Endpoint-Security-Device

Andrea Gillhuber,

Legacy-Systeme in der Industrie 4.0 schützen

Alte Anlagen werden zunehmend Industrie-4.0-fähig gemacht. Sie sind dabei häufig länger in Betrieb, als es für den Antivirus-Agenten Sicherheitsupdates gibt. Endet dieser Support und werden keine Updates mehr bereitgestellt, sind die Geräte unzureichend geschützt. Ein Endpoint-Security-Device, der vor die Anlage geschaltet wird, bietet als „virtuelles Schild“ Schutz. 

Endet der Support von Sicherheitsupdates, sind die Geräte unzureichend geschützt. © Charles PH

Prozesse durch Datenanalyse und intelligente Vernetzung von Maschinen, Menschen und Systemen automatisieren und optimieren – das ist das Ziel von Industrie 4.0. Doch ergeben sich neben den neuen Möglichkeiten auch mindestens eine ebenso große Herausforderung: die IT-Security, insbesondere von Legacy-Systemen. Produktionsanlagen werden aus wirtschaftlichen Gründen meistens bis ans Ende ihrer maximalen Lebensdauer in Betrieb gehalten. Das branchenübergreifende Problem dabei ist allerdings, dass alte Legacy-Systeme zunehmend Industrie-4.0-fähig gemacht beziehungsweise ans Internet angebunden werden.

In der Regel schützen Antivirus-Agenten das Betriebssystem der Anlage. Stellt deren Hersteller die Security-Updates sowie den Support ein, müssen Unternehmen, die vernetzte IoT-Devices einsetzen, über Alternativen nachdenken. Denn je länger eine Anlage in Betrieb ist, desto größer wird das Risiko, dass sie angegriffen wird. Ein Beispiel: Windows XP ist in der Produktionsumgebung sehr weit verbreitet. Allerdings liefert hierfür kaum noch ein Antivirus-Hersteller Patches. Für Windows XP gibt es allerdings eine sehr hohe Anzahl an Malware, die verborgene Schwachstellen ausnutzen. Ein Beispiel ist der Computerwurm Conficker. Unternehmen machen hierbei oft den Fehler, sich in Sicherheit zu wiegen, weil ihre Next-Generation-Firewall noch über aktuelle Updates verfügt. Das Problem dabei sind allerdings die sogenannten Advanced Evasions. Wenn etwa der Conficker getarnt oder etwas manipuliert wird, wird er nicht mehr erkannt.

Anzeige

Hat ein Unternehmen eine Vielzahl von Windows-XP-Anlagen im Einsatz, für die es keine neuen Security-Patches mehr gibt und somit auch die Blacklists nicht mehr aktualisiert werden, ist es für Hacker ein Leichtes, innerhalb von Sekunden auf eine Produktionsanlage zuzugreifen. Ein hohes Risiko liegt in der Fertigung etwa bei Anlagen, welche ununterbrochen produzieren müssen, oder im Entwicklungs- und Forschungsbereich, wenn kritische Daten und geistiges Eigentum im Spiel sind. Ein anderes Beispiel kommt aus dem Medizinsektor, wo computergestützte Operationsgeräte im Einsatz sind, beispielsweise in der Advanced Diagnostic. Wenn diese durch Hacker gestört werden und nicht mehr richtig funktionieren, kann das lebensentscheidend sein. Im September 2019 wurde nach Recherchen des Bayerischen Rundfunks und der US-Investigativplattform ProPublica bekannt, dass millionenfach hochsensible Patientendaten ungeschützt im Netz gelandet sind. Oleg Pianykh, Professor für Radiologie an der Harvard Medical School, äußerte sich dazu im Interview mit BR und ProPublica: „Wir haben ein Riesenproblem mit medizinischen Geräten, die komplett ungesichert und ungeschützt sind. Und irgendjemand, ein x-beliebiger Hacker, kann sich mit diesen Geräten verbinden und die Patientendatensätze kompromittieren.“ Während es also für andere Risiken wie Stromausfälle bereits in den meisten Branchen und Unternehmen umfangreichen Schutz gibt, besteht bei IT-gestützten Maschinen in vielen Firmen bis heute erheblicher Nachholbedarf. Sind vernetzte Maschinen nicht ausreichend geschützt, haben Kriminelle leichtes Spiel, über den Remote Access Port auf die jeweilige Maschine zu gelangen und so in ein Kundennetzwerk einzudringen.

Die Lösung: Endpoint-Security-Device

Die Lösung besteht darin, vor die Anlagen mit einem alten Betriebssystem ein Endpoint-Security-Device zu schalten. Hinter dem verbirgt sich eine leistungsstarke Next Generation Firewall (NGFW), die Traffic-Normalisierung beherrscht. Mit solch einem Device lässt sich die Zugriffskontrolle auf die vernetzten Maschinen regeln und genau scannen, ob unter den zugreifenden Nutzern auch Schädlinge sind. Dabei wird nicht nur bekannter Schadcode, der auf einer Blacklist als solcher definiert ist, erkannt. Vielmehr reagiert das Endpoint-Security-Device durch integrierte Advanced Evasion Techniques wie Traffic-Normalisierung auch bei getarnten Dateien. So lassen sich auch Varianten eines Schädlings als solche erkennen und abblocken. Um die Anlage herum wird ein virtuelles Schild aufgebaut.

Das Endpoint-Security-Device von Forcepoint. © Forcepoint

Das ist auch gerade für KRITIS-Unternehmen (Kritische Infrastrukturen) attraktiv. Gleichzeitig erhöht ein separates Endpoint-Security-Device auch die Compliance. Denn streng genommen ist auch ein Sicherheitsupdate des Antivirus-Agenten ein Update innerhalb einer Anlage. Nimmt man die Security von der Anlage herunter in ein virtuelles Schild, können tägliche Sicherheitsupdates eingebracht werden, ohne ein Update auf der Analge selbst vorzuenhemen. Mit einem Endpoint-Security-Device wird nicht die Anlage gepatcht, sondern das vorgeschaltete Gerät mit dem Sicherheitsupdate bespielt.

Intrusion-Prevention-Systeme als virtuelles Schild

Das Endpoint-Security-Device von Forcepoint kann als Teil eines Intrusion-Prevention-Systems (IPS) eingesetzt werden. Die Schutzwirkung eines IPS legt sich wie eine virtuelle Glocke über eine zu schützende Maschine. Man spricht auch vom „virtual shielding“. Dieser Vorgang ist dann hilfreich, wenn es eine noch nicht gepatchte Maschine zu schützen gilt. Betriebsverantwortliche müssen schließlich sicherstellen, dass ihre Anlagen bis zum Patchzyklus über ausreichenden IT-Schutz verfügen.

Die wenigsten Next-Generation-Firewalls und Intrusion-Prevention-Systeme sind allerdings aufgrund ihrer rein patternbasierten Arbeitsweise in der Lage, Attacken verlässlich abzuwehren. Die Anzahl der Möglichkeiten, einen Schadcode zu verschleiern, ist schlicht zu groß. Das schafft nur ein System, das vor dem Datenbankabgleich eine Traffic-Normalisierung durchführen kann. Dadurch wird der eigentliche Schadcode sichtbar, und der Datenabgleich kann erfolgreich sein. Im Forcepoint IPS findet die gesamte Malware-Kontrolle statt. Und: Im Gegensatz zum reinen Intrusion-Detection-System (IDS) wird Schadecode nicht nur erkannt, sondern gleichzeitig auch abgewehrt. Das kann in Form verschiedener Maßnahmen geschehen, etwa indem der Traffic von einer bestimmten Quelle oder zu einem bestimmten Ziel blockiert wird.

Der Cybersecurity höchste Priorität einräumen

In einer digitalisierten Industrie sollte die Cybersicherheit oberste Priorität haben. Die Realität ist allerdings nach wie vor: Produktion geht in der Regel vor Sicherheit. Doch nur wenn die Cybersicherheit gewährleistet ist, sind Unternehmensdaten gut aufgehoben und Maschinen können ordnungsgemäß arbeiten. Weisen IT-Systeme Schwachstellen auf oder lassen sich vernetzte Maschinen von Cyberkriminellen hacken, kann das verheerende Folgen haben. Unternehmen brauchen deshalb ein Endpoint-Security-Device, um ihrer obersten Priorität, Produktion und Anlagenverfügbarkeit, Sorge tragen zu können.

Frank Limberger, Data and Insider Threat Security Specialist, Forcepoint / ag

Anzeige

Das könnte Sie auch interessieren

Anzeige

IT-Sicherheit

Tägliche Angriffe mit Ransomware

Paddy Francis ist CTO von Airbus CyberSecurity. Mit ihm sprach Andreas Mühlbauer über die Bedrohungen von Industrieunternehmen durch Cyber-Angriffe, die Sicherheit von Cloud-Systemen und die Möglichkeiten und Erfolgschancen von Abwehrstrategien.

mehr...
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

SCOPE-Veranstaltungsreihe

"OT meets IT" – die Serie

Am 16. und 17. Oktober laden wir von SCOPE Sie zu den ersten beiden Veranstaltungen der Serie „OT meets IT“ nach Darmstadt ein. Starten wird die Reihe mit der Veranstaltung „Vernetzung und Kommunikation“ am 16.Oktober und wird fortgesetzt am 17....

mehr...

Newsletter bestellen

Immer auf dem Laufenden mit dem SCOPE Newsletter

Aktuelle Unternehmensnachrichten, Produktnews und Innovationen kostenfrei in Ihrer Mailbox.

AGB und Datenschutz gelesen und bestätigt.
Zur Startseite