Wie in keiner anderen Branche geht es in der Chemieproduktion bei der Cybersicherheit auch um den Schutz der Mitarbeitenden und der Umwelt. Das Chemieunternehmen hat bereits ein fest etabliertes und effektiv arbeitendes IT-Sicherheitsteam. Jedoch war bislang die OT der Prozessanlagen nicht auf Cybervorfälle überwacht worden. Dies wurde aufgrund der starken Digitalisierung und Vernetzung der Produktionslinien jedoch notwendig, um auch in der Chemieproduktion sowohl den Schutz vor Datendiebstahl, als auch den Schutz für Mensch, Anlagen und Umwelt zu stärken.
Im ersten Schritt sollten im Zuge einer Risikoanalyse drei Produktionslinien des Chemieunternehmens an einem Standort durch ein Rhebo Industrial Security Assessment auf bestehende Sicherheitslücken und Schwachstellen untersucht werden.
Rhebo Industrial Security Assessment
Rhebo Industrial Protector
Rhebo Managed Protection
Zur Durchführung des Rhebo Industrial Security Assessments wurde in jedem OT-Netz ein Rhebo-Sensor integriert. Über einen Zeitraum von zwei Wochen zeichneten die Sensoren passiv und rückwirkungsfrei die OT-Kommunikation auf und speicherten sie als packet capture (pcap). Im Anschluss analysierten Rhebo-Expert:innen im Rahmen eines Rhebo Industrial Security Assessments die Kommunikations-Logs u.a. per Deep Packet Inspection, automatisierter Anomalienfindung und forensischer Analyse.
Für den Chemiekonzern konnte so erstmals Sichtbarkeit in der OT geschaffen werden. So zeigte sich – nicht ganz überraschend –, dass die Chemieproduktion eine verhältnismäßig homogene Infrastruktur aufwies. Zwar wurden in jedem überwachten OT-Netz mehrere Hundert Geräte identifiziert, jedoch stammten diese von nur wenigen Herstellern.
Dennoch lagen die Security Posture und Netzwerkqualität im mittleren Feld. Beobachtungen, die zu dieser Bewertung führten, waren u.a.:
Auf Seite der Stabilitäts- und Verfügbarkeitsbewertung fanden sich
Die im Rahmen des Rhebo Industrial Security Assessment integrierten Sensoren verblieben in den OT-Netzen und wurden mit einem Rhebo Controller in den operativen Betrieb als System zur Angriffserkennung (Rhebo Industrial Protector) übernommen. Rhebo unterstützte das Chemieunternehmen regelmäßig bei der Auswertung von Anomaliemeldungen und Einschätzung der Risikolage, bis das Unternehmen ausreichend Knowhow aufgebaut hatte, um das System zur Angriffserkennung vollständig in Eigenregie zu betreiben.
durch Asset Discovery und Visualisierung der Verbindungen und Systemeigenschaften.
durch kontinuierliches Sicherheitsmonitoring mit Anomalieerkennung.
durch Rhebo-Betreuung bei der Einrichtung der Baseline und Auswertung von Anomalien.