Basis für die erfolgreiche Umsetzung von Industrie-4.0-Projekten ist die Verzahnung von Informationstechnologie (IT) und Operativer Technologie (OT). Für den in der Vergangenheit von der IT getrennten OT-Bereich ergeben sich durch diese ‚Öffnung‘ zwangsläufig größere Sicherheitsrisiken, da Cyber-Angreifer über IT-Schwachstellen auch einen OT-Zugriff erhalten – mit potenziell fatalen Folgen für Fertigungsanlagen oder Produktionsprozesse.

Eine Sicherheitslösung muss somit alle Schwachstellen in der IT unschädlich machen. Die aktuelle Bedrohungslage verdeutlicht, dass klassische Sicherheitsmaßnahmen dafür nicht mehr ausreichend sind, auch wenn sie neue methodische beziehungsweise ganzheitliche Ansätze enthalten. Während die IT-Sicherheit in der Vergangenheit primär die Netzwerk-Infrastruktur fokussierte, rückt jetzt auch das Endgerät verstärkt ins Blickfeld – und zwar als zentrale Schwachstelle im Netz. Gängige Sicherheitslösungen wie Intrusion-Prevention-Systeme, Antiviren-Software oder Next-Generation-Firewalls fokussieren dabei auf die Detektion von Angriffen, beispielsweise unter Nutzung von Signaturen, Verhaltensanalysen oder heuristischen Methoden. Der Versuch des Aufspürens von Attacken und ihrer Blockierung innerhalb des Betriebssysstems, um einen Zugriff auf Systemressourcen zu unterbinden, ist inzwischen State-of-the-Art bei Softwarelösungen zur Absicherung von Endgeräten.

All diese Anwendungen haben aber einen gravierenden Nachteil: Sie können keinen zuverlässigen Schutz vor der wachsenden Anzahl an polymorphen Cyber-Bedrohungen, Zero-Day-Attacken und Advanced Persistent Threats bieten. Der Grund ist klar, denn diese Lösungen sind auf die Erkennung von Schadsoftware angewiesen und bei bisher unbekannter, neuer Malware stoßen sie an ihre Grenzen.

Das betrifft auch die Next-Generation-Antiviren (AV)-Lösungen. Sie versprechen, unter Nutzung von maschinellem Lernen und Künstlicher Intelligenz Angriffe aufzuspüren. Durch Code-Analysen vor der Ausführung von Aktionen auf den jeweiligen Endgeräten wollen sie potenzielle Malware erkennen, das heißt aber auch, bei Next-Generation-AV-Anwendungen geht es nach wie vor um Detektion. Sie sind zwar eine Weiterentwicklung, aber schlussendlich doch nur Antiviren-Lösungen und damit unzureichend; schließlich haben Antiviren-Software-Hersteller noch nie behauptet, dass ihre Lösungen eine 100-prozentige Erkennungsrate bieten.

Virtualisierung als Ausweg

Traditionelle auf Erkennung ausgerichtete Lösungen schließen somit Sicherheitsgefahren nicht zuverlässig aus. An neuen Sicherheitskonzepten führt kein Weg vorbei. In der Virtualisierung sehen inzwischen viele Software-Anbieter einen Ausweg aus dem Sicherheitsdilemma. Mit der Isolation aller Aktivitäten, die das Unternehmensnetz potenziell gefährden, können die Sicherheitslücken, die prinzipbedingt bei traditionellen Lösungen vorhanden sind, geschlossen werden.

Diesen Weg schlägt zum Beispiel Microsoft ein. Die Redmonder bieten bei der Enterprise-Edition ihres aktuellen Betriebssystems Windows 10 den Device Guard an, der Hardware- und Software-Sicherheitsfeatures kombiniert. Zentrale Komponente ist dabei die Virtualization-Based Security (VBS). Damit werden zentrale Betriebssystem-Services isoliert, so dass im Falle einer Kompromittierung des Betriebssystems kein Diebstahl von unternehmenskritischen Daten erfolgen kann.

Ein weiteres Beispiel für den zunehmenden Virtualisierungstrend sind gekapselte Surf-Umgebungen, das heißt Secure-Browsing-Lösungen, die auf einem dedizierten Webbrowser basieren. Solche Lösungen, die den Browser vom Betriebssystem vollständig abkapseln, decken allerdings nur dieses Einfallstor ab. Andere Client-typische Sicherheitsgefahren, die durch E-Mails, Downloads oder USB-Speicher-medien bestehen, berücksichtigen sie nicht.

Isolation mittels Micro-­Virtualisierung

Auch das Unternehmen Bromium verfolgt mit seinen Hardware-isolierten Micro-VMs einen Virtualisierungsansatz, geht dabei aber einen entscheidenden Schritt weiter. Zentrale Lösungskomponenten sind ein Xen-basierter, speziell im Hinblick auf Sicherheit entwickelter Hypervisor und die ­integrierten Virtualisierungsfeatures aller aktuellen CPU-Generationen. Micro-Virtualisierung bedeutet, potenziell gefährliche Anwendungen zu isolieren. Die ­Bromium-Lösung erzeugt Micro-VMs für alle riskanten Anwenderaktivitäten mit Daten aus fremden Quellen. Jeder einzelne Task läuft dabei in einer eigenen Micro-VM – und zwar strikt getrennt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk.

Die Bromium-Lösung kapselt alle ­Anwender­aktivitäten in eigenen Micro-VMs.

© Bromium

Bromium erweitert damit das auf Betriebssystem-Services bezogene VBS von Microsoft Windows 10. Die Bromium-Lösung ist zum einen schon unter Windows 7 und 8.1 einsetzbar und isoliert zum anderen gängige Browser sowie Office- und PDF-Dokumente aus E-Mail-Anhängen oder portablen Speichermedien. Eine Kompromittierung des Endgeräts und des Unternehmensnetzes über diese Angriffspfade ist damit ausgeschlossen. Durch diesen erweiterten Funktionsumfang unterscheidet sich die Bromium-Lösung auch von Secure-Browsing-Varianten. 

Generell stehen bei innovativen An­sätzen in der Endgeräte-Sicherheit nicht die Detektion von Schadcode oder das Aufspüren von Angriffen im Vordergrund, sondern der gezielte Schutz vor Malware, ohne dass sie zwingend als solche erkannt werden muss. 

Das bedeutet: Isolation statt Detektion von Gefahren auf Basis von Virtualisierung lautet der neue Trend in der IT-Sicherheit. Und die damit verbundene Absicherung der IT-Welt gewährleistet in unmittelbarer Konsequenz auch den störungsfreien Betrieb vernetzter Produktionssysteme und Industrieanlagen.

Autor: 
Jochen Koehler ist Regional Director DACH bei Bromium in Heilbronn.