Suchen

The Untouchables

Schwachstellenscans für Embedded Systems

| Autor/ Redakteur: / Sebastian Brabetz

Viele Unternehmen verfügen bereits über ein Schwachstellen-Management, oder zumindest über halbwegs regelmäßig durchgeführte aktive Schwachstellenscans. Doch beim Scannen von Industriesteuerungen kommt es nicht selten zu Problemen: Embedded Systeme zählen aus verschiedenen Gründen zu den „Untouchables“ der IT – also zu den Systemen, die man besser nicht antastet.

Firmen zum Thema

Schwachstellenscans decken Lücken in IT-Systemen auf.
Schwachstellenscans decken Lücken in IT-Systemen auf.
( Quelle: Pixabay )

Schwachstellenscanner werden eingesetzt, um über das Netzwerk Systeme von außen auf Schwachstellen oder Konfigurationsprobleme zu überprüfen. Das ist notwendig, trotz der regelmäßigen Updates und Patches, mit denen erfahrene Administratoren die IT-Infrastruktur grundsätzlich gut im Griff haben. Denn moderne IT-Umgebungen werden zunehmend komplexer, nicht nur aufgrund des Einsatzes von Cloud Computing oder Bring-Your-Own-Device-Modellen, auch wegen der Komponenten, die an die IT-Infrastruktur andocken – von Smartphones und Tablets über Drucker und Telefone bis hin zu beliebig komplexen Industriesteuerungen. Das Internet of Things entsteht. Doch wie findet man seine Schwachstellen? 

Problemfall beim Schwachstellenscan: „die Unantastbaren“

Bei Industriesteuerungssystemen oder auch allgemein Embedded Devices beziehungsweise IoT-Devices können Schwachstellenscanner zusätzlichen Netzwerk-Traffic verursachen und dem Gerät die Kapazitäten für seine eigentliche Aufgabe rauben. Manchmal stürzen die Geräte auch gänzlich ab. Erfahrungsgemäß werden häufig Industriesteuerungslösungen eingesetzt, die von den Herstellern nur ungenügend aktualisiert oder supportet werden. Einige Anbieter drohen damit, den Support einzustellen, wenn der Nutzer selbst Updates und Patches einspielt oder Sicherheitsmaßnahmen wie Schwachstellenscans oder Penetrationstests laufen lässt.

Eine weitere Schwierigkeit kommt hinzu, wenn – wie in vielen Firmen üblich - die Hoheit für Produktionsumgebungen und Produktionsnetzwerke nicht bei der zentralen IT, sondern bei den entsprechenden Fachabteilungen liegt. Die Angst davor, kritische Prozesse mit Schwachstellenscans zu beeinträchtigen, führt häufig dazu, dass solche Umgebungen gänzlich von Schwachstellenscans und Schwachstellen-Management-Prozessen ausgeschlossen werden.

Die Gefahren für solche Umgebungen sind trotzdem real: Schadsoftware und Angreifer, die es erst einmal ins interne Firmennetzwerk geschafft haben, sind von internen Entscheidungsbefugnissen wenig beeindruckt. Der Effekt: Ausgerechnet die kritischen Systeme weisen die meisten Lücken auf und werden als erstes angegriffen.

Eine Lösung: passives Scannen nach Lücken

Eine Lösung oder zumindest eine Linderung der Problematik können sogenannte Passive Schwachstellenscanner darstellen. Eines dieser Produkte ist beispielsweise PVS (Passive Vulnerability Scanner) von Tenable. Beliebig viele PVS Appliances können gezielt an extra eingerichteten Mirror-Ports an den Netzwerk-Knotenpunkten – zum Beispiel am Übergang eines Produktions-VLANs zum restlichen Firmennetzwerk – platziert werden. Dort identifizieren sie gänzlich passiv die eingesetzten Softwareversionen und darin enthaltenen Schwachstellen, in dem sie den Datenstrom analysieren.

Zwar lässt sich mit einem passiven Schwachstellenscan nicht die gleiche Abdeckung oder ein ähnlicher Tiefgang an Informationen wie bei einem aktiven Scan erreichen, trotzdem wird bereits eine Vielzahl an Schwachstellen auf diesem Weg aufgedeckt. Nun kommt der richtigen Interpretation der Ergebnisse und der Koordination der notwendigen Maßnahmen eine besondere Bedeutung zu. Selbst für versierte IT-Experten kann externe Beratung eine wertvolle Unterstützung sein.

Passive Schwachstellenscans sind zudem hilfreich dabei, ein grundsätzliches Verständnis bei den Fachabteilungen für diese IT-Security-Maßnahmen zu entwickeln. Bestenfalls gelingt es, ein unternehmensweites Schwachstellen-Management über klassische IT-Systeme und Embedded Systems hinweg zu etablieren.

Paessler AG; Pexels/Pixabay; Pixabay, CC0; Photo by CMDR Shane on Unsplash; Dynatrace; ; Quelle: Pixabay; gemeinfrei; Anna-Lena Hillenbrand; SAP; Siemens Healthineers; Palo Alto Networks