folienfeuer - Fotolia

SIEM: Mehr Sicherheit für Connected Cars und Produktion

Mit den Connected Cars kommen auf Unternehmensnetzwerke und Produktionsanlagen viele neue Herausforderungen in Sachen IT-Sicherheit zu.

Die Automobilunternehmen gehen davon aus, dass in sechs bis acht Jahren autonome Fahrzeuge im Stadtverkehr Alltag sein werden. So lange würde es noch dauern, bis die Technologie ausgereift sei. Wenn man den aktuellen Testaufwand und die Größe der Investoren in diesem Sektor (beispielsweise Google) bedenkt, ist so ein Szenario nicht unwahrscheinlich.

Allerdings sind die Herausforderungen groß. Zwar gibt es schon zahlreiche Testfahrten, aber neben den Anpassungen an die Infrastruktur gibt es auch Folgeeffekte. Durch die digitale Integration geraten die Fahrzeuge in das Visier von Cyberkriminellen. Autonom fahrende Autos können zum ferngesteuerten Sicherheitsrisiko für alle Insassen werden.

Internet der Dinge und Big Data

Autonomes Fahren ist noch Zukunftsmusik, aber heutige Fahrzeuge sind bereits weitgehend vernetzt. Es ist nicht nur der Spam-verschickende Kühlschrank oder die Kaffeemaschine mit IP-Adresse, die für das Office-IT Netzwerk gefährlich werden kann, sondern auch das Auto. Sind Mitarbeiter viel unterwegs, loggen sie sich von den unterschiedlichsten Orten aus ins Firmennetzwerk ein, einer dieser Orte ist durchaus auch das eigene Auto oder der Firmenwagen. Denkbar wäre es, wenn sich Dritte in das Fahrzeug hacken und die aufgebaute Kommunikation zwischen Mitarbeiter und Unternehmen für einen Zugriff auf das Office-IT-Netzwerk nutzen.

Security ja, aber bitte embedded

Die vernetzten Komponenten in den PKWs müssen geschützt werden. Die Implementierung von IT-Sicherheit in bestehende Produktionszyklen ist jedoch aufwendig. Besser wäre es einen Ansatz zu wählen, der die entsprechenden Maßnahmen bereits vor der Produktion embedded, also integriert. Doch damit droht den Administratoren eine noch größere Datenflut, denn auch die Sicherheitssysteme liefern Metadaten, die wiederum erfasst und ausgewertet werden müssen.

Hier muss eine Lösung her, die Daten automatisch sammelt, korreliert und auswertet, so dass sich die Ergebnisse in konkrete Maßnahmen umwandeln lassen. Alle Vorgänge im Netzwerk müssen an zentraler Stelle eingesehen werden können, um Zugriffe von unbekannten IP-Adressen zu entdecken und möglichen Angreifern zuvor zu kommen. Car Security muss also bereits im Entwicklungsprozess mitgedacht werden, doch auch hier lauern Gefahren für die Fabrik des Autobauers.

Damit es nicht dazu kommt, lohnt ein Blick auf Lösungen, mit denen sich diese Datenmengen auswerten lassen. Voraussetzung dafür ist zunächst eine Zentralisierung der IT-Infrastruktur. Ist das angestrebte Ziel eine granulare Analyse aller sicherheitsrelevanten oder produktionsgefährdenden Informationen, gibt es eigentlich nur einen Lösungsansatz, der kosteneffizient und ressourcenschonend ist: Security Information und Event Management (SIEM).

Doch wie senkt eine solche Lösung die Komplexität in einem System, das aus unzähligen Quellen Daten generiert? Alle IT-Systeme erzeugen Logs, die von einer SIEM-Software gesammelt, korreliert und ausgewertet werden können. Dies sorgt auch für mehr Transparenz über die im Einsatz befindlichen Anwendungen und IT-Systeme. Allerdings gelingt das nur, wenn die SIEM-Lösung sich einfach in die IT-Infrastruktur integrieren lässt und über die nötigen Schnittstellen verfügt.

Automatisierte Alarme bei Schwellwert-Überschreitungen

Wichtige Logs werden von Windows-Systemen wie dem Domain Controller, der Active Directory, Microsoft- sowie Linux-Servern etc. kreiert. Für die transparente Analyse sind aber auch Informationen aus der Firewall, dem Proxy, dem Mail-Relay, Netzwerk-Appliances, Routern und Switches notwendig. Darüber hinaus sind Daten für die Produktion des Autos sowie seiner Bestandteile besonders wichtig, etwa aus ERP-Systemen wie SAP. Je nach Unternehmen und IT-Infrastruktur können das schnell mehr als 100 Log-Quellen sein. Vor allem der letzte Punkt ist für viele Unternehmen kritisch. SAP-Systeme sind vielfach im Einsatz und nur bei einer gelungenen SAP-Integration der Schnittstelle lassen sich die erhofften Effekte erzielen.

„Car Security muss bereits im Entwicklungsprozess mitgedacht werden, doch auch hier lauern Gefahren für die Fabrik des Autobauers.“

Pascal Cronauer, LogPoint

xxx

Sorgt die SIEM-Lösung für die erhoffte zentrale Datenanalyse, können im nächsten Schritt Alarme vordefiniert werden. Je nach Wunsch lassen sich sogar bestimmte Schwell- und Richtwerte festlegen, die bei der Über- oder Unterschreitung automatisch eine Nachricht per E-Mail absetzen. Fällt beispielsweise mitten in der Produktion ein Roboter aus, wird ein automatischer Alarm ausgelöst und informiert den zuständigen IT-Administrator. Durch eine Auswertung der gesammelten Log-Files kann die Ursache des Ausfalls nicht nur schnell behoben, sondern eventuell sogar für zukünftige Fälle vermieden werden.

Doch Störungen im Produktionsablauf lassen sich nicht nur orten, sondern Sicherheitsvorfälle durch Schadsoftware und Angriffe auch nachvollziehen. Der Schlüssel hierfür liegt in der Analyse der Daten in Echtzeit. Stellt das System an einer Stelle Unregelmäßigkeiten fest, werden diese Log-Files herausgefiltert und können von den Administratoren untersucht werden. Der Zeitstempel, mit dem alle Daten versehen werden, lässt dann auch forensische Untersuchungen zu, wenn ein Zwischenfall zwar behoben, die Ursache aber nicht sofort aufgeklärt werden konnte. Darüber hinaus gibt es die Möglichkeit mit einer Root-Cause-Analyse noch tiefer zu gehen. Ist ein Produktions-Roboter beispielsweise nicht mehr erreichbar, lässt sich dies über die Log-Files schnell auswerten und das Problem beheben. Ohne ein SIEM-System hätte die Analyse der Log-Daten manuell erfolgen müssen und außerdem mehrere Administratoren beschäftigt.

Fazit

Mehr Transparenz und weniger Komplexität ermöglicht nicht zuletzt auch ein automatisch generiertes Reporting, das sich je nach Bedarf anpassen lässt. Die zentral ausgewerteten Daten werden dann übersichtlich mit Diagrammen aufbereitet. Mit diesen Berichten lassen sich Compliance- und andere interne wie externe Richtlinien einhalten. Damit aus dem Connected Cars nicht reihenweise Einfallstore für die Office-IT erwachsen, empfiehlt es sich, in Monitoring-Lösungen zu investieren, die Zugriffe über unbekannte IP-Adressen herausfiltern können, wie eben SIEM-Systeme.

Über den Autor:
Pascal Cronauer ist Country Manager DACH bei LogPoint, einem dänischer Hersteller von SIEM-Systemen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Gefahr für Sicherheit und Compliance: Schwachstellen in Industrieanlagen

Angriffe erkennen: SIEM für die Echtzeitanalyse einsetzen

Log-Management: Sechs Schritte zum Erfolg

Kostenloses E-Handbook: SIEM richtig auswählen

Fortsetzung des Inhalts unten

Erfahren Sie mehr über IoT, IIoT und Industrie 4.0

ComputerWeekly.de

Close