Suchen

Security

Klein-Firewalls schützen Maschinen und Anlagen

| Autor/ Redakteur: Martin Reimann / Reinhold Schäfer

Softwarekomponenten von Maschinen stellen im Internet Ziele für Angreifer dar. Mithilfe von Klein-Firewalls kann man die Maschinen segmentweise isolieren und so die Sicherheit im Unternehmensnetz erhöhen.

Firmen zum Thema

Weil sie so klein ist, lässt sich die Microwall direkt vor Ort installieren.
Weil sie so klein ist, lässt sich die Microwall direkt vor Ort installieren.
(Bild: Wiesemann & Theis)

Auf einen Blick:

  • Wurde kein Wartungsvertrag für eine Anlage abgeschlossen, der die herstellerseitige Aktualisierung von Software beinhaltet, liegt die Verantwortung beim Betreiber.
  • Um bei einer nicht aktualisierten Software den Einfall von Schadsoftware zu verhindern, gibt es die Möglichkeit, die Bedrohung durch Klein-Firewalls zu verringern.
  • Die Konfiguration erfolgt über eine bedienerfreundliche Weboberfläche und dauert nur wenige Minuten.

Eine der großen Herausforderungen auf dem Weg zur Industrie 4.0 ist es, bei zunehmender Konnektivität im Produktionsdatennetz ein möglichst hohes Maß an Sicherheit zu garantieren. Ein zentrales Problem liegt dabei in der Aktualität der von den Maschinen verwendeten Softwarekomponenten. Besonders im Produktionsumfeld findet sich vielfach veraltete Software, die ein hohes Sicherheitsrisiko darstellt.

Bildergalerie

Softwarekomponenten sind Hebel für Angreifer

Software enthält Fehler. Manche dieser Fehler sind so gravierend, dass sie es ermöglichen, vertrauliche Daten abzugreifen oder Schadcode auszuführen. Je älter eine Software wird, desto mehr ist üblicherweise über diese Fehler bekannt. Seitens der Hersteller werden während der Produktlebenszeit Sicherheitsupdates bereitgestellt, die diese bekannt gewordenen Lücken schließen. Die Produktlebenszeiten von Maschinen und den verwendeten Softwarekomponenten gehen allerdings stark auseinander: Während Maschinen im Normalfall für einen Zeitraum von mehreren Jahrzehnten angeschafft werden, stellen Softwarehersteller meist schon nach wenigen Jahren keine Updates mehr bereit. Zugleich werden mit zunehmendem System­alter mehr und mehr potenzielle Sicherheitslücken bekannt, die von Angreifern ausgenutzt werden können.

Dass ein Softwarehersteller Updates zur Verfügung stellt, bedeutet noch nicht, dass auch der Maschinenhersteller ein Update bereitstellt. Denn wesentliche Änderungen – etwa an der Steuerungssoftware – können bedeuten, dass ein neues Konformitätsbewertungsverfahren durchgeführt werden muss. Und ein vom Betreiber der Maschine in Eigenregie durchgeführtes Update kann im Zweifelsfall dazu führen, dass die Haftung vom Hersteller auf ihn übergeht.

Wurde kein Wartungsvertrag abgeschlossen, der die herstellerseitige Aktualisierung beinhaltet, liegt die Verantwortung beim Betreiber. Er muss wissen, auf welchem Patchstand sich Softwarekomponenten befinden, welche Updates zur Verfügung stehenn und sich über die aktuelle Gefährdungslage informieren. Besonders in kleinen und mittelständischen Unternehmen fehlt es oft noch am Problembewusstsein und leider auch an der notwendigen Ressource.

Ungepatcht ist ungeschützt

Im Jahr 2017 fraß sich der Erpressungswurm Wannacry auf der ganzen Welt durch Datennetze. Er verschlüsselte Festplatten von Universitäten, Unternehmen, Krankenhäusern und Ministerien. Schuld war eine einige Monate zuvor bekannt gewordene Sicherheitslücke in der Datei- und Druckerfreigabe von Windows-Computern. Microsoft hatte zwar kurz zuvor einen Patch für die Betriebssysteme bereitgestellt, deren End of Life noch nicht erreicht war, die Ausbreitung erfolgte allerdings über Systeme, die diesen Patch nicht eingespielt hatten beziehungsweise für die dieser Patch zunächst gar nicht erst verfügbar war. Wannacry war in seiner Schadwirkung so zerstörerisch, dass Microsoft sich gezwungen sah, einen Patch für Altsysteme nachzuliefern.

Im Mai 2019 lieferte Microsoft ein weiteres Mal ein außerordentliches Sicherheitsupdate für nicht mehr unterstützte Systeme aus. Diesmal ging es um eine Sicherheitslücke im Fernwartungssystem. Auch diese war hochkritisch, sodass Microsoft und das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor Wanna­cry-ähnlichen Angriffen warnten.

Angriffe über IP-Datennetze

Im Normalfall sind Unternehmensnetze zum Internet hin gut abgesichert. Gelingt es es einem Angreifer dennoch, einen Rechner im Netzwerk zu übernehmen, etwa durch bösartige E-Mails oder kompromittierte USB-Sticks, kann er andere Systeme im Netzwerk systematisch nach Schwachstellen absuchen. Hierbei handelt es sich üblicherweise um Fehler in Server-Anwendungen, die auf den Endgeräten im Netzwerk verschiedene Dienste bereitstellen.

Im Fall von Wannacry lag die Schwachstelle in der Software, die Dateien von Windows-­Computern über das Netzwerk bereitstellt. Da die meisten Windows-Computer diesen Dateiaustausch aktiviert haben, gelang es Wannacry, sich so schnell auszubreiten.

Viele Endgeräte in Computernetzwerken weisen eine große Anzahl offener Ports auf. Jeder dieser Ports steht stellvertretend für ein Serverprogramm, das Daten über das Netzwerk entgegennimmt und auswertet. Weil davon auszugehen ist, dass jede Software Fehler enthält, stellt jeder offene Port somit eine potenzielle Sicherheitslücke dar.

Das beste Vorgehen wäre, nicht benötigte Server-Anwendungen zu beenden. Dies ist aber nicht immer möglich: Bei vielen eingebetteten Systemen besteht der dazu notwendige Zugriff auf das Betriebssystem nicht. Oft werden Server-Anwendungen dynamisch bei Bedarf gestartet und in wieder anderen Fällen ist gar nicht klar, ob ein Steuercomputer einen Port wirklich benötigt oder der Rechner einfach schlecht konfiguriert wurde.

Alle Geräte, die über das Datennetz miteinander in Verbindung treten können, stellen somit eine potenzielle Gefahr füreinander dar. Schränkt man die Verbindungsmöglichkeiten zwischen den einzelnen Endgeräten ein, kann die Sicherheit im Netzwerk erhöht werden. Eine grundlegende Technik dafür ist die Segmentierung.

Mehr Sicherheit durch Segmentierung des Netzes

Das Internet Protocol (IP) ermöglicht es, Datenpakete über Netzwerkgrenzen hinweg zu versenden. Erkennt ein Endgerät, dass sich sein Kommunikationspartner in einem anderen Datennetz befindet, sendet es die Daten über IP an einen Router, der sich um die Weiterleitung an das Ziel oder an die nächste Zwischenstation kümmert.

Trennt man ein großes Datennetz auf und unterteilt es in verschiedene, über Router miteinander verbundene Teilnetze, spricht man von Segmentierung. Die Kommunikation zwischen den einzelnen Segmenten lässt sich nun beschränken: Anhand des verwendeten Transportprotokolls, der beteiligten Kommunikationspartner, der verwendeten Ports und der Richtung des Verbindungsaufbaus lassen sich nun Filterregeln definieren, mit denen unzulässige von zulässigen Datenpaketen unterschieden werden. Diese Paketfilter verhindern beispielsweise, dass von Rechnern in der Produktion auf Daten in der Buchhaltung zugegriffen werden kann, indem sie bestimmten Datenverkehr zwischen den Segmenten unterdrücken.

Restriktive Filter verhindern unnötigen oder potenziell gefährlichen Datenverkehr. Schadsoftware, die sich in einem Teilnetz ausbreitet, kann sich so nicht ohne Weiteres in andere Teilnetze weiterausbreiten.

Die Segmentierung einzelner Maschineninseln ist eine konsequente Form der Segmentierung: Klein-Firewalls isolieren Maschinen in einem jeweils eigenen Datennetzsegment. Jegliche Kommunikation von und zu dieser Insel wird zunächst pauschal unterbunden. Zum Betrieb notwendige Verbindungen mit der Außenwelt, etwa das Entgegennehmen von Fertigungsaufträgen oder das Zurückmelden von Status- und Fehlermeldungen an ein Monitoringsystem, werden erlaubt. Dazu werden Verbindungsregeln in einer Positivliste erfasst.

Datenverkehr, für den keine Regel existiert, wird unterdrückt und bei Bedarf protokolliert. Innerhalb des einzelnen Segmentes bleiben die offenen Ports erreichbar, die Kommunikation zwischen den beteiligten Maschinenkomponenten wird nicht eingeschränkt. Die Kommunikation hingegen, die die Inselgrenzen überschreitet, muss ausdrücklich zugelassen werden.

Durch Verinselung mit der Microwall können Systeme und Maschinen einfach voneinander isoliert und so geschützt werden. Die Konfiguration erfolgt über eine bedienerfreundliche Weboberfläche und dauert nur wenige Minuten. Nach Abschluss der Einrichtung kann die Oberfläche dauerhaft deaktiviert werden, sodass für die Änderung der Einstellungen physischer Gerätezugriff notwendig wird.

Dieser Beitrag ist ursprünglich auf unserem Partnerportal MM Maschinenmarkt erschienen.

* Martin Reimann ist Mitarbeiter der Wiesemann & Theis GmbH in 42279 Wuppertal

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46179287)