OT und IT
Cyberabwehr in der Industrie: EDR vs. NDR
Industrieunternehmen stehen zunehmend im Visier von Cyberangriffen – besonders gefährdet sind die Übergänge zwischen IT- und OT-Systemen. Der Artikel beleuchtet, warum Endpunktschutz (EDR) meist die Grundlage wirksamer Sicherheitsstrategien bildet und wie Network Detection (NDR) diese sinnvoll ergänzen kann.
Industrieunternehmen stehen vor der Herausforderung, IT-Systeme wie Server und Datenbanken zu schützen und gleichzeitig die operative Technologie (OT-Systeme) wie Industrielle Steuerungs- systeme (ICS), Mensch-Maschine-Schnittstellen (HMI), SCADA und IoT-Geräte aufrechterhalten zu müssen. Insbesondere die Befürchtung, dass Sensoren und IoT-Geräte gehackt und die Daten manipuliert werden können, sorgt für Unsicherheit. Wo sollte der Schutz ansetzen?
Die Praxis zeigt, dass Cyberangriffe oft an den Endpunkten beginnen. Ein beschädigter Laptop eines Wartungstechnikers mit Zugang zu Produktionsnetzwerken kann als Ausgangspunkt für Cyberangriffe dienen und eine seitliche Bewegung in OT-Systemen auslösen. Die Statistiken deuten ebenfalls in diese Richtung: Allein im Jahr 2023 entfielen rund 25 % aller gemeldeten Sicherheitsvorfälle auf Industrieunternehmen. Dabei war die IT der Hauptangriffsvektor – 72 % der Angriffe erfolgten von dort aus.
Warum sind die Industrieunternehmen besonders betroffen? Der Grund dafür liegt vor allem in den durch die Vernetzung von IT und OT immer größer werdenden Angriffsflächen, den besonders anfälligen Altsystemen und dem hohen Grad an technologischer und betrieblicher Konnektivität. Die Produktion ist in hohem Maße von kontinuierlichen Abläufen abhängig, Verzögerungen können sich gravierend auf die Lieferkette auswirken. Angriffe können Betriebsunterbrechungen mit schwerwiegenden Auswirkungen verursachen, weshalb Unternehmen oft Lösegeld zahlen, um den Betrieb wiederherzustellen. Doch was ist der effektivste Weg, sich gegen diese Angriffe zu schützen?
Endpunkte oder Netzwerke schützen?
Bei der Auswahl einer Cybersicherheitslösung stehen die Industrieunternehmen oft vor der Wahl zwischen "Endpoint Detection and Response" (EDR) und "Network Detection and Response" (NDR). EDR überwacht Aktivitäten auf Endgeräten wie Desktops, Laptops und Servern, wo Bedrohungen meist beginnen. NDR-Lösungen hingegen konzentrieren sich auf die Analyse des Netzwerkverkehrs, um Bedrohungen durch Anomalien im Informationsfluss zu erkennen. NDR-Werkzeuge eignen sich besonders für die Netzwerksegmentierung, das Aufspüren von lateralem Datenverkehr zwischen IT und OT sowie für den Schutz von Maschinen, die keine Sicherheitssoftware ausführen können.
EDR und NDR nutzen beide eine kontinuierliche Überwachung, um schädliche Aktivitäten zu ermitteln. Bei einer Erkennung wird eine Warnung ausgelöst, die alle für die Reaktion erforderlichen Informationen enthält. Das Ziel von Erkennungs- und Reaktionstechnologien ist es, einen erfolgreichen Einbruch zu erkennen, darauf zu reagieren und den Angriff einzudämmen, bevor es zu einem Schaden kommt. Doch wo sollte dies geschehen – am Endpunkt, im Netzwerk oder an beiden?
Verhalten bei Ransomware, Phishing- und Lieferkettenangriffen
Der jährlich aktualisierte Bericht Enisa Threat Landscape (ETL) zeigt, dass Ransomware, Phishing und Lieferkettenangriffe zu den größten Herausforderungen für Unternehmen gehören.
Ransomware-Angriffe beginnen oft auf Endpunkten durch Phishing oder infizierte Anhänge. EDR erkennt die Verschlüsselung von Massendateien durch Überwachung des Dateisystems und Verhaltensanalyse und beendet die schädlichen Prozesse. NDR hingegen überwacht ungewöhnlichen ausgehenden Datenverkehr zu Command-and-Control-Servern (C2). Wenn eine vertrauenswürdige Software kompromittiert wurde, kann NDR ungewöhnliche Kommunikationsmuster erkennen. Ohne den Kontext von Endpunkten können jedoch Fehlmeldungen auftreten.
Bei Phishing-Versuchen überwacht eine EDR-Lösung alle E-Mail-Clients und Browser, um schädliche Anhänge oder URLs abzufangen. EDR kann Versuche erkennen, Anmeldedaten zu stehlen, und blockiert die Installation schädlicher Software. NDR kann ungewöhnlichen Netzwerkverkehr oder DNS-Anfragen an Phishing-Domänen identifizieren. Hier sind aber Möglichkeiten eingeschränkt, Kompromittierungen zu verhindern und HTTPS konsequent durchzusetzen.
Bei Lieferkettenangriffen kann ein EDR-Werkzeug Anwendungen auf ungewöhnliches Verhalten überwachen und nutzt Kompromittierungsindikatoren (IoCs), um vertrauenswürdige Software zu erkennen, die sich schädlich verhält. NDR ist in der Lage, unvorhergesehene Kommunikationen von kompromittierter Software zu erkennen, hat aber Schwierigkeiten, ohne Endpunktkontext legitimen von schädlichem Datenverkehr zu unterscheiden.
Wann können sich EDR und NDR ergänzen?
Ein NDR-Werkzeug allein reicht oft nicht aus, da es Schwierigkeiten hat, zwischen legitimen und schädlichen Datenflüssen zu unterscheiden. NDR ist auf die bestehende Netzwerktransparenz angewiesen, die in industriellen Umgebungen häufig begrenzt ist.
Es gibt Szenarien, in denen NDR für OT-Systeme sinnvoll ist, zum Beispiel wenn ein EDR-Agent nicht auf älteren Maschinen oder IoT-Geräten mit begrenztem Speicher installiert werden kann. In diesem Fall kann ein NDR-Werkzeug ICS- oder IoT-Geräte überwachen in Kombination mit EDR-Lösungen, die IT-Endpunkte schützen. Dennoch sollte NDR nicht als primäre Schutzmaßnahme betrachtet werden.
Für den Schutz kritischer Infrastrukturen, die eine Kombination aus IT- und OT-Umgebungen umfassen, ist es ratsam, eine Netzwerksegmentierung vorzunehmen, EDR auf IT-Systeme anzuwenden und gezielt NDR zu implementieren. Für andere Szenarien ist ein EDR-Werkzeug meistens ausreichend.
Für die meisten Industrieunternehmen ist also EDR die effektivste Lösung, um Cyberangriffe an ihrer häufigsten Quelle, den Endpunkten, zu erkennen und einzudämmen. NDR kann als ergänzende Schicht betrachtet werden und sollte nur dann eingesetzt werden, wenn besondere Anforderungen an die Netzwerktransparenz bestehen.
Ein EDR-Werkzeug sollte daher die Basis einer Cybersicherheitsstrategie bilden. Ein NDR-Werkzeug kann diese Strategie sinnvoll ergänzen, indem es zusätzliche Anomalieerkennung für nicht verwaltete Geräte bietet oder laterale Bewegungen innerhalb bestimmter Netzwerkarchitekturen erkennt. Ein NDR-Werkzeug ist jedoch am effektivsten, wenn es ein EDR unterstützt und dabei hilft, die Lücken zu schließen, die in komplexen Sicherheitsumgebungen entstehen.











