Dr. Jens Pittler
Das Unternehmen Digital Forensics wurde als Dienstleister für Netzwerkanalyse von einem international tätigen Logistikunternehmen beauftragt, ungeklärte Stillstände in Logistikanlagen aufzuklären. Dabei waren bei drei seiner Endkunden die Steuerungssysteme auf einen Schlag ausgefallen. Die Wiederherstellung des Normalbetriebs dauerte mehrere Stunden bis Tage. Bei den Endkunden kam es dadurch zu hohen Konventionalstrafen sowie Wiederherstellungskosten im dreistelligen Millionenbereich. Da das Logistikunternehmen als Systemlieferant die Steuerungssysteme verantwortete, musste es diese Kosten tragen. Eine erste Analyse konnte keine Fehler in der Anlagensoftware feststellen. Jedoch fielen für den entsprechenden Zeitraum aktive Fernwartungszugänge mit Kommunikation über das Protokoll VNC auf – ein Hinweis auf eine potentielle Sabotage der Anlagen.
Zugriffe und Kommunikation über Fernwartungszugänge kontinuierlich überwachen, ohne Infrastruktur und Prozesse zu beeinträchtigen.
Manipulationsversuche der Kundensysteme über Fernwartungszugänge in Echtzeit erkennen, dokumentieren und zuordnen.
Schwachstellen identifizieren und geeignete Maßnahmen umsetzen, um Vorfälle zukünftig zu vermeiden.
Digital Forensics entschied sich aufgrund des Anfangsverdachts auf interne Sabotage für ein Langzeitmonitoring der Steuerungskommunikation des Logistikunternehmens. Der Analysedienstleister integrierte die industrielle Anomalieerkennung Rhebo Industrial Protector im Netzwerk des Logistikunternehmens und analysierte fortlaufend und rückwirkungsfrei die Kommunikation aller Fernwartungszugänge. Das industrielle Netzwerkmonitoring mit Anomalieerkennung meldet in Echtzeit jegliche Vorgänge im Netzwerk, die zu Störungen der Anlagen führen können. Solche Anomalien umfassen sowohl Sicherheitsvorfälle als auch technische Störungen, wie sie im Alltagsbetrieb industrieller Anlagen auftreten. Rhebo Industrial Protector reduziert damit das Ausfallrisiko und erkennt selbst Manipulationsversuche über autorisierte Zugänge.
Nach mehreren Monaten kontinuierlicher Überwachung meldete Rhebo Industrial Protector ungewöhnliche Kommunikationsvorgänge an den verdächtigen Fernwartungszugängen. Die Vorgänge wurden mit allen Details als PCAP gespeichert und konnten durch Digital Forensics umgehend ausgewertet werden. Die Analyse zeigte, dass über eine interne Unternehmensworkstation »Shutdown«-Befehle an die Endkunden gesendet wurden. Aufgrund der Echtzeitmeldung der Vorgänge wurde die erneute Sabotagehandlung gestoppt, bevor die Endkundenanlagen betroffen waren. Die für die Sabotage genutzte Workstation wurde eindeutig zugeordnet. Jedoch konnte der Täter selbst nicht identifiziert werden, da zu dem Zeitpunkt mehrere Hundert Personen über ein universelles Passwort Zugriff auf die Workstation hatten. Im Konzern wurden deshalb umgehend u.a. personalisierte Passwörter, striktere Sicherheitsrichtlinien und Schulungen zur Cybersicherheit umgesetzt, um die organisatorische Schwachstelle zu beseitigen.
durch Identifikation und Lokalisation der internen Schwachstelle.
durch konsequente Bearbeitung des Vorfalls und Maßnahmenumsetzung.
durch schnelle, gezielte Aufklärung sowie gerichtsfeste Beweise über die Sabotage.