Der international etablierte Chemiekonzern betreibt eine Vielzahl an Standorten und steht damit im besonderen Fokus von Cyberangreifenden.
Ausgangssituation und Herausforderung
Wie in keiner anderen Branche geht es in der Chemieproduktion bei der Cybersicherheit auch um den Schutz der Mitarbeitenden und der Umwelt. Das Chemieunternehmen hat bereits ein fest etabliertes und effektiv arbeitendes IT-Sicherheitsteam. Jedoch war bislang die OT der Prozessanlagen nicht auf Cybervorfälle überwacht worden. Dies wurde aufgrund der starken Digitalisierung und Vernetzung der Produktionslinien jedoch notwendig, um auch in der Chemieproduktion sowohl den Schutz vor Datendiebstahl, als auch den Schutz für Mensch, Anlagen und Umwelt zu stärken.
Im ersten Schritt sollten im Zuge einer Risikoanalyse drei Produktionslinien des Chemieunternehmens an einem Standort durch ein Rhebo Industrial Security Assessment auf bestehende Sicherheitslücken und Schwachstellen untersucht werden.
Lösung
Risikoanalyse und Schwachstellenbewertung
Rhebo Industrial Security Assessment
- Assets und Kommunikationsstrukturen analysieren,
- Schwachstellen, Stabilitäts- und Sicherheitslücken identifizieren,
- Maßnahmen für Systemhärtung definieren.
Angriffserkennungssystem für die Leittechnik
Rhebo Industrial Protector
- Kontinuierlich Kommunikation der Prozesssteuerungen überwachen,
- Cyberangriffe, Sicherheitslücken und Fehlerzustände in Echtzeit identifizieren,
- Compliance nach IT-SiG 2.0 erreichen.
In-house-Knowhow zur OT-Sicherheit aufgebaut
durch Rhebo-Betreuung bei der Einrichtung der Baseline und Auswertung von Anomalien.
Umsetzung und Erkenntnisse
Zur Durchführung des Rhebo Industrial Security Assessments wurde in jedem OT-Netz ein Rhebo-Sensor integriert. Über einen Zeitraum von zwei Wochen zeichneten die Sensoren passiv und rückwirkungsfrei die OT-Kommunikation auf und speicherten sie als packet capture (pcap). Im Anschluss analysierten Rhebo-Expert:innen im Rahmen eines Rhebo Industrial Security Assessments die Kommunikations-Logs u.a. per Deep Packet Inspection, automatisierter Anomalienfindung und forensischer Analyse.
Für den Chemiekonzern konnte so erstmals Sichtbarkeit in der OT geschaffen werden. So zeigte sich – nicht ganz überraschend –, dass die Chemieproduktion eine verhältnismäßig homogene Infrastruktur aufwies. Zwar wurden in jedem überwachten OT-Netz mehrere Hundert Geräte identifiziert, jedoch stammten diese von nur wenigen Herstellern.
Dennoch lagen die Security Posture und Netzwerkqualität im mittleren Feld. Beobachtungen, die zu dieser Bewertung führten, waren u.a.:
- unsichere Software, Betriebssysteme und Firmware auf mehreren Geräten,
- vermutlicher Adress-Scan,
- Nutzung von Protokollen mit Klartextpasswörtern,
- unsichere Authentifizierungsmethoden,
Auf Seite der Stabilitäts- und Verfügbarkeitsbewertung fanden sich
- nicht erreichbare Geräte,
- Netzwerkstörungen,
- Checksummen-Fehler.
Die im Rahmen des Rhebo Industrial Security Assessment integrierten Sensoren verblieben in den OT-Netzen und wurden mit einem Rhebo Controller in den operativen Betrieb als System zur Angriffserkennung (Rhebo Industrial Protector) übernommen. Rhebo unterstützte das Chemieunternehmen regelmäßig bei der Auswertung von Anomaliemeldungen und Einschätzung der Risikolage, bis das Unternehmen ausreichend Knowhow aufgebaut hatte, um das System zur Angriffserkennung vollständig in Eigenregie zu betreiben.
Ergebnisse
- VOLLSTÄNDIGE TRANSPARENZ IN DER OT GESCHAFFEN durch Asset Discovery und Visualisierung der Verbindungen und Systemeigenschaften.
- SYSTEM ZUR ANGRIFFSERKENNUNG IN DER OT ETABLIERT durch kontinuierliches Sicherheitsmonitoring mit Anomalieerkennung.
- IN-HOUSE-KNOWHOW ZUR OT-SICHERHEIT AUFGEBAUT durch Rhebo-Betreuung bei der Einrichtung der Baseline und Auswertung von Anomalien.
Text vom Original übernommen – Rhebo
