Prozessautomatisierung | 7. Oktober 2021

Industrielle Sicherheitsvorfälle erkennen

ABB Ability Cyber Security Event Monitoring

Für Betreiber von Industrieanlagen können Sicherheitsereignisse in operativen Systemen (OT) gravierende Folgen haben und große finanzielle Schäden verursachen. Umso wichtiger ist es, Cyberangriffe sowie potenziell schädigendes Verhalten im Automatisierungssystem frühzeitig zu erkennen und angemessen darauf zu reagieren. Das ABB Ability Cyber Security Event Monitoring unterstützt Unternehmen dabei mit umfangreichen und effektiven Methoden. Diese überwachen OT-Systeme, erkennen mögliche Vorfälle, bewerten sie und helfen, die erforderlichen Maßnahmen einzuleiten.

Herzstück der Lösung ist ein Security Information and Event Management System (SIEM), wie es das Bundesamt für Sicherheit in der Informationstechnik (BSI) für kritische Infrastrukturen fordert. Es bündelt sicherheitsrelevante Informationen und Meldungen der Prozessautomatisierung, bringt die Ereignisse zueinander in Beziehung und überprüft sie auf verdächtige Verhaltensmuster. Dabei werden die Meldungen von zahlreichen Komponenten des Automatisierungssystems überwacht, zum Beispiel Hardware, Zugangsberechtigungen, Netzwerkkommunikation, Sicherheitsapplikationen und Betriebssysteme. Dank der verschiedenen Datenquellen entsteht ein umfassendes Abbild des jeweiligen Sicherheitszustands der komplexen System- und Prozesslandschaft. Im Verdachtsfall löst das SIEM einen Alarm aus und leitet die Bearbeitung der Bedrohungssituation ein.

Die zentrale Schnittstelle zwischen den verschiedenen Systemkomponenten und dem SIEM ist der ABB Event Collector. Er sammelt alle sicherheitsrelevanten Meldungen und Ereignisse und stellt sie aggregiert für das SIEM bereit. Dort werden sie logisch miteinander verknüpft und anhand definierter Anwendungsfälle analysiert. Diese anlagenspezifischen Referenzdaten, Regelwerke, Kontexte und zeitlichen Abläufe erlauben es, verdächtige Vorfälle – etwa das Laden eines Controllers außerhalb der Arbeitszeit – zeitnah zu erkennen und gegenzusteuern.

Ein SIEM-Server kann mehrere Anlagen gleichzeitig überwachen und sowohl vor Ort als auch in der ABB-Cloud bereitgestellt werden. Möglich ist auch eine Anbindung an das ABB Collaborative Operation Center (COC), das die kontinuierliche Aktualisierung der Sicherheitskriterien, sowie die Überwachung und Reaktion bei Alarmen unterstützt. Mit dem ABB Ability Cyber Security Event Monitoring und entsprechender Services von ABB können Unternehmen die Sicherheit ihrer operativen Systeme deutlich verbessern.

Weitere englischsprachige Informationen zum Cyber Security Event Monitoring unter https://library.e.abb.com/public/e9e89e833262492483a3d80f1c427e39/ABB Cyber security Brochure Event Monitoring 20210419.pdf