Sabotageaufklärung in Logistikunternehmen

bei
Digital Forensics GmbH
Digital Forensics GmbH ist ein Leipziger Unternehmen mit Spezialisierung auf die forensische Analyse großvolumigen Netzwerkverkehrs in Industrie und Versicherungswirtschaft. Das Unternehmen evaluiert Schadensfälle und analysiert Cyberangriffe. Kenntnisse industriespezifischer Protokolle wie Profinet, OPC, S7 oder IEC61850 sowie deren gezielte Auswertung bilden dabei einen Schwerpunkt der Arbeit.

Dr. Jens Pittler

Technischer Leiter
|
Digital Forensics GmbH
»Sabotage aus den eigenen Reihen ist nur sehr schwer nachweisbar, weil die Vorgänge innerhalb der gesicherten Zonen stattfinden. Mit Rhebo Industrial Protector konnten wir den Blick in die Steuerungstechnik öffnen und jeden Kommunikationsvorgang überwachen. Die Speicherung aller Anomaliedetails ermöglichte uns die sehr genaue Analyse und Rückverfolgbarkeit zur Workstation«
Story herunterladen

Details

Ausgangssituation und Herausforderung

Das Unternehmen Digital Forensics wurde als Dienstleister für Netzwerkanalyse von einem international tätigen Logistikunternehmen beauftragt, ungeklärte Stillstände in Logistikanlagen aufzuklären. Dabei waren bei drei seiner Endkunden die Steuerungssysteme auf einen Schlag ausgefallen. Die Wiederherstellung des Normalbetriebs dauerte mehrere Stunden bis Tage. Bei den Endkunden kam es dadurch zu hohen Konventionalstrafen sowie Wiederherstellungskosten im dreistelligen Millionenbereich. Da das Logistikunternehmen als Systemlieferant die Steuerungssysteme verantwortete, musste es diese Kosten tragen. Eine erste Analyse konnte keine Fehler in der Anlagensoftware feststellen. Jedoch fielen für den entsprechenden Zeitraum aktive Fernwartungszugänge mit Kommunikation über das Protokoll VNC auf – ein Hinweis auf eine potentielle Sabotage der Anlagen.

Rückwirkungsfreies Kommunikationsmonitoring

Zugriffe und Kommunikation über Fernwartungszugänge kontinuierlich überwachen, ohne Infrastruktur und Prozesse zu beeinträchtigen.

Identifikation des Innentäters

Manipulationsversuche der Kundensysteme über Fernwartungszugänge in Echtzeit erkennen, dokumentieren und zuordnen.

Wiederholte Sabotageversuche stoppen

Schwachstellen identifizieren und geeignete Maßnahmen umsetzen, um Vorfälle zukünftig zu vermeiden.

Lösung

Digital Forensics entschied sich aufgrund des Anfangsverdachts auf interne Sabotage für ein Langzeitmonitoring der Steuerungskommunikation des Logistikunternehmens. Der Analysedienstleister integrierte die industrielle Anomalieerkennung Rhebo Industrial Protector im Netzwerk des Logistikunternehmens und analysierte fortlaufend und rückwirkungsfrei die Kommunikation aller Fernwartungszugänge. Das industrielle Netzwerkmonitoring mit Anomalieerkennung meldet in Echtzeit jegliche Vorgänge im Netzwerk, die zu Störungen der Anlagen führen können. Solche Anomalien umfassen sowohl Sicherheitsvorfälle als auch technische Störungen, wie sie im Alltagsbetrieb industrieller Anlagen auftreten. Rhebo Industrial Protector reduziert damit das Ausfallrisiko und erkennt selbst Manipulationsversuche über autorisierte Zugänge.

Umsetzung und Erkenntnisse

Nach mehreren Monaten kontinuierlicher Überwachung meldete Rhebo Industrial Protector ungewöhnliche Kommunikationsvorgänge an den verdächtigen Fernwartungszugängen. Die Vorgänge wurden mit allen Details als PCAP gespeichert und konnten durch Digital Forensics umgehend ausgewertet werden. Die Analyse zeigte, dass über eine interne Unternehmensworkstation »Shutdown«-Befehle an die Endkunden gesendet wurden. Aufgrund der Echtzeitmeldung der Vorgänge wurde die erneute Sabotagehandlung gestoppt, bevor die Endkundenanlagen betroffen waren. Die für die Sabotage genutzte Workstation wurde eindeutig zugeordnet. Jedoch konnte der Täter selbst nicht identifiziert werden, da zu dem Zeitpunkt mehrere Hundert Personen über ein universelles Passwort Zugriff auf die Workstation hatten. Im Konzern wurden deshalb umgehend u.a. personalisierte Passwörter, striktere Sicherheitsrichtlinien und Schulungen zur Cybersicherheit umgesetzt, um die organisatorische Schwachstelle zu beseitigen.

Ergebnisse

VERHINDERUNG WEITERER SABOTAGEVERSUCHE

durch Identifikation und Lokalisation der internen Schwachstelle.

ERHÖHTES VERTRAUEN BEI DEN KUNDEN

durch konsequente Bearbeitung des Vorfalls und Maßnahmenumsetzung.

SCHADENSMINIMIERUNG

durch schnelle, gezielte Aufklärung sowie gerichtsfeste Beweise über die Sabotage.

Auch interessant