Internationales Verkehrswesen (69) 3 | 2017 80 TECHNOLOGIE Datensicherheit Zügig die IT-Landschaft im-Nahverkehr absichern Wie ein Verkehrsbetrieb mit Schwachstellen-Management Sicherheitslücken bekämpft IT-Security, IT-Sicherheit, Netzwerküberwachung, Schwachstellenmanagement, Nahverkehr, Vulnerability Management Beim Personennahverkehr läuft im Hintergrund eine komplexe IT-Infrastruktur, die vor Hackerangriffen geschützt sein muss. Damit dieses Sicherheitsziel nicht in Gefahr gerät, hat sich ein führender deutscher Nahverkehrsanbieter an Axians IT Security gewandt. Die IT-Sicherheitsexperten implementierten die Lösung „SecurityCenter“ von Tenable. Eine kontinuierliche Netzwerküberwachung sowie Vulnerability Management befähigen das Verkehrsunternehmen nun dazu, die gesamte IT-Umgebung transparent zu machen. So lassen sich Sicherheitslücken schnell identifizieren und sofort Abwehrmaßnahmen ergreifen. Barbara Schrettle W ie in nahezu allen Unternehmen ist auch beim Nahverkehr die IT das Rückgrat des täglichen Geschäfts: Verkehrsmittel können nur dann sicher und zuverlässig rollen, wenn der IT-Betrieb störungsfrei läuft. Alle Systeme und auch Endgeräte wie etwa Kassenautomaten sind davon anhängig. Eine solche aufwändige und verzweigte IT-Infrastruktur stellt jedoch ein attraktives Ziel für Hacker dar. Gerade wenn eine IT-Landschaft komplex und über Jahre gewachsen ist, stellt der effektive Schutz Unternehmen vor eine gewaltige Herausforderung. Es ist schwierig, hier Schwachstellen und somit potenzielle Angriffsziele zu entdecken. Dazu kommt, dass oft zu kleine IT-Teams nicht die Kapazitäten für eine umfassende Inventur haben. Dabei ist es wichtig, präzise und aktuell zu erfassen, welche Systeme, Dienste und Software in welcher Konfiguration betrieben werden. Die Bestandsaufnahme sollte auf Automatismen beruhen, die dauerhaft greifen. In dieser Situation fand sich ein führender deutscher Nahverkehrsanbieter wieder. Er beschäftigt mehrere Tausend Mitarbeiter und betreibt Lokomotiven, Reisezugwagen, Triebwagen, Busse und Straßenbahnen. Für die deutschlandweite Präsenz sorgen zahlreiche Tochtergesellschaften. Das Unternehmen wollte handeln. Als vordergründige Vorgabe formulierte es, ein Schwachstellen-Management einzuführen. Das sollte zum eigentlichen Ziel führen: die eigene IT transparenter und sicher machen. Im IT-Inventar die Schwachstellen finden In der heterogenen IT-Umgebung des Nahverkehrsanbieters läuft eine Vielzahl von Servern, Clients und Kassensystemen. Darauf sind unterschiedliche Betriebssysteme und Software-Lösungen im Einsatz. Unterschiedliche Patch-Stände bieten weitere Angriffsflächen. Neue IT, etwa von Tochterunternehmen, ließ sich bisher nur schwer eingliedern, weil die Transparenz über die historisch gewachsene IT-Struktur fehlte. Das kleine Security-Team steckte großen Aufwand in die manuelle Überwachung des komplexen Systems. Ihm fehlte die Unterstützung, um die begrenzten Ressourcen priorisiert und effektiv für den größtmöglichen Sicherheitsgewinn einzusetzen. Daraus leitete sich folgendes Vorgehen ab: Als erstes sollte eine automatisierte Inventurliste angelegt werden, die zeigt, welche IT-Assets im Unternehmen im Einsatz sind. Darauf aufbauend wollte man den Sicherheitsstatus der Systeme überprüfen. Das sollte Informationen über mögliche Schwachstellen liefern und dazu dienen, diese Schwachstellen zielgerichtet zu beheben. Eine Lösung, die effiziente Prozesse für Inventarisierung und durchgängiges Patch- Management bietet, fehlte bisher. Schwachstellen-Scanner: stationär und mobil einsetzbar Der Nahverkehrsanbieter wandte sich an seinen langjährigen Trusted Partner Axians IT Security, einen herstellerunabhängigen Anbieter für IT-Sicherheit. Nach einer Evaluation fiel die Entscheidung auf Tenables „SecurityCenter“: Der Schwachstellen- Scanner inventarisiert und bietet außerdem ein umfangreiches Vulnerability Management. Er deckt also beide Anforderungen ab und punktet zusätzlich durch Funktionsvielfalt und flexibel anpassbares Reporting. Nachdem die IT-Infrastruktur analysiert war und die Scan-Zonen identifiziert wurden, ließ sich planen, wie viele Netzwerksegmente man brauchte. Die Sicherheitsexperten entwarfen im nächsten Schritt die Architektur und stellten das „SecurityCenter“ bereit. Technische Voraussetzung dafür ist eine mittelgroße virtuelle Maschine in einer sicheren Zone. Für die wichtigsten Netze hat Axians stationäre Scanner installiert. Ein zusätzlich eingeführter mobiler Scanner auf einem Laptop hat die Aufgabe, die verbleibenden Netze zu analysieren. Im Vorfeld definierten die Sicherheitsexperten den Scan-Umfang - ob es beispielsweise mehrere, auch externe Netze zu berücksichtigen gilt -, die Scan-Ziele und die Scan-Informationsflüsse. Dabei legten sie fest, dass Informationen über gefundene Schwachstellen an die Techniker gehen und Reports an den Chief Information Security Officer. Cyberkriminellen das Leben schwer-machen Das Projekt war nach rund sechs Arbeitstagen vor Ort abgeschlossen, seit Mitte 2016 setzt der Nahverkehrsanbieter die Lösung Internationales Verkehrswesen (69) 3 | 2017 81 Datensicherheit TECHNOLOGIE ein. Er kann mit kontinuierlicher Netzwerküberwachung sowie Vulnerability Management und Analytics die gesamte IT-Umgebung sichtbar machen, um Lücken zu finden. Der Schwachstellen-Scanner informiert darüber, welche Software an welcher Stelle des Unternehmens eingesetzt wird und auf welchem Stand sie sich befindet. Die Ergebnisse vergleicht er mit dem maximal möglichen Sicherheitsniveau. Den Sicherheitsverantwortlichen wird so vor Augen geführt, wo kritische Punkte sind und worauf sie sich konzentrieren müssen. Sie können nun priorisieren, anstatt dauerhaft eine riesige IT-Landschaft zu überwachen. Das erspart ihnen viel Aufwand. Das Praxisbeispiel zeigt, wie sich mit proaktivem Schwachstellen-Management ein effektiver Schutz gegen einen großen Teil der gängigen Angriffsszenarien erreichen lässt. Die Reaktionszeiten sind deutlich kürzer, weil kaum noch Sicherheitsvorfälle auftreten, und bei einem Vorfall kann das Sicherheits-Team schneller reagieren. Sebastian Haas, IT-Consultant bei Axians IT Security: „Einem hoch qualifizierten Hacker wird man mit einem Vulnerability Scanner zwar nicht zuvorkommen können, wohl aber Attacken mit automatisierten Tools, die bekannte Schwachstellen ausnutzen. Sie machen den Großteil der üblichen Cyber-Angriffe aus.“ Entscheidend sei, dass einem Angreifer der Aufwand im Vergleich zu den Erfolgsaussichten viel zu hoch erscheint. „Mit unserer Lösung haben wir die einfachen Wege abgeschnitten.“ Der Schwachstellen-Scanner hat noch mehr zu bieten Der Nahverkehrsanbieter nutzt derzeit nur einen Teil der Möglichkeiten von „Security- Center“. Nach Bedarf ist die Lösung auch für künftige Szenarien erweiterbar und kann sich stetig steigenden Bedürfnissen des Unternehmens anpassen. So lässt sie sich zum Beispiel auch zur passiven Netzwerküberwachung einsetzen. Dies hat den Vorteil, dass die Lösung anders als bei aktiver Überwachung keine Lasten am System erzeugt - sie sendet keine Pakete ins Netzwerk, sondern hört passiv mit. Auftretende Datenströme werden an das Monitoring System gespiegelt und dort analysiert. Auf diese Weise lässt sich erkennen, welche Assets wirklich mit dem Internet kommunizieren und von dort aus erreichbar sind, und ob die kommunizierende Software Schwachstellen aufweist. Außerdem kann der Schwachstellen- Scanner auf Wunsch auch mobile Geräte überwachen, die das Unternehmen verlassen, wenn etwa Mitarbeiter unterwegs sind oder zuhause arbeiten. Die Lösung ist darüber hinaus in der Lage, Compliance-Verstöße zu erfassen, weil der Hersteller Regelwerke wie BSI Grundschutz oder ISO 27000 von Haus aus mitliefert. Eigene Unternehmensrichtlinien lassen sich zusätzlich abbilden und kontinuierlich überwachen. Für einen solchen Ausbau, der noch mehr Sicherheitsfunktionen bietet und die gesamte IT- Struktur des Verkehrsanbieters abdeckt, stehen weiterhin die Sicherheitsberater von Axians zur Verfügung. So kann der Nahverkehrsanbieter die eingesetzten Lösungen regelmäßig überprüfen und an die neuesten Anforderungen anpassen. ■ Barbara Schrettle Freie Journalistin, München barbara.schrettle@akima.de Digitalisierung versus Lebensqualität Big Data | Green Digital Charter | Kritische Infrastrukturen | Privatheit | Sharing-Systeme 1 · 2016 Was macht Städte smart? URBANE SYSTEME IM WANDEL. DAS TECHNISCH-WISSENSCHAFTLICHE FACHMAGAZIN g Mit veränderten Bedingungen leben Hochwasserschutz und Hitzevorsorge | Gewässer in der Stadt | Gründach als urbane Klimaanlage |Baubotanik 1 · 2017 Stadtklima URBANE SYSTEME IM WANDEL. DAS TECHNISCH-WISSENSCHAFTLICHE FACHMAGAZIN Lebensmittel und Naturelement Daseinsvorsorge | Hochwasserschutz | Smarte Infrastrukturen | Regenwassermanagement 2 · 2016 Wasser in der Stadt URBANE SYSTEME IM WANDEL. DAS TECHNISCH-WISSENSCHAFTLICHE FACHMAGAZIN URBANE SYSTEME IM WANDEL. DAS TECHNISCH-WISSENSCHAFTLICHE FACHMAGAZIN Verbrauchen · Sparen · Erzeugen · Verteilen Energiewende = Wärmewende | Speicher | Geothermie | Tarifmodelle | Flexible Netze | Elektromobilität 2 · 2017 Stadt und Energie URBANE SYSTEME IM WANDEL. DAS TECHNISCH-WISSENSCHAFTLICHE FACHMAGAZIN Erlebnisraum - oder Ort zum Anbau von Obst und Gemüse Urban Farming | Dach- und Fassadenbegrünung | Grüne Gleise | Parkgewässer im Klimawandel 3 · 2016 Urbanes Grün URBANE SYSTEME IM WANDEL. DAS TECHNISCH-WISSENSCHAFTLICHE FACHMAGAZIN Die Lebensadern der Stadt - t für die Zukunft? Rohrnetze: von Bestandserhaltung bis Digitalisierung | Funktionen von Bahnhöfen | Kritische Infrastrukturen 4 · 2016 Städtische Infrastrukturen URBANE SYSTEME IM WANDEL. DAS TECHNISCH-WISSENSCHAFTLICHE FACHMAGAZIN Das Fachmagazin Transforming Cities informiert Fach- und Führungskräfte viermal jährlich branchenübergreifend über Hintergründe, Entwicklungen und Perspektiven der Veränderungen in urbanen Regionen und ihren Einzugsgebieten. Es greift die Herausforderungen auf, denen sich Gestalter, Verwalter und Erhalter im urbanen Kontext zunehmend gegenüber sehen und vertieft diese Themen mit Beiträgen anerkannter Experten aus Wissenschaft und Praxis. Anspruch des Magazins ist die ganzheitliche Analyse und Aufbereitung von Kernfaktoren zur aktiven Gestaltung der Stadt von morgen. Es wendet sich an die Entscheider in Verwaltungen und Stadtwerken, an Planungs- und Konstruktionsbüros, Hochschulen und Institute sowie Unternehmen. Jetzt: Transforming Cities ein Jahr lang zum halben Preis lesen, als Printausgabe oder ePaper, anschließend zum Normalpreis: www.transforming-cities.de/ starterabo/ Den urbanen Wandel gestalten Technisch-wissenschaftliche Beiträge zur Transformation von Städten TRIALOG PUBLISHERS VERLAGSGESELLSCHAF T | SCHLIFFKOPFSTR ASSE 22 | 72270 BAIERSBRONN-BUHLBACH | TELEFON: (0) 7449 91386-36 | FA X: (0) 7449 91386-37 Eigenanzeige.indd 1 14.08.2017 17: 13: 15