Pressemitteilung von Paessler GmbH

OT-Monitoring: Anomalien erkennen, bevor es zu spät ist

---

---

In der Produktionshalle laufen alle Maschinen auf Hochtouren, untereinander tauschen sie in Echtzeit für den Betrieb wichtige Daten aus. Plötzlich kommen die Anlagen jedoch zum Stillstand, ein Netzwerkproblem führt zum Ausfall der gesamten Produktion. Ein solches Szenario lässt sich in vielen Fällen bereits im Vorfeld verhindern. Dazu müssen schon kleinere Anzeichen für Probleme identifiziert werden können - die Erkennung von Anomalien hilft, Ausfälle in OT-Umgebungen zu vermeiden. Da die Operative Technologie (OT) in vielen Industrieumgebungen mit dem IT-Netzwerk verbunden und damit zunehmenden Cybersicherheitsbedrohungen ausgesetzt ist, darf ein Frühwarnsystem nicht fehlen.

Kommentar von Daniel Sukowski, Global Business Developer bei Paessler GmbH

Durch die Anbindung an Unternehmensnetzwerke können OT-Sicherheitsvorfälle ganze Produktionslinien zum Stillstand bringen, teure Anlagen beschädigen und Sicherheitsrisiken verursachen. Zuletzt haben Cyberangriffe auf industrielle Sektoren deutlich zugenommen, etwa auf industrielle Steuerungssysteme, SPS, HMI oder Sensoren. Traditionell wird bei OT-Netzwerken mehr Wert auf operative Funktionalität und Zuverlässigkeit als auf Sicherheitsmaßnahmen gelegt. Herkömmliche IT-Sicherheitstools wie Firewalls und Antivirensoftware bieten wohl einen gewissen Schutz, können OT-Umgebungen jedoch nicht vollständig sichern. Zwar können diese Sicherheitstools bekannte Bedrohungen und Signaturen erkennen, aber keine unbekannten Bedrohungen abwehren. Es stellt sich also die Frage, wie sich Probleme rechtzeitig im Vorfeld anhand von Verhaltensänderungen und anderen Indikatoren feststellen lassen, bevor Malware-Signaturen zu erkennen sind.

Mit Netzwerk-Monitoring Auffälligkeiten rechtzeitig erkennen

Die Erkennung von Anomalien ist ein unverzichtbares Werkzeug, um Abweichungen von regulären Mustern zu finden. Diese können auf Sicherheitsverletzungen oder Ausfälle von Geräten hindeuten, die den Produktionsbetrieb möglicherweise stören. Doch was zeichnet eine effiziente Erkennung von OT-Anomalien überhaupt aus?

Die Erkennung von Anomalien beginnt damit, dass Sie sich Wissen darüber aneignen, was in Ihrer spezifischen Umgebung überhaupt normales Verhalten ist. Monitoring-Tools analysieren industrielle Netze kontinuierlich. Dies geschieht durch die Sammlung von Daten aus verschiedenen Quellen, um Basiswerte zu definieren. Dazu gehören unter anderem:
- Traffic zwischen industriellen Geräten;
- Kommunikationsmuster zwischen SPS und HMI;
- typische Befehlssequenzen in industriellen Protokollen;
- normale Betriebsparameter für Geräte;
- erwartete Datenflüsse über IT-/OT-Grenzen hinweg.

Nach Festlegung dieses Basiswerte können Monitoring-Tools Änderungen erkennen, die Sicherheitsbedrohungen oder betriebliche Herausforderungen darstellen können. In Industrieumgebungen ermöglicht Netzwerk-Monitoring mehrere Methoden zur Erkennung von Anomalien:
- Ungewöhnliche Werte lassen sich erfassen, indem Abweichungen von festgelegten historischen Mustern zu denselben Zeiten an verschiedenen Tagen oder Wochen identifiziert werden. Dies eignet sich gut zur Erkennung von ungewöhnlichen Mustern im Traffic, die auf Datendiebstahl oder unbefugte Befehle hinweisen können.
- Mit bestimmten Grenzwerten für wichtige Parameter können Warnmeldungen aktiviert werden, wenn die Messwerte die normalen Werte überschreiten.
- Mit leistungsstarken Sensoren können Berechnungen aus verschiedenen Sensorwerten entwickelt werden. So lassen sich verdächtige Verhalten analysieren, indem das Verhältnis zwischen Produktionsvolumen und Netzwerkverkehr berechnet wird.
- Mit dem Monitoring unterschiedlicher industrieller Protokolle wie Modbus TCP und OPC UA können Benutzer über abnormale Befehle oder nicht sequenzielle Vorgänge benachrichtigt werden, die auf Manipulationsversuche hindeuten können.
- Monitoring-Lösungen durch Integration mit spezialisierten OT-Tools zu kombinieren, erhöht die Sicherheit.

Operative Vorteile der Anomalieerkennung
- Frühwarnung bei Geräteproblemen: Auf ungewöhnliche Verhaltensmuster folgen oft Geräteausfälle. Durch frühzeitige Erkennung von Anomalien können Wartungsteams Servicearbeiten im Voraus planen, bevor es zu Produktionsausfällen kommt.
- Qualitätskontrolle: Abweichungen von Prozessparametern führen zu Problemen bei der Produktqualität. Proaktives Netzwerk-Monitoring hilft bei der Erkennung von abnormalen Zuständen, die die Produktionsqualität beeinträchtigen könnten.
- Energieoptimierung: Ineffizienzen oder Probleme bei Geräten lassen sich durch abnormale Energieverbrauchsmuster aufdecken. Das Monitoring dieser Muster hilft bei der Optimierung des Energieverbrauchs.
- Compliance-Dokumentation: Kontinuierliches Monitoring liefert den Nachweis, dass die Betriebsprozesse innerhalb der festgelegten Grenzen bleiben.

Sechs Schritte zur Implementierung von Netzwerk-Monitoring für die Erkennung von OT-Anomalien
- Beginnen Sie mit einer gründlichen Bestandsaufnahme: Systeme, die Sie nicht inventarisiert haben, können auch nicht geschützt werden. Führen Sie vollständige Aufzeichnungen über jedes Gerät, jede Verbindung und über die Kommunikationsmuster innerhalb Ihrer OT-Umgebung.
- Implementieren Sie in Phasen: Beginnen Sie mit dem Monitoring wichtiger Systeme und erweitern Sie den Umfang, sobald Sie Fachwissen und Sicherheit aufgebaut haben.
- Passen Sie die Schwellenwerte sorgfältig an: Fehlalarme können zu einer Alarmmüdigkeit führen. Legen Sie nach sorgfältiger Überlegung geeignete Schwellenwerte für Ihre spezifische Umgebung fest.
- Erstellen Sie benutzerdefinierte Dashboards: Mit Mapping-Tools können Betreiber und Sicherheitsteams den Zustand und die Sicherheit der OT über visuelle Dashboards überwachen.
- Entwickeln Sie klare Reaktionsverfahren: Alle Teammitglieder müssen die erforderlichen Maßnahmen verstehen, wenn Anomalien erkannt werden. Führen Sie schriftliche Protokolle für die Reaktion auf verschiedene Alarmkategorien.
- Regelmäßige Überprüfungen und Aktualisierungen: Industrielle Umgebungen verändern sich im Laufe der Zeit. Überprüfen und überarbeiten Sie Ihre Überwachungskonfiguration regelmäßig, um ihre Wirksamkeit aufrechtzuerhalten.

Fazit

Die zunehmende Vernetzung von OT- und IT-Systemen macht Produktionsumgebungen anfälliger für Störungen und Angriffe. Eine zuverlässige Erkennung von Anomalien ist daher beim Monitoring unverzichtbar, um Ausfälle, Sicherheitsvorfälle und Qualitätsprobleme frühzeitig zu erkennen und geeignete Maßnahmen zur Behebung einzuleiten. Entscheidend ist, die spezifischen Standards der eigenen OT-Umgebung zu kennen und Abweichungen konsequent zu überwachen. Wer OT-Monitoring schrittweise implementiert, klare Prozesse definiert und seine Systeme regelmäßig überprüft, schafft die Grundlage für mehr Sicherheit, Effizienz und Stabilität im industriellen Betrieb.

(Die Bildrechte liegen bei dem Verfasser der Mitteilung.) Firmen- & Pressekontakt