zuruck zur Themenseite

Artikel und Hintergründe zum Thema

Cybersicherheit in der Produktion

Andreas Mühlbauer,

Endpunkte oder Netzwerke schützen?

Industrieunternehmen stehen vor der Herausforderung, IT-Systeme wie Server und Datenbanken zu schützen und gleichzeitig die operative Technologie (OT-Systeme) wie Industrielle Steuerungssysteme (ICS), Mensch-Maschine-Schnittstellen (HMI), SCADA und IoT-Geräte aufrechterhalten zu müssen.

© Eye Security

Insbesondere die Befürchtung, dass Sensoren und IoT-Geräte gehackt und die Daten manipuliert werden können, sorgt für Unsicherheit. Ein kompromittierter Temperatursensor könnte beispielsweise fehlerhafte Werte an ein Kontrollsystem melden und gefährliche Betriebsstörungen verursachen. Wo sollte der Schutz ansetzen?

Die Praxis zeigt, dass Cyberangriffe oft an den Endpunkten beginnen. Ein beschädigter Laptop eines Wartungstechnikers mit Zugang zu Produktionsnetzwerken kann als Ausgangspunkt für Cyberangriffe dienen und eine seitliche Bewegung in OT-Systemen auslösen. Die Statistiken deuten ebenfalls in diese Richtung: Allein im Jahr 2023 entfielen rund 25 % aller gemeldeten Sicherheitsvorfälleauf Industrieunternehmen. Dabei war die IT der Hauptangriffsvektor - 72 % der Angriffe erfolgten von dortaus.

Warum sind die Industrieunternehmen besonders betroffen? Der Grund dafür liegt vor allem in den durch die Vernetzung von IT und OT immer größer werdenden Angriffsflächen, den besonders anfälligen Altsystemen und dem hohen Grad an technologischer und betrieblicher Konnektivität. Die Produktion ist in hohem Maße von kontinuierlichen Abläufen abhängig, Verzögerungen können sich gravierend auf die Lieferkette auswirken.

Anzeige

Angriffe können Betriebsunterbrechungen mit schwerwiegenden Auswirkungen verursachen, weshalb Unternehmen oft Lösegeld zahlen, um den Betrieb wiederherzustellen. Doch was ist der effektivste Weg, sich gegen diese Angriffe zu schützen?

Endpunkte oder Netzwerke schützen?

Bei der Auswahl einer Cybersicherheitslösung stehen die Industrieunternehmen oft vor der Wahl zwischen „Endpoint Detection and Response“ (EDR) und „Network Detection and Response“ (NDR).

EDR überwacht Aktivitäten auf Endgeräten wie Desktops, Laptops und Servern, wo Bedrohungen meist beginnen. NDR-Lösungen hingegen konzentrieren sich auf die Analyse des Netzwerkverkehrs, um Bedrohungen durch Anomalien im Informationsfluss zu erkennen. NDR-Werkzeuge eignen sich besonders für die Netzwerksegmentierung, das Aufspüren von lateralem Datenverkehr zwischen IT und OT sowie für den Schutz von Maschinen, die keine Sicherheitssoftware ausführen können.

EDR und NDR nutzen beide eine kontinuierliche Überwachung, um schädliche Aktivitäten zu ermitteln. Bei einer Erkennung wird eine Warnung ausgelöst, die alle für die Reaktion erforderlichen Informationen enthält.

Das Ziel von Erkennungs- und Reaktionstechnologien ist es, einen erfolgreichen Einbruch zu erkennen, darauf zu reagieren und den Angriff einzudämmen, bevor es zu einem Schaden kommt. Doch wo sollte dies geschehen – am Endpunkt, im Netzwerk oder an beiden?

Wie verhalten sich EDR und NDR bei Ransomware, Phishing- und Lieferkettenangriffen?

Der jährlich aktualisierte ENISA Threat Landscape (ETL)-Bericht zeigt, dass Ransomware, Phishing und Lieferkettenangriffe zu den größten Herausforderungen für Unternehmen gehören.

Ransomware-Angriffe beginnen oft auf Endpunkten durch Phishing oder infizierte Anhänge. EDR erkennt die Verschlüsselung von Massendateien durch Überwachung des Dateisystems und Verhaltensanalyse und beendet die schädlichen Prozesse. NDR hingegen überwacht ungewöhnlichen ausgehenden Datenverkehr zu Command-and-Control-Servern (C2). Wenn eine vertrauenswürdige Software kompromittiert wurde, kann NDR ungewöhnliche Kommunikationsmuster erkennen. Ohne den Kontext von Endpunkten können jedoch Fehlmeldungen auftreten.

Bei Phishing-Versuchen überwacht eine EDR-Lösung alle E-Mail-Clients und Browser, um schädliche Anhänge oder URLs abzufangen. EDR kann Versuche erkennen, Anmeldedaten zu stehlen, und blockiert die Installation schädlicher Software. NDR kann ungewöhnlichen Netzwerkverkehr oder DNS-Anfragen an Phishing-Domänen identifizieren. Hier sind aber Möglichkeiten eingeschränkt,Kompromittierungen zu verhindern und HTTPS konsequent durchzusetzen.

Bei Lieferketteangriffen kann ein EDR-Werkzeug Anwendungen auf ungewöhnliches Verhalten überwachen und nutzt Kompromittierungsindikatoren (IoCs), um vertrauenswürdige Software zu erkennen, die sich schädlich verhält. NDR ist in der Lage, unvorhergesehene Kommunikationen von kompromittierter Software zu erkennen, hat aber Schwierigkeiten, ohne Endpunktkontext legitimen von schädlichem Datenverkehr zu unterscheiden.

Wann können sich EDR und NDR ergänzen?

Ein NDR-Werkzeug allein reicht oft nicht aus, da es Schwierigkeiten hat, zwischen legitimen und schädlichen Datenflüssen zu unterscheiden. NDR ist auf die bestehende Netzwerktransparenz angewiesen, die in industriellen Umgebungen häufig begrenzt ist.

Es gibt Szenarien, in denen NDR für OT-Systeme sinnvoll ist, z. B. wenn ein EDR-Agent nicht auf älteren Maschinen oder IoT-Geräten mit begrenztem Speicher installiert werden kann. In diesem Fall kann ein NDR-Werkzeug ICS- oder IoT-Geräte überwachen in Kombination mit EDR-Lösungen, die IT-Endpunkte schützen. Dennoch sollte NDR nicht als primäre Schutzmaßnahme betrachtet werden.

Für den Schutz kritischer Infrastrukturen, die eine Kombination aus IT- und OT-Umgebungen umfassen, ist es ratsam, eine Netzwerksegmentierung vorzunehmen, EDR auf IT-Systeme anzuwenden und gezielt NDR zu implementieren. Für andere Szenarien ist ein EDR-Werkzeug meistens ausreichend.

Fazit und Ausblick

Für die meisten Industrieunternehmen ist EDR die effektivste Lösung, um Cyberangriffe an ihrer häufigsten Quelle, den Endpunkten, zu erkennen und einzudämmen. NDR kann als ergänzende Schicht betrachtet werden und sollte nur dann eingesetzt werden, wenn besondere Anforderungen an die Netzwerktransparenz bestehen.

Ein EDR-Werkzeug sollte daher die Basis einer Cybersicherheitsstrategie bilden. Ein NDR-Werkzeug kann diese Strategie sinnvoll ergänzen, indem es zusätzliche Anomalieerkennung für nicht verwaltete Geräte bietet oder laterale Bewegungen innerhalb bestimmter Netzwerkarchitekturen erkennt. Ein NDR-Werkzeug ist jedoch am effektivsten, wenn es ein EDR unterstützt und dabei hilft, die Lücken zu schließen, die in komplexen Sicherheitsumgebungen entstehen.

  • Xing Icon
  • LinkedIn Icon
Anzeige
zurück zur Themenseite
Anzeige

Das könnte Sie auch interessieren

Anzeige

Cybersecurity und Resilienz

NIS2 trifft Shopfloor

Mit der NIS2-Richtlinie steigen die Anforderungen an die OT-Sicherheit deutlich. Wie Unternehmen mit IEC 62443-2-1 Struktur, Nachweisfähigkeit und Praxisnähe verbinden, zeigt dieser Beitrag – von Governance bis Auditfähigkeit im Shopfloor.

mehr...

NIS2

Vom Risiko zur Resilienz

Mit NIS2 steigen die Anforderungen an industrielle Sicherheitskonzepte deutlich. Neben Cyberresilienz gewinnt der physische Zutrittsschutz an Bedeutung. Elektronische Schließsysteme ermöglichen eine flexible, skalierbare und nachvollziehbare...

mehr...
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

Technologien 2026

Diese Trends prägen 2026

Raymond Kok, CEO von Mendix, identifiziert sieben Technologie-Trends für 2026: Für Unternehmen steht 2026 im Zeichen von Compliance und Governance, da der wachsende KI-Einsatz neue Anforderungen an Kontrolle, Transparenz und Regulierung mit sich...

mehr...
Jetzt Newsletter abonnieren