Monitoring- & Security-Analysetool für Industrie 4.0

Ausgangssituation

Wesentliche Motivation zur Entwicklung der ScanBox ist die Erkenntnis, dass Klein- und Mittelständische Unternehmen (KMU) oft nicht die Unterstützung eines Vollzeit-Administrators haben, der sich bis ins kleinste Detail mit der Hardware und dem Netzwerk und demzufolge auch mit dem Bedrohungspotenzial auskennt. Vielmehr werden generelle IT-Kenntnisse in KMU angestrebt, um in allen IT-Bereichen rudimentär unterstützen zu können. Hierbei kommt das Thema IT-Sicherheit oftmals zu kurz, da dieses Umfeld keine direkten Auswirkungen auf das Tagesgeschäft hat. KMU sind verglichen mit großen Unternehmen bei prinzipiell gleicher Gefährdungslage deutlich höheren Risiken ausgesetzt.

Das Monitoring und die Bewertung von Netzwerk- und Informations-Sicherheit haben Auswirkungen auf das Rating und den Wert von Unternehmen. Gesetzgeberische und regulatorische Vorgaben erzwingen regelmäßige Kontrollen und Transparenz des vorhandenen Sicherheitsstandards. Abgesehen von den betriebswirtschaftlichen Schäden sind die Haftungsrisiken, mit denen für Geschäftsführer und IT-Verantwortliche in Unternehmen im Fall von nachweislichen Versäumnissen im Bereich der IT-Sicherheit konfrontierte werden, erheblich. Dennoch steigt die Zahl von Sicherheitsvorfällen jährlich.

ScanBox-Lösungsansatz

Der innovative Kern des Projektes beruht deshalb auf dem Ansatz, eine komplexe, nicht triviale, administrativ anspruchsvolle Security-Analyse über ein „Out-of-the-Box“-System vollautomatisch zu initialisieren, abzuwickeln und die Ergebnisse zu visualisieren. Das System wird als spezialisierte, genau für den Anwendungsfall adaptierbare Hardware-Box entwickelt. Im Gegensatz zu reinen Analysetools werden Bezüge der identifizierten Risiken des Unternehmens hergestellt. Nutzer sollen ihrem Kompetenzlevel entsprechende konkrete Handlungsempfehlungen erhalten, deren Validität ebenfalls überprüft wird. Die empfohlenen Gegenmaßnahmen basieren auf den Empfehlungen des BSI zum IT-Grundschutz. Über die Integration der Common Vulnerabilities and Exposure (CVE) Datenbank soll ein Bezug zu den vom BSI entsprechend empfohlen Gegenmaßnahmen hergestellt werden. Die skalierbare Analyse bietet eine Vielzahl von Kombinationsmöglichkeiten mit Managed Security Services und schafft Rechtssicherheit durch permanente Verfügbarkeit.

Projektziel ist die Entwicklung einer Appliance zur Erhebung und Dokumentation des Sicherheitsniveaus in KMUs. Das Gerät soll, im Gegensatz zu üblicherweise statischen Erhebungen, ohne manuellen Eingriff das Sicherheitsniveau der überwachten Infrastruktur permanent evaluieren und automatisiert Handlungsempfehlungen ableiten. Dabei sollen Scan-, Analyse- und Penetrationswerkzeuge evaluiert, entwickelt und integriert werden. Ein zentrales Management-Modul übernimmt die Koordination sämtlicher Funktionen und verhindert Risiken für die überwachten Netzwerke. Die konsolidierten Scan- und Monitoring-Ergebnisse werden in zielgruppenspezifischen Berichten zusammengefasst.

Ein weiteres Teilprojektziel ist die Implementierung eines automatischen Usability-Beobachters. Dieser beobachtet sowohl die Benutzerinteraktion mit dem System, als auch die Validität und Verständlichkeit (Usability) der vorgeschlagenen Katalogmaßnahmen. Im Laufe der Benutzung durch den örtlichen (autodidaktisch herangebildeten) Verantwortlichen passt sich das System an dessen Erfahrungshorizont an. Die empfohlenen Gegenmaßnahmen basieren auf den Empfehlungen des BSI zum IT-Grundschutz. Über die Integration der Datenbank Common Vulnerabilities and Exposure (CVE) soll ein Bezug zu den vom BSI entsprechend empfohlen Gegenmaßnahmen hergestellt werden.

Das ScanBox-Projekt ist aus dem Kooperationsnetzwerk DiSiNet entstanden, welches sich mit der Sicherheit Kritischer Infrastrukturen (KRITIS) auseinandersetzt.

Abbildung: ScanBox-Einsatzszenarien
Abbildung: ScanBox-Einsatzszenarien

Die Abbildung zeigt die geplanten Einsatzszenarien auf. Die ScanBox soll sowohl zentral das Netzwerk untersuchen, als auch nur in einzelnen Netzsegmenten. Weiterhin soll es auch möglich sein mehrere ScanBox-Systeme parallel in unterschiedlichen Netzsegmenten zu betreiben.