Stuxnet hat deutlich gemacht, dass sich Malware-Angriffe heute nicht auf die Office-Welt beschränken und dass Produktionsumgebungen nicht in ausreichendem Maß vor Angriffen geschützt sind. Die Office-Welt hat zwar im langjährigen Abwehrkampf praktikable Strategien und Produkte entwickelt, sie lassen sich jedoch nicht ohne weiteres auf Produktionsumgebungen übertragen: So werden bestehende On-Acces-Scanner auf den Produktionssystemen so gut wie nie genutzt, weil der Ressourcenbedarf des Scanprozesses den Verkehr der Produktivdaten beeinträchtigen und der Produktionsprozess zum Erliegen kommen kann. Außerdem können Virenscanner Steuerungsprozesse stören, die als Echtzeitprozesse auch im ungünstigsten Fall definierte Antwortzeiten einhalten müssen, damit es nicht zu Personen- oder Sachschäden kommt.

Patchen ist nicht erlaubt

Anders als in der Bürowelt, in der PCs unabhängig voneinander agieren, sind Produktions-PCs zur Steuerung komplexer Maschinen und Anlagen aufeinander abgestimmt und ununterbrochen in Betrieb. Jedes Reboot-Update an Produktions-PCs hat deshalb eine Unterbrechung des Gesamtablaufes zur Folge und verursacht enorme Kosten durch Produktionsausfall. Sind PC-Systeme Bestandteil von Maschinensteuerungen, kann das Aktualisieren und Patchen der Software eine Veränderung des Systems darstellen, die zum Verlust der Herstellergarantie führt. Produktionsnahe PC-Systeme laufen deshalb meist mit älteren, seit Jahren nicht aktualisierten oder gepatchten Betriebssystemen und Anwendungen.

Die Produktionssysteme blieben relativ lange als von der Außenwelt abgeschirmte Bereiche bestehen. Ohne Verbindung zu Office-Rechnern und zum Internet bzw. abgeschottet durch eine Firewall war die Infektionsgefahr tatsächlich gering. Inzwischen jedoch verbindet Industrial Ethernet die Office- und die Produktionswelt und ermöglicht die zentrale Steuerung aller Prozesse direkt aus den PPS- (Produktionsplanungs- und Steuerungs-) und ERP- (Enterprise Ressource Planning) -Systemen heraus. Malware, die über Lücken wie ungepatchte Schwachstellen oder infizierte mobile Geräte wie USB-Sticks, Notebooks oder Mobiltelefone ins Office-Netz eindringt, kann jetzt allerdings auch ungehindert bis ins Produktionsnetz und in SCADA-Umgebungen vordringen.

Malware-Scanner auslagern

Zurück zu den Zeiten, in denen ein Mitarbeiter einmal täglich die Maschinendaten für das Update des PPS-Systems auf einen USB-Stick zog, kann und will sich angesichts transparenter Fertigung kein Unternehmen mehr leisten. Als Alternative werden Schutzlösungen benötigt, die sich zügig und möglichst ohne Beeinträchtigung des Betriebes in bestehenden Umgebungen installieren lassen. Hierfür eignen sich separate Hardware-Komponenten, die am Office-seitigen Zugang des Engineering-Platzes installiert werden und auf die die Scan-Lösung mitsamt den Prozessen ausgelagert wird, die auf den Produktionssystemen nicht erwünscht sind. Voraussetzung für den Einsatz der Virenschutz-Appliance ist eine Gliederung des Netzwerkes in Zonen unterschiedlicher Kritikalität, wie sie Richtlinien wie VDI/VDE 2182 auf nationaler Ebene und als quasi-internationale Norm ISA 99 im Rahmen der Maßnahmen und Vorgehensweisen für die sichere Erstellung und den sicheren Betrieb von Produktionsnetzen beschreiben.

Für den Malware-Scan wird der Datenverkehr über zwei Netzwerk-Schnittstellen durch den Scanner geleitet und in beiden Fließrichtungen auf Malware geprüft. So wird nicht nur das Produktionsnetz vor Malware aus dem Office-Bereich geschützt, es lassen sich auch bisher unerkannte Infektionen des Produktionssystems aufspüren. Eine dritte Schnittstelle, im Unterschied zu den beiden anderen mit IP-Adresse, dient als Administrationszugang bzw. zur Einbindung in SNMP-Konsolen und zum Absetzen von Alarmmeldungen. Vor allem aber ermöglicht sie die automatische Aktualisierung von Signaturen und Scan-Engine über das Internet. State of the art-Lösungen scannen alle für die Malware-Übertragung relevanten Protokolle wie CIFS, SMB/SMB2, HTTP, FTP, SMTP, POP3, RPC, TFTP und IRC, blockieren BitTorrent und MSN und bieten eine URL-Blockliste, die manuell gepflegt werden kann.

Malware-Lösung muss transparent und unabhängig sein

Entscheidend für den Einsatz entsprechender Inline-Detection-Lösungen in Produktionsumgebungen sind Transparenz sowie Unabhängigkeit von Netzwerk-Topologien und bestehenden Komponenten. Sie werden deshalb in der Sicherungsschicht des OSI-Referenzmodells ausgeführt und müssen den Komponenten weder als Proxy oder Gateway mitgeteilt werden noch Eigenschaften des Kommunikationsnetzes berücksichtigen. Das heißt: Sie arbeiten unabhängig davon, welches Betriebssystem oder welcher Rechnertyp zu schützen ist. Da keinerlei Änderungen an den bestehenden Systemen und Komponenten notwendig sind, werden Hersteller-Garantien nicht tangiert. Die Konfigurationsarbeiten beschränken sich auf das Hinzufügen einer IP-Adresse zum Administrations-Port der Inline-Appliance – Installation und Inbetriebnahme sind also mit wenigen Handgriffen machbar. Die von Proxy-basierten Produkten bekannten Latenzzeiten werden durch paketbasiertes Scannen auf nicht wahrnehmbare Größenordnungen verringert.