Discoveryscan in der Fertigung

Von Jörg Hohwieler 26. Januar 2024

Discoveryscan in der Fertigung

Im Rahmen der NIS2 Einführung im Oktober 2024 kommen betroffene Betriebe nicht drum herum sich mit dem Bestand ihrer IT-Systeme zu befassen. Gerade in Fertigungsbetrieben gibt es oft eine große Vielfalt an Systemen mit unterschiedlichsten Betriebssystemen und Diensten.

Identifikation von IT-Systemen

Je größer die Anzahl der IT-Systeme, desto aufwändiger wird deren Identifikation. Bis zu einer gewissen Anzahl mag dies noch händisch machbar sein, aber darüber hinaus wird es schwer. Daher braucht man eine Software, die permanent die Netze scannt und Informationen über die Systeme sammelt:

  • Welche Dienste gibt es?
  • Welche Systeme stellen diese Dienste bereit?
  • Welches Betriebssystem kommt dabei zum Einsatz?
  • Welche Software stellt den Dienst bereit?

Diese und viele andere Fragen sollte man sich stellen um die IT-Landschaft besser einschätzen zu können hinsichtlich ihrer Risiken. Man ermittelt sozusagen den Fingerabdruck eines jeden Systems.

Es gibt jedoch noch weitere Informationen, die man in den allermeisten Fällen händisch ermitteln muss:

  • Wer ist für welches System verantwortlich?
  • Wie wichtig ist das jeweilige System?
  • Wird das System gesichert?
  • Wie kann es im Bedarfsfall wiederhergestellt werden?
  • Welche Schwachstellen sind zu dem System bekannt?

Mit all diesen Informationen lassen sich die Systeme dann bewerten um davon weitere Maßnahmen hinsichtlich der IT-Security ableiten.

Fertigungs-IT vs. IT-Security

Generell treffen hier zwei Welten aufeinander. Die Fertigung setzt ihren Fokus auf die Stabilität. Denn die soll schließlich zuverlässig und ohne Einschränkungen produzieren.

Auf der anderen Seite steht die IT-Abteilung mit ihren Anforderungen an die IT-Security. Der IT es wichtig, dass die Systeme gut konfiguriert sind und gewartet werden hinsichtlich der IT-Security. Denn schließlich fällt der Blick bei einem erfolgten Cyberangriff zunächst auf die IT-Abteilung. Spätestens dann ist sich die Fertigung sicher, dass doch die IT-Abteilung die Expertise hat und entsprechend hätte warnen müssen.

Man kann sich gut vorstellen, dass es hier schnell zu Spannungen zwischen beiden Lagern kommen kann. Es besteht also die Herausforderung beide Welten zur Zusammenarbeit zu bringen um ein gemeinsames und der Sicherheit angemessenes Ziel zu entwickeln. Dies gelingt am besten mit einem gegenseitigen Verständnis der Anforderungen beider Lager.

Dazu kommt die IT-Abteilung nicht um Folgendes drum herum:

  • Informieren
  • Zuhören
  • Darstellen und Erklären
  • Gemeinsame Lösungen finden

Die Fertigung dagegen kommt um folgende Punkte nicht drum herum:

  • Das Gefahrenpotenzial von Cyberangriffen verstehen
  • Verständnis für Abwehrmaßnahmen entwickeln
  • Prozesse im Hinblick auf IT-Security anpassen
  • IT-Security bei Inbetriebnahme neuer Systeme beachten

Erfahrungen mit Discoveryscans in der Fertigung

Haben beide Lager eine Basis für die weitere Zusammenarbeit geschaffen, geht es nun darum möglichst alle Systeme zu erfassen. Ein Discoveryscan erfasst dabei alle Netze und tastet jedes System ab.

Hier können möglicherweise Probleme auftreten:

  • Alte Software, die empfindlich auf den TCP Scan ihres Applikatinsports reagiert und möglicherweise einen Neustart erfordert.
  • Der Scan erzeugt Fehlermeldungen und damit Verunsicherung in der Produktion.
  • Fehlermeldungen werden oft sehr unspezifisch an die IT herangetragen.
  • Fehler sind nicht immer reproduzierbar.

Oft kommt hinzu, dass sich Fehler erst verzögert zeigen, weil z.B. ein Testprogramm nur alle paar Stunden Daten nachladen muss. Oder aufgetretene Probleme werden vom bedienenden Personal schnell und pragmatisch durch einen Neustart behoben, so dass man erst gar nicht erfährt, dass es ein Problem gab.

In erster Linie ist es hier also wichtig, dass die Termine für die Scans im Voraus kommuniziert werden. Wenn es Erfahrungen mit vorangegangenen Tests gibt, sollte diese berücksichtigt werden, z.B. durch Ausnahmen von IP-Adressen oder Ports. Bei wenig Erfahrung ist es sehr wichtig, kleinteilig und schonend vorzugehen. Nicht gleich alles auf einmal scannen, sondern Subnetz für Subnetz, um so einen Flächenbrand zu vermeiden. Schonend scannen, in dem die Scanrate pro System verkleinert wird, auch wenn dies bedeutet, dass der Scan damit mehr Zeit benötigt.

Ziel ist es, die IT-Landschaft bzw. den Scan so einzustellen, dass dieser kontinuierlich laufen kann. Neben der Ausnahme von IP-Adressen oder Ports hilft evtl. auch das eine oder andere Applikationsupdate. Oder es stellt sich heraus, dass der empfindliche Dienst überhaupt nicht auf der externen Schnittstelle lauschen muss.

Die Lösung der Probleme für eine dauerhafte Durchführung der Scans bietet also auch immer die Chance Probleme direkt zu beseitigen.

Hat man einen dauerhaften Scan etabliert, so verfügt man idealerweise immer über eine möglichst aktuelle Datenbasis und hat damit die Grundlage geschaffen um mit der Risikoanalyse im Rahmen von NIS2 fortzufahren.