Anfang 2020 verzeichnete ANDRITZ einen Anstieg der Cybersicherheitsvorfälle in seiner IT-Umgebung. Zu diesem Zeitpunkt wurde die Umgebung von einem Managed-Security-Services-Anbieter (MSSP) überwacht. Aber die Zunahme der Verstöße signalisierte, dass es Zeit für eine Veränderung war. In weniger als sechs Monaten nach der Beauftragung von IBM Security® und der Implementierung eines integrierten Pakets von IBM® Managed Security Services (MSS) – die alle virtuell durchgeführt wurden – verfügte das Unternehmen über eine neue, umfassende Lösung für Sicherheitsdienste.
Für ANDRITZ, einen führenden Anbieter von Industrieanlagen, Ausrüstungen und Lösungen, wurde es immer schwieriger, mit Cyberbedrohungen Schritt zu halten. Ein Grund dafür war, dass die IT-Umgebung des Unternehmens eine Vielzahl von Systemen und Sicherheitsrichtlinien umfasste, die die Sicherheitsmaßnahmen erschwerten. Doch ein größeres Problem war die Größe des Sicherheitsumfangs und der Angriffsfläche des Unternehmens: ANDRITZ verfügt über mehr als 280 Produktionsstandorte und Service-/Verkaufsorganisationen weltweit. Ungefähr 50 % der 27.000 Mitarbeiter reisen und nutzen die Netzwerk- und Remote-Verbindungsoptionen des Unternehmens, um automatisch auf IT-Ressourcen zuzugreifen. Zahlreiche externe Auftragnehmer und Ingenieure haben ebenfalls Zugriff auf wichtige IT-Systeme.
Klaus Glatz, Chief Digital Officer bei ANDRITZ, erkannte die Risiken. „Wir haben all diese Fernverbindungen zu unseren Geräten. Es sind nicht nur ANDRITZ-Mitarbeiter, sondern auch viele externe Unternehmen. Deshalb geht es vor allem um Transparenz, Sichtbarkeit und ein ganzheitliches Verständnis der Vorgänge. Man kann den Betrieb eines Kunden nicht gefährden.“
Die Kunden von ANDRITZ betreiben Wasserkraftwerke, Zellstoff- und Papierfabriken, Chemieanlagen und metallverarbeitende Fabriken, deren Betrieb auf die Anlagen, Ausrüstungen und Systeme des Unternehmens angewiesen ist. Eine Sicherheitsverletzung oder eine Schwachstelle in der IT könnte den Weg für etwas weitreichenderes oder katastrophaleres ebnen, insbesondere wenn die Absichten eines Bedrohungsakteurs über den Datendiebstahl hinausgehen.
Besserer Überblick
100 %ige Sichtbarkeit im gesamten Netzwerk erreicht
Riesige Mengen
Die Plattform verarbeitet Millionen von Ereignissen pro Tag
Thomas Strieder, VP Group IT Security and Operation Services bei ANDRITZ, führt aus: „Die IT stellt allen unseren Mitarbeitern weltweit grundlegende Infrastruktur sowie Dienste und Anwendungen zur Verfügung. Gleichzeitig bieten unsere Teams unseren Kunden OT-Dienste (Operational Technology) an. Diese beiden Bereiche sind miteinander verbunden und werden in Zukunft noch stärker miteinander verbunden sein.“
Mit diesen Risiken im Hinterkopf und im Bewusstsein der Konvergenz von IT und OT gründete ANDRITZ 2018 sein eigenes OT-Cybersicherheitsunternehmen, OTORIO. Heute ist OTORIO eine entscheidende Säule in der Cybersicherheitsstrategie des Unternehmens. Doch zu Beginn des Jahres 2020, als die OT-Sicherheitsmaßnahmen umgesetzt waren, richtete das Unternehmen seine Aufmerksamkeit auf die IT.
ANDRITZ hatte von Anfang an ein klares, klar definiertes Ziel, das über die einfache Implementierung einer Sammlung von Cybersicherheits-Tools eines Drittanbieters hinausging. Das Unternehmen benötigte eine Serviceorganisation, die seine Anforderungen verstand und das bestehende Team und Setup ergänzen konnte.
Im Juli 2020 ersetzte ANDRITZ nach Prüfung mehrerer Anbieter seinen ehemaligen MSSP durch MSS. IBM konzipierte und implementierte eine umfassende Lösung in weniger als sechs Monaten, einschließlich der Integration der Software, der Bereitstellung der Sicherheitsdienste und des Abschlusses eines weltweiten Rollouts, um die Vorteile des SaaS-Modells (Software as a Service) zu demonstrieren. Da die COVID-19-Pandemie es den globalen Teams nicht erlaubte, sich persönlich zu treffen, wurde die gesamte Arbeit aus der Ferne und durch virtuelle Treffen erledigt. Dies erforderte noch mehr Professionalität und Vertrauen beider Parteien.
„Unser erster Gedanke war, dass IBM ein zu großes Unternehmen ist, zu bürokratisch und wahrscheinlich nicht zu uns passt“, räumt Strieder ein. „Aber nach der gemeinsamen Arbeit haben wir unsere Meinung revidieren müssen. IBM lieferte uns genau das, wonach wir suchten. Man hat uns eine hohe Flexibilität geboten. Unsere Anforderungen wurden berücksichtigt und es wurden die richtigen Lösungen gefunden.“
Für das Security Information and Event Management (SIEM) entschied sich ANDRITZ für die als SaaS eingesetzte Technologie IBM Security QRadar® on Cloud. Die Plattform hilft dem in Polen ansässigen Security Operations Center (SOC) von ANDRITZ, sich auf die Erkennung und Beseitigung von Bedrohungen zu konzentrieren, während IBM Security-Experten die Infrastruktur rund um die Uhr verwalten. Das SIEM erfasst Daten und protokolliert Ereignisse aus mehreren Quellen im gesamten Netzwerk. Durch die Anwendung fortschrittlicher Analysen und Korrelationen über Datentypen hinweg – Netzwerk-, Endpunkt-, Asset-, Schwachstellen-, Bedrohungsdaten und mehr – erhält das SOC einen ganzheitlichen Überblick über die Sicherheit.
Wenn das System verdächtige Aktivitäten oder Muster erkennt, z. B. mehrere fehlgeschlagene Anmeldeversuche, wird eine automatisierte Warnung ausgelöst. Je nach Schweregrad erstellt das IBM Sicherheitsteam ein Ticket oder arbeitet direkt mit dem SOC zusammen, um Reaktionsempfehlungen zu geben. ANDRITZ kann sich auch an das IBM Incident Response Services-Team wenden, um eine direkte Untersuchung durchzuführen.
„Die Lösung stellt sicher, dass wir richtig geschützt sind“, sagt Glatz. „Wir haben viel mehr Informationen und Transparenz. Normalerweise haben wir täglich Millionen von Ereignissen, daher ist es wichtig, dass unsere Mitarbeiter die 25 oder 30 kritischsten Ereignisse verstehen und auswählen, die ein hohes Risiko für die Umgebung darstellen könnten.“
Der SIEM-Service wird durch zwei zusätzliche Services ergänzt: IBM X-Force® Red Vulnerability Management Services plus Ranking- und Behebungsunterstützung sowie IBM Managed Detection and Response Services, die in die Antivirentechnologie CrowdStrike Falcon Prevent integriert sind, um die Erkennung und Behebung von Bedrohungen zu beschleunigen.
X-Force Red Vulnerability Management Services scannt die Systeme von ANDRITZ und bewertet Sicherheitslücken. Bei jedem Scan wird ein Bericht erstellt, in dem die Sicherheitslücken anhand des Common Vulnerability Scoring Systems (CVSS) nach Schweregrad bewertet werden. Dies hilft ANDRITZ bei der Priorisierung der Reaktion auf Vorfälle.
„Für uns ist die proaktive Komponente hier das Schwachstellenmanagement“, erklärt Strieder. „Mit Schwachstellenmanagement kann man viel falsch machen. Wir brauchten jemanden, der mit uns an diesen Sicherheitslücken arbeitet und uns hilft, zu priorisieren, worum wir uns zuerst kümmern müssen. Es ist eine gemeinsame Aufgabe.“
Managed Detection and Response Services rufen Warnungen aus, die vom SIEM-Dienst erfasst werden. Es nutzt maschinelles Lernen und KI, um Aktivitäten zu bewerten, die auf den Laptops, Mobiltelefonen und anderen Schnittstellen der Mitarbeiter stattfinden. Wenn es anomales Verhalten feststellt, kann es Systeme sperren, sodass ANDRITZ Zeit für Untersuchungen hat.
Um die Fähigkeiten des SIEM- und Sicherheitsprogramms zu erweitern, nutzt ANDRITZ die IBM Security X-Force Threat Management Services, ein umfassendes Angebot, das Bedrohungsinformationen, Schutz, Erkennung, Reaktion und Wiederherstellungsfunktionen integriert.
Mit den Services und Technologien von IBM Security kann ANDRITZ proaktiv den Schweregrad, den Umfang und die Ursache von Bedrohungen erkennen und verstehen, bevor diese das Geschäft des Unternehmens beeinträchtigen können. Ein einziges, zentrales Dashboard bietet beispiellose Transparenz und Einblicke aus dem gesamten Netzwerk.
„Wir konnten die Auswirkungen von Angriffen minimieren, weil wir viele gesperrte Quellen erstellt haben“, sagt Glatz. „Wir analysieren unser Netzwerk kontinuierlich. IBM Security bietet eine solide Basis mit 100 % Sichtbarkeit und Transparenz, was uns hilft, Sicherheitsbedrohungen in sehr kurzer Zeit zu beheben.“
Mit den Managed Detection and Response Services kann ANDRITZ Verhaltensweisen, die die Systeme von Endanwendern infizieren könnten, leichter erkennen. Für Strieder war dies gerade in der Pandemie wichtig. „Der größte Vorteil besteht darin, dass wir besser abgesichert und viel besser vorbereitet sind, falls etwas passiert“, sagt er. „Unsere 27.000 Benutzer konnten von zu Hause aus arbeiten und wir konnten sie schützen – während wir mit IBM an der Implementierung arbeiteten.“
Um ANDRITZ dabei zu helfen, aufkommende Bedrohungen zu verstehen und zu bekämpfen, führt IBM jedes Quartal eine zweistündige Sitzung zur kontinuierlichen Verbesserung und Innovation mit dem Unternehmen durch. Für Glatz ist es wichtig, einen Einblick in die zukünftige Bedrohungslandschaft zu bekommen. „Im Sicherheitsbereich muss man verstehen, was nächsten Monat oder nächstes Jahr passieren könnte“, sagt er. „Mit IBM haben wir eine Partnerschaft mit einem Unternehmen geschlossen, das die Leistungsfähigkeit und das Potenzial hat, vorauszusehen, was in sechs Monaten passieren könnte.“
Für die Zukunft plant ANDRITZ, seine OT-Informationen und die Cyber-Bedrohungsdaten von OTORIO in sein SOC zu integrieren, um einen noch umfassenderen Überblick über die Sicherheitsumgebung zu erhalten. „ANDRITZ wandelt sich zu einem digitalen Dienstleister“, so Strieder abschließend.
„Bei allem, was wir heute anbieten – unsere Papierfabriken, Wasserkraftwerke, Metalle und so weiter – müssen wir der IT- und OT-Cybersicherheit noch mehr Aufmerksamkeit schenken. Es ist ein fortlaufender Prozess, der niemals aufhören wird.“
ANDRITZ (Link befindet sich außerhalb von ibm.com) mit Hauptsitz in Graz, Österreich, ist ein internationaler Anbieter von Anlagen, Ausrüstungen und Dienstleistungen für Wasserkraftwerke, für die Zellstoff- und Papierindustrie sowie die metallverarbeitende Industrie. Das Unternehmen bietet auch Lösungen für die Trennung von Feststoffen und Flüssigkeiten im kommunalen und industriellen Bereich. ANDRITZ wurde 1852 gegründet und beschäftigt heute über 27.000 Mitarbeiter in über 40 Ländern.
OTORIO (Link befindet sich außerhalb von ibm.com) entwickelt und vermarktet die nächste Generation von Lösungen für OT-Sicherheit und digitales Risikomanagement. OTORIO mit Hauptsitz in Tel Aviv, Israel, mit Niederlassungen in Österreich und den USA ist ein integrierter Teil der ganzheitlichen Cybersicherheitsstrategie von ANDRITZ. Der Kern des Managementteams besteht aus ehemaligen Angehörigen der Israelischen Verteidigungsstreitkräfte (IDF), die die Cyberverteidigungseinheit des Unternehmens aufgebaut und gewartet haben.
Rechtshinweise
© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Hergestellt in den Vereinigten Staaten von Amerika, März 2022.
IBM, das IBM Logo, ibm.com, IBM Security, QRadar und X-Force sind Marken der International Business Machines Corp. und in vielen Ländern weltweit eingetragen. Weitere Produkt‐ und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM Marken finden Sie auf der Webseite „Copyright- und Markeninformationen“ unter www.ibm.com/de-de/legal/copyright-trademark.
Das vorliegende Dokument ist ab dem Datum der Erstveröffentlichung aktuell und kann jederzeit von IBM geändert werden. Nicht alle Angebote sind in allen Ländern verfügbar, in denen IBM tätig ist.
Die genannten Leistungsdaten und Kundenbeispiele dienen ausschließlich zur Veranschaulichung. Tatsächliche Leistungsergebnisse hängen von den jeweiligen Konfigurationen und Betriebsbedingungen ab. DIE INFORMATIONEN IN DIESEM DOKUMENT WERDEN OHNE JEGLICHE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE ZUR VERFÜGUNG GESTELLT, EINSCHLIESSLICH DER GARANTIE DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER GARANTIE ODER BEDINGUNG DER NICHTVERLETZUNG VON RECHTEN. Die Garantie für Produkte von IBM richtet sich nach den Geschäftsbedingungen der Vereinbarungen, unter denen sie bereitgestellt werden.
Erklärung zu guten Sicherheitsverfahren: IT-Systemsicherheit umfasst den Schutz von Systemen und Informationen durch Prävention, Erkennung und Reaktion auf unzulässigen Zugriff innerhalb und außerhalb Ihres Unternehmens. Unbefugter Zugriff kann dazu führen, dass Informationen verändert, vernichtet, veruntreut oder unsachgemäß gebraucht werden. Er kann auch zu Schäden an Ihrem System oder zum Missbrauch davon, u. a. im Rahmen von Angriffen gegen Dritte, führen. Kein IT-System oder -Produkt darf als vollkommen sicher betrachtet werden und es gibt kein Produkt, keine Dienstleistung und keine Sicherheitsmaßnahme, das bzw. die alleine vollständig vor einer unsachgemäßen Verwendung oder unbefugtem Zugriff schützen kann. Die Systeme, Produkte und Dienstleistungen von IBM werden als Teil eines rechtmäßigen, umfassenden Sicherheitsansatzes konzipiert. Daran sind notwendigerweise weitere Betriebsverfahren beteiligt und es können weitere Systeme, Produkte oder Dienstleistungen erforderlich sein, um eine möglichst hohe Effektivität zu erzielen. IBM GEWÄHRLEISTET NICHT, DASS SYSTEME, PRODUKTE ODER DIENSTLEISTUNGEN GEGEN SCHÄDLICHES ODER RECHTSWIDRIGES VERHALTEN JEGLICHER PARTEIEN IMMUN SIND ODER IHR UNTERNEHMEN DAGEGEN IMMUN MACHEN.