Eine internationale Reederei verwaltet eine große Flotte von Schiffen, die häufig offline sind oder nur über eine begrenzte Netzkonnektivität verfügen. Das Unternehmen, dessen Besatzung Zugang zu den Computern der Schiffe hat, suchte einen Weg, Malware und andere Sicherheitsrisiken schnell anzugehen, auch wenn die Schiffe auf See ohne Konnektivität sind, um den Verlust von internen Daten zu verhindern.

Die Herausforderung:

  • Die bestehende Lösung scheiterte mehrfach beim Erkennen von Malware und Ransomware.
  • Aufgrund von Bandbreiten- und Konnektivitätsbeschränkungen wurden die Signaturen der bestehenden Lösung fast nie aktualisiert.
  • Keine 24x7-Überwachung möglich, da keine Internetverbindung zur Verfügung steht.
  • Kein Cybersicherheitspersonal an Bord und Besatzung nicht ausgebildet.
  • Unberechtigte Geräte, die oft an die Computer an Bord angeschlossen sind.

Schiffe stellen ein einzigartiges Umfeld dar, da sie monatelang auf See sein können und für längere Zeit von der Hauptbasis entfernt sind. Die Internetverbindung ist nur sporadisch verfügbar, und oft ist die Bandbreite begrenzt und teuer. Die Besatzungen haben oft keine Cybersicherheitsschulung und bringen möglicherweise unsichere Geräte an Bord, die Malware und Ransomware enthalten. Aufgrund etablierter interner Prozesse ist es nicht möglich, externe Geräte zu blockieren, ohne andere Probleme zu verursachen. Diese Geräte sind auch für den normalen Betrieb unverzichtbar und können unter verschiedenen Umständen kurzfristig ersetzt werden. Die Reaktionszeit ist von entscheidender Bedeutung, aber Echtzeitzugriff ist nur selten möglich, da die Schiffe oft unter ungünstigen Bedingungen oder in abgelegenen Gebieten unterwegs sind.

Im Laufe von drei Monaten verhinderte IBM Security ReaQta

24
Ransomware-Angriffe

Verhinderung von Datenverlusten durch Aufspüren und Korrigieren von

Dutzenden
anderer Angriffe

Erkennung und Abhilfe

Die Lösung:

  • IBM® Security ReaQta bot eine Lösung, die auf jedem Endpunkt eines Schiffes installiert werden konnte.
  • Die geringe Datennutzung ermöglichte es dem Landpersonal, die Schiffe in Echtzeit zu überwachen und zu reagieren, sobald eine Verbindung verfügbar war.
  • Automatisierte Reaktionen und Abhilfemaßnahmen wurden aktiviert, um Bedrohungen zu beseitigen, wenn keine Internetverbindung verfügbar war.

Nach einer Reihe von Ransomware-Angriffen, die zu schwerwiegenden Problemen an Bord führten, beauftragte die internationale Reederei IBM mit der Sicherung ihrer Infrastruktur. Eine erste Hygieneprüfung ergab, dass eine große Anzahl von Schiffen bereits mit einer Vielzahl von Schadprogrammen infiziert war, darunter RATs, Trojaner und Reverse Shells. Alle identifizierten Infektionen wurden beurteilt und entfernt, und die ReaQta-Lösung wurde dann so umkonfiguriert, dass sie den Anforderungen des Unternehmens entsprach: Das Risiko einer Unterbrechung der Business-Continuity musste auf ein Minimum reduziert und gleichzeitig sichergestellt werden, dass keine Daten zerstört werden konnten, wenn keine Internetverbindung bestand. Die Datenübertragung musste auf ein Minimum beschränkt werden, um eine Überlastung der für den täglichen Betrieb wichtigen Satellitenverbindung zu vermeiden. Die Abbildung (unten) zeigt die Konfiguration der Bereitstellung.

Containerfrachtschiff mit maximaler Geschwindigkeit mit schönem Wellenmuster

Hygieneprüfung

Nach der ursprünglichen Bereitstellung zeigte ReaQta sofort eine Reihe von anomalen Verhaltensweisen an, die schnell angegangen und behoben wurden. Der Großteil der Malware wurde von der Besatzung an Bord gebracht, während die übrigen Fälle ihren Ursprung in Inhalten hatten, die von mit dem Internet verbundenen Endpunkten heruntergeladen wurden. Es wurde eine Bedrohungssuche eingeleitet, die das Vorhandensein einiger „schlafender“ Malware-Instanzen ans Licht brachte, die darauf warteten, dass sich ein Remote-Operator anmeldete und die Kontrolle übernahm. Auch diese wurden beseitigt und es folgte ein Beobachtungszeitraum von sieben Tagen. Nachdem bestätigt worden war, dass es keine weiteren Anomalien gab, konfigurierte IBM die Plattform so um, dass sie innerhalb der Parameter des Unternehmens für eine optimale Datennutzung und ein geringes Risiko einer Unterbrechung der Business-Continuity arbeitete.

Routineabläufe

Das Management-Dashboard wurde in der wichtigsten Basisinfrastruktur installiert, um das Management der Schiffe zu zentralisieren. Das Netz an Bord war zwar vereinheitlicht, aber nur ein einziger Endpunkt hatte Internetzugang, die anderen, einschließlich der Geräte der Besatzung, hatten keine Internetverbindung. In dieser besonderen Umgebung musste IBM einen sicheren Kanal einrichten, über den jeder Endpunkt ReaQta-Daten (und nichts anderes) an die Hauptbasis übermitteln konnte. Ein Team von Analysten war für die Überwachung und Reaktion auf mögliche Vorfälle verantwortlich.

Wenn ein Schiff offline gehen sollte, wurde der Ransomware-Schutz aktiviert, da dies der einzige schädliche Vektor war, der die Daten gefährden konnte. Eine Infektion durch einen RAT oder einen Trojaner hätte aufgrund der fehlenden Konnektivität keine unmittelbaren Auswirkungen gehabt. Alle anderen Verhaltensweisen wurden überwacht und ihre Verfolgungsdaten lokal archiviert, um sie sofort zu übermitteln, sobald wieder eine Internetverbindung verfügbar war.

Verhinderung von Datenverlust

Im Laufe der nächsten drei Monate verhinderte ReaQta insgesamt 24 Ransomware-Angriffe, verfolgte und beseitigte einige Dutzend verschiedene Bedrohungen – zumeist RATs – und verhinderte den Verlust von Daten. Ohne ReaQta wäre der Schiffsbetrieb gefährdet gewesen, und kritische Daten wären unter ungünstigen Bedingungen für die Besatzung nicht mehr verfügbar gewesen. Die Folgen von Ransomware und ihre Auswirkungen auf ein einzelnes Schiff waren dem Unternehmen wohl bekannt. In diesem Szenario gelang es ReaQta, Verspätungen zu verhindern, Datenverluste abzuwenden und kostspielige Notfalleinsätze zu vermeiden.

Informationen zur internationalen Reederei

Die bedeutende internationale Reederei betreibt über 200 Schiffe, die Waren rund um die Welt transportieren.

Lösungskomponente
IBM® Security ReaQta

© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504

Produziert in den Vereinigten Staaten von Amerika, Oktober 2022.

IBM, das IBM Logo, ibm.com und IBM Security sind Marken der International Business Machines Corporation in den USA und/oder anderen Ländern. Weitere Produkt- und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM Marken finden Sie auf der Webseite „Copyright and trademark information“ unter https://www.ibm.com/legal/copytrade.

Die in diesem Dokument enthaltenen Informationen sind zum Datum der Erstveröffentlichung des Dokuments aktuell und können von IBM jederzeit geändert werden. Nicht alle Angebote sind in jedem Land verfügbar, in dem IBM tätig ist.

Leistungsdaten und Kundenbeispiele dienen nur zur Veranschaulichung. Die tatsächlichen Ergebnisse beim Leistungsverhalten sind abhängig von der jeweiligen Konfiguration und den Betriebsbedingungen. Die Angaben in diesem Dokument stellen keine zugesicherten Eigenschaften dar. IBM ist berechtigt, die Eigenschaften jederzeit zu ändern. Angaben zur Verfügbarkeit, Vertragsbedingungen und Preise erhalten Sie bei den IBM Geschäftsstellen und/oder den IBM Business Partnern. Für IBM Produkte gelten die Gewährleistungen, die in den Vereinbarungen vorgesehen sind, unter denen sie erworben werden.

Erklärung zu guten Sicherheitspraktiken: Die Sicherheit von IT-Systemen umfasst den Schutz von Systemen und Informationen durch Vermeidung, Erkennung und Reaktion auf unbefugten Zugriff von innerhalb und außerhalb Ihres Unternehmens. Unbefugter Zugriff kann dazu führen, dass Informationen geändert, gelöscht, veruntreut oder missbräuchlich verwendet werden. Ebenso können Ihre Systeme beschädigt oder missbräuchlich verwendet werden, einschließlich zum Zweck von Attacken. Kein IT-System oder Produkt kann umfassend als sicher betrachtet werden. Kein einzelnes Produkt, kein einzelner Service und keine einzelne Sicherheitsmaßnahme können eine unbefugte Verwendung oder einen unbefugten Zugriff mit vollständiger Wirksamkeit verhindern. IBM Systeme, Produkte und Services werden als Teil eines umfassenden Sicherheitskonzepts entwickelt, sodass die Einbeziehung zusätzlicher Betriebsprozesse erforderlich ist. Ferner wird vorausgesetzt, dass andere Systeme, Produkte oder Services so effektiv wie möglich sind. IBM übernimmt keine Gewähr dafür, dass Systeme, Produkte oder Services vollkommen vor böswilligem oder rechtswidrigem Verhalten Dritter geschützt sind oder dass Systeme, Produkte oder Services Ihr Unternehmen vollkommen vor böswilligem oder rechtswidrigem Verhalten Dritter schützen.