zuruck zur Themenseite

Artikel und Hintergründe zum Thema

Industrial Security

Julian Totzek-Hallhuber | Günter Herkommer,

Sicherheit bereits auf der Anwendungsebene

Der Pförtner in einem Werk kann nicht für die ­Sicherheit auf dem kompletten Gelände garantieren. Gleiches gilt im übertragenen Sinn für Firewalls. Die sogenannte RASP-Technologie sorgt in diesem Fall für ein Mehr an Security bereits auf der Anwendungsebene.

© iStock_Maksim Kabakou

Der Pförtner sitzt am Konzerntor und überwacht die Personen, die das Firmengelände betreten und wieder verlassen. Woher soll er aber wissen, dass gerade ein Einbrecher im Büro des Vorstandschefs steht und den Tresor aufschweißt? Ähnlich verhält es sich mit klassischen Firewalls: Sie kontrollieren zwar den ein- und ausgehenden Datenverkehr, können aber keinen Einblick in das Innere von Systemen nehmen – ein Informationsdefizit, das die Abwehr von Angriffen erschwert.

Wenn die Firewall ein Pförtner ist, dann ist Runtime Application Self-Protection (RASP) so etwas wie der Werkschutz. Letzterer patroulliert auf dem Gelände und kennt jede Ecke der wichtigen Gebäude. Ähnlich funktioniert RASP: Systeme werden hier nicht nur am Perimeter verteidigt, sondern auf  der Anwendungsebene geschützt. Angriffe lassen sich so leichter erkennen und melden.

RASP als digitaler Werkschutz bietet die nächste Generation zum Schutz von Web-Applikationen. Deutlich genauer als bei bisherigen Web-Application-Security-Mechanismen kann damit zusätzlich die Beweiskette bei Angriffen gesichert werden.

© iStock_Portra

Gerade im Zeitalter von Industrie 4.0 gewinnt ein solches zusätzliches ‚Schutzschild‘ für industrielle Anwendungen enorm an Bedeutung. Denn: Unternehmen knüpfen immer engmaschigere digitale Netze, und hochkomplexe Software steuert und koordiniert Maschinen und Produktionsanlagen, wobei die Administration nicht selten über Web-Anwendungen und Back­end-Systeme erfolgt. Die Herausforderungen dabei: Erstens ist die Fehler­toleranz in den komplexer werdenden Umgebungen alles andere als hoch. Wenn ein Rädchen versagt, hakt oft gleich das ganze System. Zweitens droht Gefahr aus einem Bereich, an den im analogen Zeitalter noch gar nicht gedacht wurde: Cyberkriminelle bedrohen zunehmend auch die Infrastruktur von Industrieunternehmen. Sie stehlen Daten, spähen Betriebsgeheimnisse aus und kapern Maschinen, um Unternehmen zu erpressen. Befindet sich ein System unter ihrer Kontrolle, können sie Millionenschäden anrichten. Besonders gefährdet sind Web-Anwendungen sowie übergeordnete Systeme, die zur Administration oder Automatisierung von Betriebsabläufen verwendet werden.

Erschwerend hinzu kommt, dass industrielle Systeme in aller Regel nicht von IT-Experten entworfen werden, sondern ihrem Zweck entsprechend von Anlagen- und Maschinenbauern. Aspekte der Cybersicherheit finden bei der Entwicklung deshalb nur selten ­Berücksichtigung. Um teure Unter­brechungen der Betriebsabläufe zu vermeiden, sind Sicherheits-Updates außerdem nur im Rahmen geplanter Ausfallzeiten möglich. Der Selbstschutz der Anwendungen reicht folglich in den seltensten Fällen aus, um ein ausreichendes Maß an Sicherheit zu gewährleisten. Ergo müssen Unternehmen Mechanismen wie RASP etablieren, die diese Aufgabe über­nehmen.

Anzeige

Wie funktioniert RASP?

Das Ablaufdiagramm zeigt, wie das direkte Einbinden von RASP in die Applikation den Verlauf von Request und Response nutzt, um die Daten zu validieren und die Applikation vor böswilligen Angriffen zu schützen.

© Veracode

Um die Funktionsweise von RASP zu verstehen, sei noch einmal der Vergleich mit dem Pförtner herangezogen: Konventionelle Firewalls handeln wie ein Pförtner – sie kontrollieren den ein- und ausgehenden Datenverkehr. Zugeschaltete Intrusion-Detection- (IDS) und Intrusion-Prevention-Systeme (IPS) können Angriffe auf das System zwar erkennen und verhindern, allerdings ausschließlich auf Basis der aus dem Datenverkehr herausgefilterten Informationen. Um ein zweifelsfreies Urteil zu fällen, reicht das oft nicht aus. Denn der Teufel steckt im Detail: Bereits ein einzelnes eingeschmuggeltes Funk­tionszeichen kann genügen, um eine SQL-Query aus dem Ruder laufen zu lassen. Der Einbruch in ein System stellt dann ein Kinderspiel dar.

RASP liefert einen besseren Schutz, indem es die gesamte Funktionalität von Anwendungen überwacht. Mit anderen Worten: Es errichtet einen Schutzwall und wirft einen Blick in das Innenleben der Anwendungen selbst. Die SQL-Injection als klassisches Angriffsszenario liefert ein anschauliches Beispiel: IDS/IPS-Systeme und Web Application Firewalls überprüfen allenfalls die Benutzereingaben auf verdächtige Zeichenketten und versuchen so, Angriffsmuster zu identifizieren. RASP hingegen wertet nicht nur die Benutzereingaben aus, sondern es kennt auch die Vorgänge auf Anwendungsebene: Wie sieht die Query aus, die aus den Eingaben resultiert? Welches Ergebnis liefert die Datenbank? Welche Manipulationen werden vorgenommen und welche möglicherweise kritischen Daten an den Benutzer ausgegeben? Die Antworten auf diese Fragen fließen mit ein, wenn RASP zwischen SQL-Injections und legitimen Datenbankzugriffen zu unterscheiden versucht.

Die Integration von RASP in bestehende Systeme und Software ist denkbar einfach. Entwickler können den Programmcode ihrer Anwendungen unangetastet lassen – eine Einzeilen-Änderung in den Servereinstellungen reicht aus. Bei Java-Anwendungen etwa ist in der Tomcat-Konfiguration eine JAR-Datei anzugeben, die dann gemeinsam mit der Applikation ausgeführt wird. Jeder Agent, der auf einem Server läuft, wird zentralisiert über die Konsole konfiguriert. Dieser Schritt kann während der Entwicklung einer Anwendung erfolgen, aber auch, wenn sie bereits im Einsatz ist. Im Ernstfall übernimmt RASP die Kontrolle und ergreift Maßnahmen, die ein Benutzer zuvor für das jeweilige Angriffsszenario festgelegt hat.

Zum einen kann RASP die Anfrage blockieren, indem es entweder die User-Session oder die Anwendung selbst beendet. Zum anderen ist es möglich, Nutzereingaben zu filtern, Querys leerlaufen zu lassen oder die Ausführung von problematischem JavaScript (XSS) zu verhindern. Da RASP direkten Einblick in den Programmablauf nehmen kann, ist es weniger stark auf patternbasierte Überprüfungen angewiesen. Es besteht somit keine Notwendigkeit, Patternlisten regelmäßig zu aktualisieren. Auf ständige Updates, wie man sie etwa von Antiviren-Software kennt, kann RASP verzichten.

Mächtig aber nicht allmächtig!

RASP ist also ein mächtiges Werkzeug, das jedoch nicht als allmächtig missverstanden werden sollte. Derzeit befindet sich die Technologie im Early-Adopter-Stadium und steht lediglich für Java Virtual Machine zur Verfügung. Zusätzliche Implementierungen sind erst für die nächsten Jahre zu erwarten. In der Vergangenheit wurde gegen RASP außerdem der Einwand vorgebracht, dass es Entwickler gewissermaßen aus der Verantwortung nehme. Das zugrundeliegende Dilemma ist seit der Frühzeit der IT-Sicherheit bekannt: Damals wurde der Kollektivbeschluss gefällt, hohe Mauern um Systeme zu ziehen und den Perimeter zu verteidigen. Eine pragmatische Entscheidung, die uns jedoch dazu verdammt hat, mit unsicheren Anwendungen zu hantieren. Denn wozu meinen Code absichern, wenn die Firewall mich schützt? In Wirklichkeit ist diese Pflichtvergessenheit aber nicht der Technik anzukreiden, sondern dem Personal. Kurzum: RASP liefert keine Ausreden für Entwickler, sondern zusätzlichen Schutz auf Anwendungsebene – also genau dort, wo er benötigt wird. Auch die Produkte von Drittanbietern und Legacy-Software lassen sich auf diese Weise zuverlässiger absichern.

Je wichtiger Cloud-Computing und mobile Konnektivität werden, desto stärker verschwimmen die Grenzen zwischen Systemen. Gerade beim Deployment von Software auf Mobilgeräte darf nicht automatisch darauf vertraut werden, dass das Betriebssystem die Schutzfunktion erfüllt. Unternehmen, die sich Konzepten wie Bring-Your-Own-Device (BYOD) oder Corporate Owned ­Personally Enabled (COPE) öffnen, gewinnen zwar an Flexibilität, entwickeln jedoch außerdem ein neues Sicherheitsbedürfnis. Eine wesent­liche Stärke von RASP ist, dass es auch dann für Schutz sorgt, wenn ein Gerät diesen nicht selbst bietet oder bieten kann.

Zwar haben Anbieter von Sicherheitslösungen das Potenzial von RASP mittlerweile erkannt, allerdings setzen bislang nur wenige Unternehmen auf die neue Technologie. So schätzen etwa die Branchenanalysten von Gartner, dass Stand heute lediglich 1 % aller Web-Anwendungen durch RASP geschützt werden. Es bleibt deshalb abzuwarten, ob diese Technologie in einigen Jahren ein ebenso selbstverständlicher Teil von Sicherheitskonzepten sein wird wie heute die klassische Firewall.

Autor:
Julian Totzek-Hallhuber ist Solution Architect bei Veracode.

  • Xing Icon
  • LinkedIn Icon
Anzeige
zurück zur Themenseite
Anzeige

Das könnte Sie auch interessieren

Anzeige

Pegasystems

Technische Schulden bremsen KI-Fortschritt

Technische Schulden gefährden die Einführung von KI, veraltete Legacy-Technologien sind für Unternehmen eine teure Hürde, so das Ergebnis der jüngsten Studie von Pegasystems. Sie kosten Zeit, Geld, Innovationsfähigkeit und womöglich auch Kunden.

mehr...

Orange Cyberdefense

Mit Hackern auf Tuchfühlung

In einem interaktiven Cyber Experience Center können Entscheider ab dem 18. März auf Unternehmensseite hautnah den Ernstfall einer Cyberattacke erleben und ihre Handlungsfähigkeit in einer solchen Stresssituation auf die Probe stellen.

mehr...
Anzeige
Anzeige

TTTech Industrial

Die Basis für sichere IIoT-Projekte

Um der Professionalisierung von Cyberattacken entgegenzuwirken, benötigt es einen umfassende Cybersecurity-Strategie. Normungsgremien und die EU haben dazu Richtlinien erlassen. Wie IEC 62443 und NIS-2-Compliance zusammenhängen und die Basis für...

mehr...
Anzeige

HMS Networks

Cybersecurity für industrielle Netzwerke

Mit ‚Anybus Defender‘ stellt HMS Networks eine neue Produktreihe für höchste Cybersicherheitsanforderungen im industriellen Umfeld vor. Die neue Produktreihe bietet Schutz für Netzwerke u.a. in der Fertigungsindustrie und für den Bereich der...

mehr...
Anzeige
Anzeige
Anzeige

Karlsruher Institut für Technologie

Das Projekt EDAI

Im Projekt EDAI koppeln die Forschenden des Karlsruher Instituts für Technologie (KIT) den Entwurf von KI-Algorithmen und KI-Chips. EDAI baut auf Open-Source-Software auf, um insbesondere kleineren und mittleren Unternehmen den Zugang zu...

mehr...
Jetzt Newsletter abonnieren