Neuheiten im Malware-Schutz: Wächter zwischen den Netzen
Ethernet ist die dominierende Netzwerktechnologie im Bürobereich. Seit einiger Zeit dehnt sich der Standard nun auch in die Produktionsnetze aus. Durch das übergreifende Kommunikationsprotokoll entstehen zwar viele Vorteile, es öffnet aber auch Malware Tür und Tor in die Fabrikhallen. Mit dedizierten Gateway-Lösungen an den Schnittstellen können Unternehmen für zusätzliche Sicherheit innerhalb des Netzwerks sorgen. Aktuelle Lösungen etablierter Sicherheitsspezialisten arbeiten schnell und mit intelligenten Erkennungsalgorithmen.
Bis 2009 sagt die US-amerikanische ARC Advisory Group in ihrem Report „Industrial Ethernet Market Outlook Study“ dem Markt für Industrial-Ethernet-Komponenten in Deutschland ein jährliches Wachstum von 59 Prozent auf 6,7 Millionen ausgelieferte Komponenten voraus. Beispielsweise haben deutsche Autohersteller wie BMW, Mercedes-Benz oder Volkswagen Industrial Ethernet in Teilen der Produktion eingeführt. Der Trend zu einer einheitlichen Infrastruktur über alle Industrien hinweg beruht auf dem Wunsch, alle Prozesse zentral aus dem Enterprise-Ressource-Planning-System heraus steuern zu können. Die durchgehend kompatible Vernetzung vom Büro bis zur Maschine ermöglicht jedoch auch unerwünschten Datenpaketen die Reise in die bislang durch proprietäre Protokolle isolierten Produktionsnetze.
Vom Büro zur Maschine
Das primäre Einfallstor für Viren, Würmer und Trojaner sind die Rechner in den Büros. Auf den IT-Systemen in den Produktionshallen ist es Mitarbeitern nicht möglich, aus Neugier doch einmal einen unbekannten E-Mail-Anhang zu öffnen oder per privatem USB-Stick versehentlich einen Virus einzuschleppen. Auch Erpressungsversuche von professionellen Hackern laufen zunächst über die Rechner in den Büros ab, da dort die Menschen sitzen, die darauf reagieren können. Fast jeder Mitarbeiter hat auf seinem PC schon einmal eine Infektion mit Schadprogrammen erlebt. Während Störungen oder kurze Ausfälle im Büro eventuell zu verschmerzen sind, können sie bei teueren Produktionsanlagen schnell zu exorbitanten Ausfallkosten führen. In sensiblen Branchen wie Chemie, Pharma oder Energie können IT-gesteuerte Eingriffe oder Manipulationen an den Maschinen sogar zu einer Gefahr für die Allgemeinheit werden. Einem Übergreifen von Schadprogrammen auf diesen hochsensiblen Netzwerkbereich muss also dringend Einhalt geboten werden.
Filter im Netzwerk
Trotz aller Vorsichtsmaßnahmen kann nie ganz ausgeschlossen werden, dass es doch einmal ein Schadprogramm ins Unternehmensnetz schafft. Deshalb empfiehlt es sich, schon von vornherein dafür zu sorgen, dass sich Eindringlinge wenigstens nicht ausbreiten können. Das übernehmen sogenannte Security-Gateway-Lösungen, die den Datenstrom an sensiblen Stellen auch innerhalb des Netzwerks scannen und filtern können. So ein Gateway kann beispielsweise zwischen Büronetz und Produktionsnetz geschaltet werden. Security-Gateways arbeiten wie die zentralen Firewalls eines Unternehmens und scannen den durch sie geleiteten Datenverkehr. Entscheiden sich Unternehmen für eine zusätzliche Absicherung, bietet es sich an, die Empfehlung des Bundesministeriums für Informationssicherheit (BSI) zu berücksichtigen und hier auf die Lösung eines zweiten Herstellers zu setzen. Denn hat es ein Schadprogramm, beispielsweise in einer E-Mail, durch die zentralen Filter geschafft, wird es sehr wahrscheinlich auch durch eine weitere Security-Gateway-Lösung desselben Herstellers rutschen.
Neu: Intelligente Scanner
Malware-Schutzlösungen unterschiedlicher Hersteller können sich gegenseitig sinnvoll ergänzen. Dies gilt speziell für die neuesten Generationen der Lösungen, da sie unterschiedliche Ansätze verfolgen. Klassische Filter können lediglich Schadprogramme stoppen, deren Signaturen identifiziert wurden und verfügbar sind. Da sich Virenmutationen allerdings inzwischen viel schneller verbreiten, als die Hersteller Signaturupdates zur Verfügung stellen können, sucht die Industrie nach neuen, proaktiven Ansätzen zur Malware-Bekämpfung. Einige Hersteller setzten in diesem Zusammenhang auf sogenannte heuristische Verfahren. Dieser Ansatz basiert darauf, Schadprogramme an auffälligen Code-Abschnitten zu erkennen. Enthält ein per E-Mail empfangenes Programm beispielsweise eine Funktion zur Suche nach einer .wab-Datei, einem Format, in dem auch Outlook-Adressdaten weiterverarbeitet werden, so wird es als verdächtig eingestuft und entsprechend behandelt. Ein weiterer proaktiver Ansatz geht davon aus, dass Schadprogramme an ihrem Verhalten erkannt werden können. Viren, Trojaner & Co. versuchen zum Beispiel, sich selbst weiterzuverbreiten, funktionieren den Rechner in ein Mail-Relay um, laden weitere Programme aus dem Internet nach oder schicken Datenpakete mit gesammelten, vertraulichen Informationen nach draußen. Verhaltensbasierte Schutz-Software beobachtet die „Handlungen“ verdächtiger Software genau, meldet verdächtiges Verhalten an den Nutzer beziehungsweise unterbindet es.
Analyse im Sandkasten
Norman Data Defense Systems treibt diesen Ansatz noch einen Schritt weiter und leitet zu analysierende Programme zur Evaluierung zunächst in eine komplett virtuelle Umgebung, die Norman SandBox. Die SandBox simuliert einen virtuellen Rechner, aber auch komplette Netzwerke samt Peripherie. In der SandBox angekommen, wähnen sich Schadprogramme am Ziel und können ihren Auftrag nach Belieben ausführen. Sind die Programm-Routinen abgearbeitet, nimmt die SandBox eine Bewertung vor und stuft die Programme entweder als vertrauenswürdig oder als gefährlich ein. Im Rahmen der ersten TÜV-Zertifizierung für proaktiven Malware-Schutz konnten der SandBox-Technologie Erkennungsraten unbekannter Malware von bis zu 70 Prozent attestiert werden. Wie alle derzeit erhältlichen, „intelligenten“ Verfahren wird auch die SandBox ausschließlich in Kombination mit einem klassischen, signaturbasierten Virenscanner angeboten. Norman hat die SandBox-Technologie in alle seine Produkte integriert, auch in sein Security-Gateway Norman Network Protection (NNP).
Schlau und schnell
Lösungen, welche die zentralen Firewalls innerhalb des Netzwerks ergänzen und besonders sensible Bereiche wie die Produktions-IT zusätzlich sichern, sind nur dann praktikabel, wenn sie sich mit minimalem Aufwand installieren, konfigurieren und administrieren lassen. Die Norman Network Protection ist für andere Netzwerkkomponenten unsichtbar und beeinträchtigt deren Betrieb nicht. Für die Implementation muss an bestehenden Rechnern oder Software keine Änderungen vorgenommen werden, wie z.B. das Eintragen eines Proxys oder das Angeben eines Gateways. Eine wichtige Voraussetzung für den Einsatz von Gateways ist außerdem, dass sie den Datenstrom nicht verlangsamen. Proxy-basierte Lösungen halten beim Scan einer Datei den gesamten Datenstrom zurück, bis sie alle Daten erhalten und gescannt haben und leiten sie erst dann an das Ziel weiter. Derartige Geschwindigkeitseinbußen senkt die NNP auf nicht wahrnehmbare Größenordnungen: Sie sendet eine zu scannende Datei bis auf einige Datenpakete gleich an den Client weiter. Falls die klassischen oder proaktiven Scanner der NNP schädlichen Code identifizieren, werden die zurückgehaltenen Datenpakete verworfen und damit die gesamte Datei auch beim Client. Gleichzeitig wird der Netzwerkpfad blockiert, damit andere Nutzer oder Systeme nicht auf die Datei zugreifen können. Wird kein schädlicher Code gefunden, werden die zurückgehaltenen Datenpakete an den Client gesendet.
Hürden schaffen
„Sicher ist, dass nichts sicher ist. Selbst das nicht.“ Zu dieser Erkenntnis gelangte Joachim Ringelnatz lange bevor die Informationstechnologie ihren Siegeszug begann, und doch trifft sie auf kaum einen Bereich besser zu. So bleibt Sicherheitsverantwortlichen nur, ihrer unmöglichen Aufgabe so gut gewappnet als möglich zu begegnen und sich auf alle Eventualitäten vorzubereiten. Security-Gateways an sensiblen Netzwerkschnittstellen sind eine Hürde mehr, die Schadprogrammen mit wenig Aufwand in den Weg gestellt werden können.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by Disqus
© 2012 FEiG & PARTNER