Projektumsetzung

Das Monitoring- und Analysetool Irma [1] sammelte zunächst über den Mirror-Port – ausschließlich passiv und damit rückwirkungsfrei – Informationen über Systeme und Datenflüsse im Netzwerk (Bild 1). Dadurch wurden die vernetzten Assets und deren Kommunikation in der Produktionsanlage identifiziert. Auf Basis der bereitgestellten, jederzeit aktuellen Informationen wurde eine Modellierung der Infrastruktur ermöglicht und als Basis für die Durchführung der Angriffssimulation zur Resilienzbestimmung mittels Securicad gesetzt. [3]

Über den Netzwerkaufbau hinaus konnte durch den Informationsexport aus Irma analysiert werden, welche Systeme miteinander kommunizieren und welche potenziellen Angriffswege daher zu berücksichtigen sind. [4] Mittels einer Visualisierung der Datenflüsse konnte eine vollständige Übersicht über das OT-Netz ermöglicht und die Dokumentation der aktuellen Infrastruktur erleichtert werden. Weiterhin wurden auch die Industrie-Kommunikationsprotokolle identifiziert und analysiert.

Die so gewonnene Kenntnis der vollständigen Datenflüsse war Voraussetzung für den nächsten Schritt der Risikoableitung: Nun konnte festgestellt werden, welche Systeme miteinander in Verbindung stehen und dadurch gegebenenfalls zu einem höheren Gesamtrisiko beitragen, falls eines der vernetzten Systeme durch einen Hackerangriff korrumpiert wird. Im Securicad-Netzwerkmodell wurde anschließend die Netzwerktopologie visualisiert und ein Simulationsmodell erstellt, in das weitere Informationen aus der Büro-Infrastruktur eingefügt und weitere Datenflüsse, beispielsweise für Fernzugriffe aus dem Internet auf die Industrieanlagen, berücksichtigt wurden (Bild 2).

Um schließlich die Resilienz der Anlage aus verschiedenen Perspektiven zu untersuchen, wurde abhängig vom jeweiligen Szenario der Angreifer im Internet (extern) oder im Produktionsnetzwerk (intern) positioniert.