Suchen

Malware-Schutz Erfolgreicher Abwehrkampf in Produktionsumgebungen

Autor / Redakteur: Marcus Stahlhacke / Sariana Kunze

Die Office-Welt hat praktikable Strategien und Produkte gegen Malware-Attacken entwickelt, jedoch lassen sie sich nicht ohne weiteres auf Produktionsumgebungen übertragen. Eine mögliche Lösung für das Problem: Den Malware-Scanner auslagern.

Firma zum Thema

Industrielle Netze vor Malware schützen <em id="ForP_F90BD70B-D521-34CE-6C60C0F9D6138517">Bilder: Norman </em>
Industrielle Netze vor Malware schützen <em id="ForP_F90BD70B-D521-34CE-6C60C0F9D6138517">Bilder: Norman </em>
( Archiv: Vogel Business Media )

Stuxnet hat deutlich gemacht, dass sich Malware-Angriffe heute nicht auf die Office-Welt beschränken und dass Produktionsumgebungen nicht in ausreichendem Maß vor Angriffen geschützt sind. Die Office-Welt hat zwar im langjährigen Abwehrkampf praktikable Strategien und Produkte entwickelt, sie lassen sich jedoch nicht ohne weiteres auf Produktionsumgebungen übertragen: So werden bestehende On-Acces-Scanner auf den Produktionssystemen so gut wie nie genutzt, weil der Ressourcenbedarf des Scanprozesses den Verkehr der Produktivdaten beeinträchtigen und der Produktionsprozess zum Erliegen kommen kann. Außerdem können Virenscanner Steuerungsprozesse stören, die als Echtzeitprozesse auch im ungünstigsten Fall definierte Antwortzeiten einhalten müssen, damit es nicht zu Personen- oder Sachschäden kommt.

Bildergalerie

Patchen ist nicht erlaubt

Anders als in der Bürowelt, in der PCs unabhängig voneinander agieren, sind Produktions-PCs zur Steuerung komplexer Maschinen und Anlagen aufeinander abgestimmt und ununterbrochen in Betrieb. Jedes Reboot-Update an Produktions-PCs hat deshalb eine Unterbrechung des Gesamtablaufes zur Folge und verursacht enorme Kosten durch Produktionsausfall. Sind PC-Systeme Bestandteil von Maschinensteuerungen, kann das Aktualisieren und Patchen der Software eine Veränderung des Systems darstellen, die zum Verlust der Herstellergarantie führt. Produktionsnahe PC-Systeme laufen deshalb meist mit älteren, seit Jahren nicht aktualisierten oder gepatchten Betriebssystemen und Anwendungen.

Die Produktionssysteme blieben relativ lange als von der Außenwelt abgeschirmte Bereiche bestehen. Ohne Verbindung zu Office-Rechnern und zum Internet bzw. abgeschottet durch eine Firewall war die Infektionsgefahr tatsächlich gering. Inzwischen jedoch verbindet Industrial Ethernet die Office- und die Produktionswelt und ermöglicht die zentrale Steuerung aller Prozesse direkt aus den PPS- (Produktionsplanungs- und Steuerungs-) und ERP- (Enterprise Ressource Planning) -Systemen heraus. Malware, die über Lücken wie ungepatchte Schwachstellen oder infizierte mobile Geräte wie USB-Sticks, Notebooks oder Mobiltelefone ins Office-Netz eindringt, kann jetzt allerdings auch ungehindert bis ins Produktionsnetz und in SCADA-Umgebungen vordringen.

Malware-Scanner auslagern

Zurück zu den Zeiten, in denen ein Mitarbeiter einmal täglich die Maschinendaten für das Update des PPS-Systems auf einen USB-Stick zog, kann und will sich angesichts transparenter Fertigung kein Unternehmen mehr leisten. Als Alternative werden Schutzlösungen benötigt, die sich zügig und möglichst ohne Beeinträchtigung des Betriebes in bestehenden Umgebungen installieren lassen. Hierfür eignen sich separate Hardware-Komponenten, die am Office-seitigen Zugang des Engineering-Platzes installiert werden und auf die die Scan-Lösung mitsamt den Prozessen ausgelagert wird, die auf den Produktionssystemen nicht erwünscht sind. Voraussetzung für den Einsatz der Virenschutz-Appliance ist eine Gliederung des Netzwerkes in Zonen unterschiedlicher Kritikalität, wie sie Richtlinien wie VDI/VDE 2182 auf nationaler Ebene und als quasi-internationale Norm ISA 99 im Rahmen der Maßnahmen und Vorgehensweisen für die sichere Erstellung und den sicheren Betrieb von Produktionsnetzen beschreiben.

Für den Malware-Scan wird der Datenverkehr über zwei Netzwerk-Schnittstellen durch den Scanner geleitet und in beiden Fließrichtungen auf Malware geprüft. So wird nicht nur das Produktionsnetz vor Malware aus dem Office-Bereich geschützt, es lassen sich auch bisher unerkannte Infektionen des Produktionssystems aufspüren. Eine dritte Schnittstelle, im Unterschied zu den beiden anderen mit IP-Adresse, dient als Administrationszugang bzw. zur Einbindung in SNMP-Konsolen und zum Absetzen von Alarmmeldungen. Vor allem aber ermöglicht sie die automatische Aktualisierung von Signaturen und Scan-Engine über das Internet. Die von Norman angebotene Lösung Norman Network Protection scannt alle für die Malware-Übertragung relevanten Protokolle wie CIFS, SMB/SMB2, HTTP, FTP, SMTP, POP3, RPC, TFTP und IRC, blockt BitTorrent und MSN und hat eine URL-Blockliste, die manuell gepflegt werden kann.

(ID:377278)