Dieses Videointerview habe ich auf der Hannover-Messe 2018 mit Justus Reich (IBM) über sichere Industrieanlagen mithilfe von IBM QRadar SIEM geführt. Darin spricht er über das Gefahrenpotential von Industrieanlagen, wie sich die Betreiber von solchen Anlagen gegen Angriffe von außen schützen können und was das alles mit IBM zu tun hat.
„Warum lassen sich Industrieanlagen nicht ganz so trivial absichern?“
Da Industrieanlagen eine deutliche längere Laufzeit als Standard-IT-Systeme aufweisen – das reicht bis zu 20 Jahren – kommen in den aktuellen Wasserkraft- und anderen Anlagen Techniken zum Einsatz, die schon etwas betagter sind, spricht nicht auf dem neuesten Stand sind. Damit sehen sich Industrieanlagen im Vergleich zu IT-Systemen einer größeren Gefährdung seitens möglicher Hackerangriffe ausgesetzt.
Klar ist auch in diesem Zusammenhang, dass sich diese Anlagen nicht mal eben so per Software-Update patchen lassen. Und genau dieser Umstand erfordert alternative Herangehensweisen und Methoden, wenn es um das Absichern von Industrieanlagen geht.
„Wie kann man Industrieanlagen gegen Angriffe von außen schützen?“
Für den Schutz von Industrie- und anderen Anlagen hat IBM ein Software-Tool im Programm, das sich IBM QRadar SIEM nennt, das ursprünglich für den IT-Bereich entwickelt wurde. Mit QRadar lassen sich sämtliche Informationen zu allen Netzwerkgeräten wie PLC- und SCADA-Controllern sammeln und darstellen. Darüber hinaus werden weitere Informationen rund um das Netzwerk mithilfe von QRadar ermittelt, womit der Software ausreichend Informationen zur Verfügung steht, um „guten“ von „schlechtem“ Netzwerk-Traffic unterscheiden zu können. Und das wiederum ist die Grundlage für entsprechende Maßnahmen, wenn es zu einem Angriff auf eine Industrieanlage kommt.
„Wie verhält sich IBM QRadar SIEM im praktischen Einsatz?“
Anhand des Beispiels eines Wasserkraftwerks lässt sich gut zeigen, wie IBM QRadar SIEM in der Praxis arbeitet. Hierzu werden einer oder mehrere PLC-Controller, die für die Steuerung der Anlage zuständig sind, mithilfe von QRadar permanent überwacht. Konkret gesagt, werden die gesamten Kommunikationsdaten zum Controller hin und davon weg fortwährend kontrolliert und dabei in Echtzeit entschieden, ob die Kommunikation mit dem Gerät eine bekannte oder eine eher unbekannte ist. Damit lässt sich zuverlässig feststellen, ob es sich um einen Angriff auf die Anlage handelt oder ob das Standard-Kommunikationsdaten sind.
In einfachen Fällen ist QRadar in der Lage, geeignete Maßnahmen zu ergreifen, um den Angriff abzuwehren. In anderen, komplexeren Fällen können die Administratoren der Industrieanlage schnell genug auf die Anomalie reagieren und die richtigen Schlüsse daraus ziehen.
Das Videointerview mit Justus Reich in voller Länge
Disclaimer: Für diesen Video-Blogpost hat mich IBM Deutschland als Blogger engagiert.