Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Ende Februar das Whitepaper „Monitoring und Anomalieerkennung in Produktionsnetzwerken“ vorgestellt. Darin empfiehlt das Bundesamt die Nutzung einer Anomalieerkennung in industriellen Steuerungsnetzen. Das Leipziger Startup-Unternehmen Rhebo, das sich auf eine Überwachung aller Kommunikationsflüsse in industriellen Netzwerken konzentriert, hat nach eigenen Angaben Inhalte zum Whitepaper beigesteuert. Unter anderem waren Ergebnisse aus Industrie-4.0-Stabilitäts- und Sicherheitsaudits und Langzeit-Monitoring-Projekten Grundlage für die Definition der Anforderungen an die Systeme, so das 2014 gegründete Unternehmen.

Das BSI positioniert Monitoring-Systeme mit industrieller Anomalieerkennung als integralen Bestandteil der Sicherheitsstrategie nach den Standards ISO 27001 und IEC 62443. Zudem bezeichneten Experten des Bundesamts die Technik als geeignetes Verfahren, um Betriebszustände zu erfassen, Warnungen zu erzeugen und im Bedarfsfall eine effektivere Forensik zu ermöglichen. Dabei agiere die Anomalieerkennung nicht auf Basis fester oder bekannter Gefährdungsmuster, etwa eines indizierten Computervirus, sondern bewerte vielmehr kontinuierlich die Standardkommunikation des jeweiligen Netzwerkes neu und erlaube so eine dynamische Anpassung an Veränderungen der Gefährdungsvektoren. Auf diese Weise sollen sich bislang unbekannte Verhaltensmuster im Netzwerk erkennen lassen, die noch in keiner Viren- oder Fehlerzustandsliste verzeichnet sind.

Das vorgestellte Whitepaper beleuchtet auf sieben Seiten die Funktionsweisen des Monitorings und der industriellen Anomalieerkennung. Außerdem soll es funktionelle und technische Anforderungen an eine industrielle Anomalieerkennung definieren.

Laut dem Whitepaper muss eine Anomalieerkennung neben den grundlegenden Funktionen der Analyse und Visualisierung von Steuerungsnetzen (ICS) auf drei Ebenen Anomalien erkennen können:

  • außergewöhnliche oder ungewöhnliche Aktivitäten im (ICS-)Netzwerk,
  • außergewöhnliche Ereignisse in produktionstypischen (ICS-)Protokollen sowie
  • außergewöhnliche Veränderungen in Prozessdaten, etwa Sensor- oder Steuerdaten.

Diese Herausforderungen seien auch in der Industrie und in kritischen Infrastrukturen zu berücksichtigen. Interessierte können auf der Hannover Messe (1. bis 5. April) die industrielle Anomalieerkennung von Rhebo Industrial Protector begutachten (Halle 6/B30).

Das Whitepaper steht unter www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_134.pdf;jsessionid=1FB84CFF5B73A2A3F774AC8027D39094.1_cid360?__blob=publicationFile&v=3 zum Download bereit. Weitere Informationen finden sich unter www.rhebo.com.

Timo Scheibe ist Redakteur bei der LANline.