Rhebo bei Digital Forensics GmbH | Sabotageaufklärung in Logistikunternehmen

KONTINUIERLICHE ANALYSE DER FERNZUGÄNG

ECHTZEIT-DETEKTION VON MANIPULATIONSVERSUCHEN

ABSTELLEN DER INTERNEN SCHWACHSTELLEN

Details

Ausgangssituation und Herausforderung

Das Unternehmen Digital Forensics wurde als Dienstleister für Netzwerkanalyse von einem international tätigen Logistikunternehmen beauftragt, ungeklärte Stillstände in Logistikanlagen aufzuklären. Dabei waren bei drei seiner Endkunden die Steuerungssysteme auf einen Schlag ausgefallen. Die Wiederherstellung des Normalbetriebs dauerte mehrere Stunden bis Tage. Bei den Endkunden kam es dadurch zu hohen Konventionalstrafen sowie Wiederherstellungskosten im dreistelligen Millionenbereich. Da das Logistikunternehmen als Systemlieferant die Steuerungssysteme verantwortete, musste es diese Kosten tragen. Eine erste Analyse konnte keine Fehler in der Anlagensoftware feststellen. Jedoch fielen für den entsprechenden Zeitraum aktive Fernwartungszugänge mit Kommunikation über das Protokoll VNC auf – ein Hinweis auf eine potentielle Sabotage der Anlagen.

‍

Rückwirkungsfreies Kommunikationsmonitoring

Zugriffe und Kommunikation über Fernwartungszugänge kontinuierlich überwachen, ohne Infrastruktur und Prozesse zu beeinträchtigen.

‍

Identifikation des Innentäters

Manipulationsversuche der Kundensysteme über Fernwartungszugänge in Echtzeit erkennen, dokumentieren und zuordnen.

‍

Wiederholte Sabotageversuche stoppen

Schwachstellen identifizieren und geeignete Maßnahmen umsetzen, um Vorfälle zukünftig zu vermeiden.

Lösung

Digital Forensics entschied sich aufgrund des Anfangsverdachts auf interne Sabotage für ein Langzeitmonitoring der Steuerungskommunikation des Logistikunternehmens. Der Analysedienstleister integrierte die industrielle Anomalieerkennung Rhebo Industrial Protector im Netzwerk des Logistikunternehmens und analysierte fortlaufend und rückwirkungsfrei die Kommunikation aller Fernwartungszugänge. Das industrielle Netzwerkmonitoring mit Anomalieerkennung meldet in Echtzeit jegliche Vorgänge im Netzwerk, die zu Störungen der Anlagen führen können. Solche Anomalien umfassen sowohl Sicherheitsvorfälle als auch technische Störungen, wie sie im Alltagsbetrieb industrieller Anlagen auftreten. Rhebo Industrial Protector reduziert damit das Ausfallrisiko und erkennt selbst Manipulationsversuche über autorisierte Zugänge.

‍

Schadensminimierung

durch schnelle, gezielte Aufklärung sowie gerichtsfeste Beweise über die Sabotage.

Umsetzung und Erkenntnisse

Nach mehreren Monaten kontinuierlicher Überwachung meldete Rhebo Industrial Protector ungewöhnliche Kommunikationsvorgänge an den verdächtigen Fernwartungszugängen. Die Vorgänge wurden mit allen Details als PCAP gespeichert und konnten durch Digital Forensics umgehend ausgewertet werden. Die Analyse zeigte, dass über eine interne Unternehmensworkstation »Shutdown«-Befehle an die Endkunden gesendet wurden. Aufgrund der Echtzeitmeldung der Vorgänge wurde die erneute Sabotagehandlung gestoppt, bevor die Endkundenanlagen betroffen waren. Die für die Sabotage genutzte Workstation wurde eindeutig zugeordnet. Jedoch konnte der Täter selbst nicht identifiziert werden, da zu dem Zeitpunkt mehrere Hundert Personen über ein universelles Passwort Zugriff auf die Workstation hatten. Im Konzern wurden deshalb umgehend u.a. personalisierte Passwörter, striktere Sicherheitsrichtlinien und Schulungen zur Cybersicherheit umgesetzt, um die organisatorische Schwachstelle zu beseitigen.

Zur Unternehmensseite

Sabotageaufklärung in Logistikunternehmen

Schadensminimierung

Sicherstellung der Anlagenverfügbarkeit

Detektion von OT-Sicherheitsrisiken

Sicherheitsmonitoring & Risikobewertung

Risikoanalyse in der OT

Angriffserkennung in der OT

Aufbau des OT-Cybersicherheits-Knowhows

SIEM-Integration

Gesetzliche Compliance

Asset Discovery in der OT

Zustandsüberwachung in der OT

Mitre Att&ck for ICS Integration

SIEM-Integration

Schadensminimierung

Risikoanalyse in der OT

Angriffserkennung in der OT

Aufbau des OT-Cybersicherheits-Knowhows

SIEM-Integration

Gesetzliche Compliance

Asset Discovery in der OT

Zustandsüberwachung in der OT

Mitre Att&ck for ICS Integration

SIEM-Integration