Ob im Büro oder in der Produktion: PCs mit Windows-Betriebssystemen sind durch immer vielfältigere Schadsoftware bedroht und daher schutzbedürftig. Während klassische Viren, die zu ihrer Verbreitung eine passende Wirtsapplikation benötigen, allgemein abnehmen und im industriellen Umfeld eher geringe Bedeutung haben, nimmt die Gefährdung durch Würmer und Trojaner, die aus eigener Kraft weitere Systeme befallen können, beständig zu.

Ein Beispiel ist der sich seit Oktober 2008 aggressiv verbreitende Win32/ Conficker-Wurm, welcher seit Frühjahr 2009 auch industrielle Anlagen befallen und zum Stillstand gezwungen hat. Er blockiert Dienste wie Windows-Update, Windows-Sicherheitscenter, Windows-Defender und das Systemprotokoll von Windows, um seine eigene Entfernung möglichst zu verhindern. Durch Nachladen von Code aus dem Netz kann er sich zudem selbst verändern.

Insbesondere die häufig zum Datenaustausch mit der Umgebung genutzten Dateifreigaben auf Basis der Protokollfamilie CIFS/SMB (Common Internet File System/Server Message Blocks) sind ein gefürchtetes Einfallstor für Schadsoftware, welches auch der Conficker- Wurm für seine Verbreitung nutzt. Zum Instrumentarium der Office-IT gegen diese Bedrohungen gehören PC-seitig vorrangig das regelmäßige Einspielen von Sicherheits-Updates für das Betriebssystem, der Einsatz von „Personal"-Software- Firewalls und die lokale Installation von Antiviren-Software. Dieses Maßnahmenpaket erweist sich im industriellen Umfeld jedoch als problematisch!

Zum einen können selbst die inzwischen zehnjährige Support-Dauer und damit verbundene Security-Updates für Microsoft-Business-Produkte die Lebensdauer von Maschinen und Anlagen, die oft 20 und mehr Jahre in Betrieb sind, nicht vollständig abdecken. Und die Statistik belegt, dass selbst nach zehn Jahren immer noch neue kritische Sicherheitslücken in den alten Systemen entdeckt und von neu in Umlauf gebrachter Schadsoftware (so genannten Exploits) ausgenutzt werden.

Zum anderen sind viele Embedded- PC-Systeme nicht erst nach Ende ihres Support-Lifecycle, sondern schon von vornherein als nicht patchbar einzustufen: Zu groß ist die berechtigte Sorge, dass ein unbedachtes, pauschales Einspielen von Sicherheits-Updates ohne ausgiebige und damit (zu) teure vorherige Tests die Funktion und Stabilität der Systeme in Mitleidenschaft ziehen könnte. So ist in der Produktion denn auch eher „Never change a running system" die Regel, als ein stringentes Updateund Patch-Management.

Konfiguration des mGuard-CIFS-Integrity-Monitoring- Verfahrens zur Überwachung eines als Netzlaufwerk bereitgestellten Windows-System-Verzeichnisses.

Entstanden ist dabei ein Konzept namens „mGuard CIFS Integrity Monitoring", welches aus zwei Komponenten besteht: dem CIFS-Antivirus-Scan-Connector, mit dem Netzwerk-Ordner von einem externen Virenscanner analysiert werden können, und dem CIFS-Integrity-Checking-Verfahren, welches Dateisysteme auf unerwartete Modifikationen oder das Hinzufügen von Programmen, DLLs oder anderem ausführbaren Code überwacht.

Letzteres basiert rein auf der eigenständigen Berechnung und Überwachung von Hashcode-Signaturen für alle relevanten Dateien und kommt daher ohne externe Signatur-Datenbanken und deren ständige Aktualisierung aus.

Die Berechnungen selbst erfolgen ressourcenschonend auf einer vorgeschalteten Network- Security-Appliance. Die überwachten Windows-Clients müssen lediglich die zu prüfenden Dateien bereitstellen und die dazu berechneten Signaturen speichern, was sie nur moderat belastet. Entdeckte Integritätsverletzungen lösen per E-Mail oder SNMP einen Alarm an den Administrator oder ein Netzwerkmanagementsystem aus.

Die zu überwachenden Pfade und Dateitypen lassen sich exakt konfigurieren: Im hier gezeigten Beispiel werden ausführbare Dateitypen rekursiv über alle Unterverzeichnisse einbezogen.

Über den Antivirus-Scan-Connector kann dann eine gezielte Überprüfung der beanstandeten Datei(en) mithilfe eines externen Antivirus-Scanners erfolgen, um die gemeldete Infektion genauer zu identifizieren beziehungsweise zu bereinigen oder als Fehlalarm zu erkennen. Netzwerk-Ordner, die dem laufenden Datenaustausch dienen und sich daher ständig verändern, sind über den Connector auch nach einem festen Zeitplan regelmäßig durch einen externen Scanner überprüfbar.

Dabei werden dem Scanner nur Leserechte unter einer zusätzlichen Sammelkennung für alle angeschlossenen Netzlaufwerke eingeräumt. Die einzelnen tatsächlichen Kennungen mit Lese- und gegebenenfalls Schreibrechten für die jeweiligen Verzeichnisse werden nur dem Connector bekannt gegeben.

Industrielle Security-Appliances mit der CIFS-Integrity-Monitoring-Technologie lassen sich je nach Bauform mit Kosten von etwa 400 bis 900 Euro pro Gerät punktgenau dezentral dort einsetzen, wo sie aus den vorab diskutierten Gründen nötig sind - und das nicht nur als Router. Im so genannten Stealth-Mode sind die Geräte auch völlig transparent in ein bestehendes Netzwerk nachrüstbar.

Netzwerk-Sicherheit für industriell eingesetzte Windows-Systeme lässt sich heute mit Security-Appliances transparent und kostengünstig in verschiedenen Bauformen nachrüsten.

Mit ihrer integrierten Stateful-Packet-Inspection-Firewall überwachen und filtern sie anhand eines konfigurierbaren Regelwerks außerdem den Netzwerkverkehr von und zu den geschützten Systemen, und dies per bidirektionalem „Wire Speed" - ohne zum Flaschenhals für ein 100-MBit/s-Ethernet- Netzwerk zu werden.

Darüber hinaus ist ein Modell mit Gigabit-Ethernet-Schnittstellen und SFP-Glasfaser-Anschlüssen verfügbar. Die Geräte lassen sich durch eine flexible, skriptbare Flash- und Roll-out- Prozedur in nur wenigen Minuten mit definiertem Firmware-Stand und individueller Konfiguration „ausrollen" und sowohl einzeln über ein integriertes Web-Interface als auch gemeinsam zentral über den Innominate- Device-Manager verwalten. Zugegeben: Das dargestellte CIFS-Integrity- Monitoring-Verfahren kann nicht den Echtzeit-Schutz eines lokal installierten Scanners bieten und Infektionen mit Schadsoftware aktiv verhindern; unter den gegebenen Umständen leistet es aber das Bestmögliche.

Das bedeutet, es lässt Infektionen nicht lange unentdeckt und riskiert nicht, kritische Kommunikation aufgrund von „False-Positive"-Fehlalarmen zu unterbrechen und die Produktion damit unnötig stillzulegen. Ferner findet es sogar Schäden von „Zero-Day-Exploits", also von Schadsoftware, die bereits am Tage des Bekanntwerdens einer neuen Schwachstelle in Umlauf kommt und für die es zu diesem Zeitpunkt noch gar keine Malware-Signaturen gibt.

Autor: Torsten Rössel ist Director Business Development bei der Firma Innominate Security Technologies in Berlin.