Eine internationale Reederei verfügt über eine große Flotte von Schiffen, die oft offline sind oder nur über eine eingeschränkte Satellitenverbindung verfügen. Da die Besatzungen Zugang zu den Computern der Schiffe haben, suchte man nach einer Möglichkeit, Malware und andere Sicherheitsrisiken schnell zu beheben, um den Verlust interner Daten zu verhindern – selbst wenn sich die Schiffe auf See befinden, wo sie keine Internetverbindung haben.
Die Herausforderung:
- Die vorherige Lösung konnte Malware und Ransomware mehrfach nicht erkennen.
- Malwaresignaturen wurden aufgrund einer eingeschränkten Bandbreite und Konnektivität in der vorherigen Lösung fast nie aktualisiert.
- Eine kontinuierliche Überwachung war nicht möglich, da oft keine Internetverbindung verfügbar war.
- Es ist kein Cybersicherheitspersonal an Bord und die Besatzung wurde nicht entsprechend geschult.
- Es wurden oft nichtautorisierte Geräte an Schiffscomputer angeschlossen.
Schiffe stellen eine einzigartige Umgebung dar, da sie monatelang auf See sein können. Die Internetverbindung ist dann nur sporadisch verfügbar und oft ist die Bandbreite begrenzt und teuer. Die Besatzungen haben meistens keine Cybersicherheitskenntnisse und bringen möglicherweise unsichere Geräte an Bord, die Malware und Ransomware enthalten. Aufgrund etablierter interner Prozesse ist es nicht möglich, externe Geräte zu blockieren, ohne Probleme an anderer Stelle zu verursachen. Externe Geräte sind für den normalen Betrieb unerlässlich und können aus einer Vielzahl von Gründen jederzeit ausgetauscht werden. Im Falle einer Malware- oder Ransomware-Infizierung ist eine möglichst kurze Reaktionszeit von entscheidender Bedeutung. Ein Echtzeitzugriff ist jedoch selten möglich, da die Schiffe oft unter ungünstigen Bedingungen oder in abgelegenen Gebieten unterwegs sind.
Erhöhte Sicherheit
In einem Zeitraum von drei Monaten konnte das Unternehmen mithilfe von IBM® Security QRadar EDR 24 Ransomware-Angriffe verhindern.
Effektive Korrekturmaßnahmen
Vermeidung von Datenverlusten durch Nachverfolgung und Behebung unzähliger anderer Angriffe
Die Lösung:
- Installation von IBM® Security QRadar EDR auf allen Schiffsendpunkten.
- Aufgrund einer geringen Datennutzung kann das Bodenpersonal Schiffe in Echtzeit überwachen und auf Vorfälle reagieren, sobald wieder eine Verbindung verfügbar ist.
- Automatische Antworten und Korrekturen helfen dabei, Sicherheitsbedrohungen auch ohne Internetverbindung zu entfernen.
Nach einer Reihe von Ransomware-Angriffen, die zu schwerwiegenden Problemen auf den Schiffen führten, beauftragte die Reederei IBM mit der Sicherung ihrer Infrastruktur. Ein erster Hygiene-Check ergab, dass viele der Schiffe bereits mit Schadprogrammen infiziert waren, darunter RATs, Trojaner und Reverse Shells. Alle erkannten Infizierungen wurden evaluiert und entfernt. Anschließend wurde die IBM Security QRadar EDR-Software rekonfiguriert, um sie an die Spezifikationen des Unternehmens anzupassen. Das Risiko für die Geschäftskontinuität musste reduziert werden. Gleichzeitig sollte sichergestellt werden, dass bei fehlender Internetverbindung kein Datenverlust entsteht. Zudem musste die Datenübertragung minimiert werden, um eine Überlastung der für den täglichen Betrieb wichtigen Satellitenverbindung zu vermeiden.
Hygiene-Check
Nach der Bereitstellung wurde mithilfe von QRadar EDR sofort eine Vielzahl anormaler Verhaltensweisen entdeckt, die schnell von der Software behoben wurden. Die Mehrheit der Malware wurde von den Besatzungen an Bord eingeschleust. In einigen anderen Fällen wurde sie über verbundene Endgeräte aus dem Internet heruntergeladen. Es wurde eine Suche nach Sicherheitsbedrohungen gestartet, bei der zusätzlich einige „schlafende“ Malware-Instanzen aufgedeckt werden konnten. Diese warteten nur darauf, remote von einem Angreifer aktiviert zu werden. Auch diese Sicherheitsprobleme wurden behoben. Anschließend folgte ein Beobachtungszeitraum von sieben Tagen. Nachdem keine weiteren Anomalien mehr erkannt wurden, rekonfigurierte IBM die Plattform. Künftig würde sie innerhalb der Parameter des Unternehmens für eine optimale Datennutzung und ein geringes Risiko von Geschäftsunterbrechungen sorgen.
Routineabläufe
Um das Schiffsmanagement zu zentralisieren, richteten IBM und die Reederei ein Sicherheitsdashboard am Basisstandort des Unternehmens ein. Auf den Schiffen der Reederei, die über konsolidierte Netzwerke verfügen, gibt es jeweils nur einen einzigen Endpunkt mit Internetzugang. IBM richtete einen sicheren Kanal ein, über den alle Endpunkte – einschließlich der Geräte der Besatzung – QRadar EDR-Daten (und nichts anderes) an die Basisstation liefern können. An der Basisstation kümmert sich ein Team von Analysten darum, mögliche Vorfälle aufzudecken und darauf zu reagieren.
Bevor Schiffe offline gehen, aktiviert die Reederei dort die Ransomwareschutzfunktion von QRadar EDR, da Ransomware der einzige schädliche Vektor für die Schiffsdaten ist. Eine Infektion mit einem RAT oder Trojaner hätte aufgrund der fehlenden Konnektivität keine unmittelbaren Auswirkungen. Alle anderen Aktivitäten werden überwacht und in Form von Verfolgungsdaten lokal archiviert. Sobald dann wieder eine Internetverbindung verfügbar ist, können diese Daten sofort an die Basis übermittelt werden.
Über die folgenden drei Monate nutzte die Reederei QRadar EDR, um 24 Ransomware-Attacken zu verhindern, einige Dutzend verschiedene Sicherheitsbedrohungen (hauptsächlich RATs) zu entlarven und zu beheben und den Verlust von Daten zu verhindern. Ohne diese Lösung wäre der Schiffsbetrieb beeinträchtigt worden und wichtige Daten wären nicht verfügbar gewesen. Dies hätte für die Besatzung ungünstige Bedingungen geschaffen, zu Verspätungen im Schiffsverkehr geführt und kostspielige Notfallabwehreinsätze erfordert.
Rechtshinweise
© Copyright IBM Corporation 2023. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Erstellt in den Vereinigten Staaten von Amerika, Juli 2023.
IBM, das IBM Logo, IBM Security und QRadar sind Marken der IBM Corporation in den USA und/oder anderen Ländern. Weitere Produkt‐ und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM Marken finden Sie unter ibm.com/trademark.
Das vorliegende Dokument ist ab dem Datum der Erstveröffentlichung aktuell und kann jederzeit von IBM geändert werden. Nicht alle Angebote sind in allen Ländern verfügbar, in denen IBM tätig ist.
Alle angeführten oder beschriebenen Beispiele illustrieren lediglich, wie einige Kunden IBM Produkte verwendet haben und welche Ergebnisse sie dabei erzielt haben. Die tatsächlichen Umgebungskosten und Leistungsmerkmale variieren in Abhängigkeit von den Konfigurationen und Bedingungen des jeweiligen Kunden. Es können keine generell zu erwartenden Ergebnisse bereitgestellt werden, da die Ergebnisse jedes Kunden allein von seinen Systemen und bestellten Services abhängt. DIE INFORMATIONEN IN DIESEM DOKUMENT WERDEN OHNE JEGLICHE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE ZUR VERFÜGUNG GESTELLT, EINSCHLIESSLICH DER GARANTIE DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER GARANTIE ODER BEDINGUNG DER NICHTVERLETZUNG VON RECHTEN. Die Garantie für Produkte von IBM richtet sich nach den Geschäftsbedingungen der Vereinbarungen, unter denen sie bereitgestellt werden.
Erklärung zu bewährten Sicherheitsverfahren: Kein IT-System oder -Produkt sollte als vollkommen sicher angesehen werden. Kein Produkt, kein Service und keine Sicherheitsmaßnahme kann eigenständig eine missbräuchliche Nutzung oder einen missbräuchlichen Zugriff vollständig verhindern. IBM übernimmt keine Gewähr dafür, dass Systeme, Produkte oder Services vor böswilligem oder rechtswidrigem Verhalten von Dritten geschützt sind oder Ihr Unternehmen davor schützen.