IT-Sicherheit

Ransomware erkennen: Schutz durch Deep Packet Inspection

Deep Packet Inspection hat sich als wichtiger Schutz gegen Ransomware, Trojaner und Viren erwiesen. Auch bei den Cyberangriffen im Jahr 2019 bedrohen nämlich immer neue Schadprogramme IT-Sicherheit von Unternehmen.

Das Problem der IT-Sicherheit: In der Produktion gilt es, Stillstandszeiten zu minimieren, indem man stabile, funktionierende Systeme möglichst nicht ändert.

Diese Vorgehensweise bei der Produktionssicherheit verhält sich konträr zur IT-Sicherheit mit regelmäßigen Änderungen durch Updates. Genau das macht Produktionsanlagen anfällig für Cyberangriffe über sonst längst geschlossene Sicherheitslücken.

Die Kommunikation von Maschine zu Maschine ist in der Regel vorhersehbar: Die Anlagen dürfen nur bestimmte Protokolle mit festgelegten Daten adressieren. Mit Deep Packet Inspection werden diese Datenströme auf Anomalien geprüft. So kann frühzeitig erkannt werden, ob sich ein Angreifwer in System befindet oder eine Fehlfunktion vorliegt.

So tarnt sich Ransomware

Um eine Maschine oder Anlage überhaupt infizieren zu können, reicht ein USB-Stick, der Laptop eines Servicetechnikers oder auch ein erlaubter Fernzugriff aus. Der berüchtigte WannaCry-Virus verbreitet sich zum Beispiel über eine Windows-Schwachstelle. Er verschlüsselt Daten auf dem befallenen System und fordert dann Lösegeld für die Entschlüsselung. Zuerst sucht der Virus aber gezielt nach weiteren Systemen im Netzwerk mit der gleichen Sicherheitslücke. Er will also zunächst unerkannt bleiben. Während dieser „Inkubationszeit“ bauen Schadprogramme sehr viele neue Kommunikationsbeziehungen auf, die im Betriebsablauf einer Produktionsanlage gar nicht vorgesehen sind.

Damit gibt es aber auch ein Zeitfenster, in dem ein befallenes System noch gerettet werden kann – falls der Cyberangriff rechtzeitig erkannt wird.

Deep Packet Inspection: Funktionsweise wie ein Brandmelder

Der klassische Lösungsansatz besteht darin, die Produktion möglichst lückenlos zum Internet mit Firewalls, geschlossenen Benutzergruppen und Verschlüsselung abzuschotten. Doch jede Firewall hat Schwachstellen und jede Verschlüsselung wird irgendwann zu schwach für die pure Rechenleistung der Angreifer. Schließlich spielt der Faktor Mensch eine Rolle, der durch Unachtsamkeit oder fehlende Kenntnisse das beste IT-Sicherheitskonzept ungewollt unterwandern kann.

Deswegen gehört heutzutage zur Firewall als Brandschutztür auch ein Brandmelder: Da die „Art des Brandes“ aufgrund der schieren Vielzahl neuer Viren nie genau vorhersehbar ist, helfen Technologien wie die Deep Packet Inspection. Mit Deep Packet Inspection lässt sich nämlich die Kommunikation von Produktionsanlagen passiv überwachen. In einer Smart Factory tauschen vernetzte Maschinen zwar Daten aus, aber diese Kommunikationsbeziehungen verhalten sich im Normalbetrieb vorhersehbar.

Ransomware, die ein System infiltriert hat, will zunächst nicht entdeckt werden. Bevor der Virus Schaden anrichtet, versucht er sich über Schwachstellen im System weiter zu verbreiten. Während dieser Inkubationszeit kann das befallene System noch isoliert und so die gesamte Anlage gerettet werden.

Durch Deep Packet Inspection wird die übliche und gewollte Kommunikation zwischen PC-Systemen mit den tatsächlich aufgebauten Verbindungen verglichen. So werden auffällige Aktivitäten schnell erkannt und bei Anomalien ein Alarm ausgelöst. Im schlimmsten Fall muss nun lediglich der betroffene Industrie-PC isoliert und neu aufgesetzt werden. Ein kostspieliger Produktionsausfall lässt sich noch verhindern.

Individuelles IT-Sicherheitskonzept von mdex

Deep Packet Inspection schützt jedoch nicht nur gegen erpresserische Cyberangriffe, sondern deckt auch interne Fehler auf. Durch die Überwachung der Anlagen-Kommunikation ist man stets über fehlerhafte Kommunikationsvorgänge informiert, um auf potenzielle Störungen reagieren zu können, bevor die Gesamtanlage betroffen ist.

Von mdex erhalten Sie nicht etwa ein Standard-Programm, sondern wir erarbeiten mit Ihnen ein maßgeschneidertes IT-Sicherheitskonzept. Zunächst gilt es, den Datenverkehr sinnvoll einzuschränken und zu kontrollieren. Eine Firewall sollte z. B. idealerweise nicht nur die internen IT-Systeme vom Internet trennen, sondern auch von den eigenen OT-Systemen (OT = Operational Technology) der Produktion. So kann im Detail geregelt werden, welche IT-Systeme mit welchen OT-Systemen überhaupt kommunizieren dürfen und welche Protokolle sie dafür verwenden.

Nach dieser Bestandsaufnahme implementiert mdex die laufende Anlagenüberwachung per Deep Packet Inspection. Je nach Anforderung kann der Alarm auch per SMS oder E-Mail rund um die Uhr sofort an die zuständigen Mitarbeiter weitergeleitet werden.

Zwei Rechenzentren für höchste IT-Sicherheit

mdex betreibt nicht nur zwei voneinander unabhängige Datacenter, sondern bietet Kunden maximale Verfügbarkeit und Datenschutzt nach ISO 27001.

mdex Datacenter

mdex betreibt zwei voneinander unabhängige Rechenzentren, um maximale Sicherheit zu gewährleisten.

Cyberkriminelle sind längst nicht mehr jugendliche Antennenknicker, sondern hochspezialisierte Banden, die es insbesondere auf kritische Infrastrukturen abgesehen haben. mdex betreibt bereits seit Jahren als deutscher Qualitätsdienstleister zwei voneinander unabhängig angebundene Rechenzentren, um im Störungsfall die permanente Verfügbarkeit der Dienste gewährleisten zu können. Je nach vereinbartem Service Level sichert mdex eine Verfügbarkeit von >99,9% vertraglich zu, unterstützt Kunden bei der Störungsbeseitigung ihrer Verbindungen und meldet proaktiv Verbindungsausfälle oder verdächtige Aktivitäten.

Optional können Sie 365 Tage im Jahr, 24 Stunden am Tag auf einen permanent erreichbaren Support-Ingenieur zurückgreifen.

Als Kommunikationsdienstleister wurde mdex als einer der ersten Unternehmen in der Branche ISO 27001 zertifiziert und betreibt mit dem mdex Informationssicherheits-Managementsystem (ISMS) eine Plattform, die auch die strengen Vorgaben für kritische Infrastrukturen der Energienetzbetreiber erfüllt. Als Betreiber von Teilsystemen sichert mdex seinen Kunden die Einhaltung der Schutzvorschriften vertraglich zu.

IT-Sicherheit nach ISO 27001:

  • Erweitere Dienstgüte für hochverfügbare / kritische Anwendungen
  • 24/7 Support rund um die Uhr 365 Tage im Jahr bei Full Managed Service
  • Streng reglementierte IT-Sicherheit im Umgang mit Daten (z. B. Backup, Virenschutz, Firewall, Verschlüsselung, Passwort-Management)
  • Physische Sicherung von Standort und Infrastruktur
  • Aktive Benachrichtigung im Störungsfall und bei verdächtigen Aktivitäten
  • Hochverfügbarkeit von > 99,9%
  • Wirtschaftlicher Betrieb durch geringere Personalkosten für den Kunden bei der eigenen Entstörung