Cyber Defence

IN DER PHARMAPRODUKTION



Die Anspannung ist spürbar, als wir, die Sicherheitsexperten von Computacenter, in der Fertigungshalle des Pharmakonzerns eintreffen. Schadsoftware – vermutlich über einen infizierten USB-Stick eingeschleust – hat alle Bedienrechner befallen. Kein Kunststück, denn das neueste Betriebssystem, das hier in der Produktion läuft, ist Windows XP. Sicherheitsupdates oder Patches: Fehlanzeige. Doch das weitaus größere Problem ist, dass das Netzwerk kaum segmentiert ist. Von dem infizierten Rechner hat sich die Schadsoftware in rasantem Tempo im gesamten Produktionsnetz ausgebreitet. Der Versuch der Mitarbeiter, die Rechner mit Tools auf nicht-schreibgeschützten USB-Sticks zu bereinigen und zu patchen, spielt den Angreifern zusätzlich in die Hände. Denn auch die verwendeten USB-Sticks sind schnell infiziert. Innerhalb kürzester Zeit sind alle PCs und Anlagensteuerungen befallen. Zwei Tage waren bereits vergangen – mit Produktionsausfall, aber ohne auch nur den kleinsten Erfolg bei der Bereinigung.

Bis das Industrial Security Team von Computacenter die Lage im Griff und die Systeme wiederhergestellt hat, vergehen weitere 36 Stunden, dann aber kann die Produktion wieder anlaufen. Für das Pharmaunternehmen, das unter Volllast produziert, ist dieser Vorfall eine Katastrophe, die sich negativ auf Umsatz und Image auswirkt.

Einzelfälle sind solche Security Incidents leider nicht. Dennoch fehlt bei den meisten Fertigungsunternehmen das Bewusstsein dafür, dass Industrial Security im digitalen Industriezeitalter unverzichtbar ist. Unser Kunde hat diesen Vorfall als Warnschuss verstanden und Computacenter damit beauftragt, ein umfängliches Cyber-Security-Konzept zu implementieren.

Hierfür haben wir ein Security Operation Center (SOC) aufgebaut, in dem alle Logdaten zusammenlaufen, analysiert und korreliert werden, um Anomalien und Angriffe in Echtzeit zu erkennen. Langfristig werden hier Produktionsdaten – physischer Zugang, Temperaturen, Drücke etc. – analysiert, um festzustellen, ob es Abweichungen von den Normwerten gibt. Daraufhin kann unser Kunde unverzüglich feststellen, ob die Ursache für eine Anomalie ein Gerätedefekt, eine Fehlbedienung oder ein Angreifer ist.

Das Cyber-Defence-Konzept, das wir für die Produktionsumgebung des Pharmaunternehmens entwickelt haben, vereint die Komponenten Prävention, Monitoring, Detektion, Reaktion und Threat-Intelligence. Durch sichere Fernwartung, die Segmentierung von Netzwerken, die Härtung von Endgeräten und Cyber-Security-Awareness-Trainings ist unser Kunde heute in der Lage, Sicherheitsrisiken präventiv zu identifizieren, zu bewerten und zu reduzieren. Mithilfe von Monitoring-Lösungen werden alle sicherheits- und produktionsrelevanten Vorgänge erfasst und protokolliert, sodass ein ganzheitliches Echtzeitlagebild entsteht. Detektions- und Reaktionslösungen erkennen Sicherheitsvorfälle und Anomalien und leiten – falls notwendig – Gegenmaßnahmen ein. Und mithilfe von Threat-Intelligence lassen sich Angriffswege und -methoden vorhersagen, was die Produktion proaktiv schützt und für den Ernstfall vorbereitet.