge innerhalb der gesicherten Zonen stattfinden. Mit Rhebo Industrial Protector konnten wir den Blick in die Steuerungstechnik öffnen und jeden Kommunikationsvorgang überwachen. Die Speicherung aller Anomaliedetails ermöglichte uns die sehr genaue Analyse und Rückverfolgbarkeit zur Workstation. Unser Kunde konnte mit den Ergebnissen gezielt an der Optimierung seiner Netzwerksicherheit arbeiten und das Risiko zukünftiger Sabotageakte – intern und extern – stark reduzieren.

Dr. Jens Pittler, Technischer Leiter Digital Forensics

Ausgangssituation und Herausforderung

Das Unternehmen Digital Forensics wurde als Dienstleister für Netzwerkanalyse von einem international tätigen Logistikunternehmen beauftragt, ungeklärte Stillstände in Logistikanlagen aufzuklären.

Dabei waren bei drei seiner Endkunden die Steuerungssysteme auf einen Schlag ausgefallen. Die Wiederherstellung des Normalbetriebs dauerte mehrere Stunden bis Tage. Bei den Endkunden kam es dadurch zu hohen Konventionalstrafen sowie Wiederherstellungskosten im dreistelligen Millionenbereich. Da das Logistikunternehmen als Systemlieferant die Steuerungssysteme verantwortete, musste es diese Kosten tragen.

Eine erste Analyse konnte keine Fehler in der Anlagensoftware feststellen. Jedoch fielen für den entsprechenden Zeitraum aktive Fernwartungszugänge mit Kommunikation über das Protokoll VNC auf – ein Hinweis auf eine potentielle Sabotage der Anlagen.

Rückwirkungsfreies Kommunikationsmonitoring

Zugriffe und Kommunikation über Fernwartungszugänge kontinuierlich überwachen, ohne Infrastruktur und Prozesse zu beeinträchtigen.

Identifikation des Innentäters

Manipulationsversuche der Kundensysteme über Fernwartungszugänge in Echtzeit erkennen, dokumentieren und zuordnen.

Wiederholte Sabotageversuche stoppen

Schwachstellen identifizieren und geeignete Maßnahmen umsetzen, um Vorfälle zukünftig zu vermeiden.

Lösung

Digital Forensics entschied sich aufgrund des Anfangsverdachts auf Iinterne Sabotage für ein Langzeitmonitoring der Steuerungskommunikation des Logistikunternehmens. Der Analysedienstleister integrierte die industrielle Anomalieerkennung Rhebo Industrial Protector im Netzwerk des Logistikunternehmens und analysierte fortlaufend und rückwirkungsfrei die Kommunikation aller Fernwartungszugänge.

Das industrielle Netzwerkmonitoring mit Anomalieerkennung meldet in Echtzeit jegliche Vorgänge im Netzwerk, die zu Störungen der Anlagen führen können. Solche Anomalien umfassen sowohl Sicherheitsvorfälle als auch technische Störungen, wie sie im Alltagsbetrieb industrieller Anlagen auftreten. Rhebo Industrial Protector reduziert damit das Ausfallrisiko und erkennt selbst Manipulationsversuche über autorisierte Zugänge.

Umsetzung und Erkenntnisse

Nach mehreren Monaten kontinuierlicher Überwachung meldete Rhebo Industrial Protector ungewöhnliche Kommunikationsvorgänge an den verdächtigen Fernwartungszugängen. Die Vorgänge wurden mit allen Details als PCAP gespeichert und konnten durch Digital Forensics umgehend ausgewertet werden. Die Analyse zeigte, dass über eine interne Unternehmensworkstation »Shutdown«-Befehle an die Endkunden gesendet wurden. Aufgrund der Echtzeitmeldung der Vorgänge wurde die erneute Sabotagehandlung gestoppt, bevor die Endkundenanlagen betroffen waren. Die für die Sabotage genutzte Workstation wurde eindeutig zugeordnet. Jedoch konnte der Täter selbst nicht identifiziert werden, da zu dem Zeitpunkt mehrere Hundert Personen über ein universelles Passwort Zugriff auf die Workstation hatten. Im Konzern wurden deshalb umgehend u.a. personalisierte Passwörter, striktere Sicherheitsrichtlinien und Schulungen zur Cybersicherheit umgesetzt, um die organisatorische Schwachstelle zu beseitigen.

Ergebnisse

  • VERHINDERUNG WEITERER SABOTAGEVERSUCHE durch Identfikation und Lokalisation der internen Schwachstelle.
  • ERHÖHTES VERTRAUEN BEI KUNDEN durch konsequente Bearbeitung des Vorfalls und Maßnahmenumsetzung.
  • SCHADENSMINIMIERUNG durch schnelle, gezielte Aufklärung sowie gerichtsfeste Beweise über die Sabotage.

Über Digital Forensics

Digital Forensics GmbH ist ein Leipziger Unternehmen mit Spezialisierung auf die forensische Analyse großvolumigen Netzwerkverkehrs in Industrie und Versicherungswirtschaft. Das Unternehmen evaluiert Schadensfälle und analysiert Cyberangriffe. Kenntnisse industriespezifischer Protokolle wie Profinet, OPC, S7 oder IEC61850 sowie deren gezielte Auswertung bilden dabei einen Schwerpunkt der Arbeit.

Text vom Original übernommen – Rhebo 

In Anwendung

  • Zugehörige Kategorien
  • Logistik und Supply Chain
  • Verkehr und Logistik
  • Betrugs- und Schadensprävention

    • Jetzt IoT Use Case Update erhalten

    Erhalten Sie monatlich exklusive Einblicke in unsere Use Cases, Aktivitäten und News aus dem Netzwerk - Jetzt kostenlos anmelden.

    Quicklinks

    ““

    IIoT Use Case GmbH
    Rollbergstraße 28A
    12053 Berlin Deutschland

    Folgen Sie uns auf:
    Linkedin Instagram

    Begriffserklärung

    ““

    Internet of Things (IoT) ist die englische Version für das Internet der Dinge. Die Definition zur Bedeutung ist weitreichend, daher übersetzen wir die Begriffe aus der Industrie hier in die Praxis.

    Wie auch immer Sie es nennen – hier finden Sie es ohne „Buzzword-Bullshit-Bingo“.

    Feedback geben

    Kontakt

    ““

    Wir freuen uns, von Ihnen zu hören!

    JOIN US