Die neuen Geräte steigern das Security-Niveau von industriellen Applikationen einfach und rückwirkungsfrei. Der Anwender kann seine Automatisierungslösung somit zugriffssicher betreiben.

Die neuen Geräte steigern das Security-Niveau von industriellen Applikationen einfach und rückwirkungsfrei. Der Anwender kann seine Automatisierungslösung somit zugriffssicher betreiben. Bild: Phoenix Contact

| von Ingo Hilgenkamp, Mitarbeiter im Product Marketing Security, Phoenix Contact Electronics

Mit dem Ende des Service stellt Microsoft keine kostenfreien Security-Updates für Windows 7 mehr bereit. Funktionale Aktualisierungen gibt es bereits seit 2015 nicht mehr. Selbst wenn das Betriebssystem über zehn Jahre alt ist, steigt die Anzahl der neu entdeckten Sicherheitslücken noch immer an.

Anzahl der gefundenen Schwachstellen in Windows 7. Bild: Phoenix Contact

Anzahl der gefundenen Schwachstellen in Windows 7 nach CVE Details. Bild: Phoenix Contact

Die Datenbank „CVE Details“  listet seit der Veröffentlichung von Windows 7 bis Ende 2019 insgesamt 1283 Angriffspunkte auf. Davon wurden 641 Schwachstellen in den letzten drei Jahren gefunden, wobei 2019 mit 250 Sicherheitslücken die meisten Schwachpunkte auftraten. Von in Summe 372 besonders gefährlichen „Code Execution“-Schwachstellen sind 2019 allein 100 festgestellt worden. Diese Zahlen belegen eindrücklich, dass die Verwendung von Windows 7 mit erheblichen Sicherheitsrisiken einhergeht (Bild 1).

Warnung vor ungeschütztem Weiterbetrieb

Viele Anwender aus allen industriellen Bereichen sind mit dem Leistungsangebot von Windows 7 zufrieden und wollen nicht auf eine andere Version – beispielsweise Windows 10 – wechseln. Dies, weil der Ressourcenverbrauch von Windows 10 bei Automatisierungskomponenten ein Problem darstellt. Darüber hinaus schrecken zahlreiche Nutzer vor den ständigen Updates und der Datensammelei von Microsoft zurück. Unternehmen und Behörden können zwar weiterhin Updates und Support von Microsoft kaufen – die sogenannten Extended Security Updates (ESU) -, aber mit hoher Wahrscheinlichkeit werden diese mit der Zeit immer teurer. Irgendwann laufen dann die kostenpflichtigen Aktualisierungen ebenfalls aus und der Anwender hat das Problem nur in die Zukunft verschoben. Microsoft und Sicherheitsexperten warnen daher vor einem ungeschützten Weiterbetrieb.

Soll Windows 7 auch zukünftig eingesetzt werden, erweisen sich die Risiken für die Nutzer im Schadensfall als nicht mehr kalkulierbar. Es drohen vermehrt Angriffe auf die schutzlosen Systeme und bei deren Beeinträchtigung zusätzliche finanzielle Risiken wegen des Verstoßes gegen die DSGVO (Datenschutz-Grundverordnung), wie kürzlich bei einer großen Autovermietung geschehen. Die Strafzahlungen werden hier vermutlich in die Millionen Euro gehen. Versicherungen gegen Online-Schäden und Cyberkriminalität helfen nicht, denn deren Bedingungen setzen ebenso wie die DSGVO Umgebungen voraus, die dem Stand der Technik entsprechen. Außerdem werden die nicht mehr gepflegten Systeme bevorzugt von Botnetzen – also einer Gruppe von automatisierten Schadprogrammen – übernommen und fungieren danach als Angriffsknoten in DDoS-Attacken (Distributed Denial of Service). Hier kann es ebenfalls zu hohen Schadensersatzansprüchen kommen. Es ist somit Zeit zum Handeln.

Nachrüstung ohne Anpassungen

Eine Möglichkeit, Windows 7-Rechner in einem Netzwerk abzusichern, ist das Nachrüsten einer externen Firewall. Zu diesem Zweck wurden die Security-Module der Produktfamilie FL mGuard von Phoenix Contact entwickelt. Dazu muss nicht einmal in das laufende System eingegriffen werden. Das bestehende Netzwerk lässt sich vielmehr einfach nachrüsten, da aufgrund des Stealth Mode keine Änderungen an der vorhandenen Systemkonfiguration notwendig sind. Auch die Echtzeit-Performance des Systems wird nicht behindert, es ist folglich so schnell wie gewohnt. Ein weiterer Vorteil der Lösung liegt in seiner Wirtschaftlichkeit, weil kein Austausch von Hardware, Software oder gar ganzer Produktionsanlagen erforderlich ist. Und schließlich erweist sich die Integration in die existierende Automations- und IT-Landschaft als unkompliziert, denn die Security-Funktionen werden über die Infrastruktur bereitgestellt.

Besonders einfach lassen sich die Security-Komponenten nachträglich vollkommen transparent im Stealth Mode in das Netzwerk einbinden. Die Security-Module übernehmen dabei automatisch die MAC- und IP-Adressen der zu schützenden Systeme, sodass keine zusätzlichen Adressen für das Management der Security-Komponenten vergeben werden müssen. An der Netzwerkkonfiguration ändert sich ebenfalls nichts.

Unterstützung durch Assistenzfunktionen

Komplexe Kommunikation selbst bei kleinen Systemen Bild: Phoenix Contact

Eine kaum überschaubare Anzahl an Kommunikationsverbindungen, die selbst bei kleinen Systemen auftritt, kann den Anwender schnell überfordern. Bild: Phoenix Contact

Eine kaum überschaubare Anzahl an Kommunikationsverbindungen, die selbst bei kleinen Systemen auftritt, kann den Anwender schnell überfordern (Bild 2). Diese befürchten, durch eine falsch konfigurierte Firewall den Stillstand einer Maschine oder Anlage zu verursachen. Rund 60 % der deutschen Unternehmen verfügen über keine IT-Abteilung, welche die Absicherung der Anlagen durch Firewalls durchführen kann. Die Security-Module FL mGuard 1102/1105 verfügen deshalb über einen Firewall Assistant und Alarm Mode (Bild 3). Die Assistenzfunktion unterstützt den Anwender bei der Konfiguration der Firewall. Er muss keinerlei Kenntnisse in Bezug auf die Topologie, Protokolle, Ports oder ähnliches aufweisen. Der Nutzer startet lediglich den Firewall Assistant und im Anschluss wird aus jeder Kommunikationsbeziehung eine Firewall-Regel abgeleitet (Bild 4). Auf diese Weise ist sichergestellt, dass die Anlage nach dem Einbau der Firewall genauso funktioniert wie zuvor.

Verbindungen, die nach der Aufzeichnungsphase aktiv wurden Bild: Phoenix Contact

Verbindungen, die nach der Aufzeichnungsphase aktiv wurden Bild: Phoenix Contact

Im nächsten Schritt kommt der Alarm Mode ins Spiel (Bild 5). Dieses Feature sorgt dafür, dass nur selten verwendete Kommunikationsbeziehungen, die während der Aufnahmephase des Security-Moduls inaktiv waren und somit nicht zu einer Allow-Firewall-Regel geführt haben, nicht blockiert werden und folglich voll funktionsfähig bleiben. Im Alarm Mode werden die Firewall-Regeln herangezogen, aber eine unbekannte Datenübertragung wird trotzdem zugelassen und nicht verhindert. Selbstverständlich erfolgt eine Aufzeichnung der Kommunikation, die der Anwender einsehen kann. Er entscheidet anschließend, ob dieser bislang unbekannte Datenaustausch unterbunden oder weiterhin erlaubt wird. Zur Umwandlung der Meldung in eine Firewall-Regel ist lediglich ein einfacher Mausklick notwendig.

Eingrenzung auf notwendige Verbindungen

Durch die Kombination der beiden Modi lässt sich die Sicherheit der Maschine oder Anlage signifikant erhöhen, wobei ihre Verfügbarkeit nicht eingeschränkt wird. Aufgrund der Verbindung von Firewall Assistant und Alarm Mode kann jeder Anwender die Firewall auch ohne IT-Kenntnisse konfigurieren. Maschinen- oder Anlagenstillstände wegen einer blockierten Firewall gehören damit der Vergangenheit an. Um das Sicherheitsrisiko durch einen Windows-7-Rechner im Netzwerk zu minimieren, sollte er so weit wie möglich vom übrigen Netzwerk isoliert werden. Die Firewall der Security Appliances FL mGuard kontrolliert und filtert die Kommunikation von und zu den zu schützenden Systemen anhand eines einstellbaren Regelwerks. So wird die Datenübertragung auf die Partner, Protokolle, Ports und Verbindungsrichtungen eingegrenzt, die für das Funktionieren der Gesamtanlage erforderlich sind.

Die Lösung ermöglicht einerseits die gewünschten Funktionen für die Anwender und den Prozess, sichert aber gleichzeitig genau diesen Prozess sowie die Anwenderdaten ab. Eine gut konfigurierte Hardware-Firewall, die systematisch an den Kommunikationsknoten installiert wird, gehört heute zwingend zu jedem lokalen Netz. Dabei ist jedoch nicht die in einige Betriebssysteme integrierte Firewall gemeint, die der Nutzer in der Hoffnung aktiviert, dass sie die Systeme vor Schäden bewahrt, sodass die Funktionen und Prozesse störungsfrei ablaufen. Vielmehr handelt es sich um dedizierte Systeme, die insbesondere bei Hackerangriffen mit eigenen Ressourcen reaktionsfähig bleiben. Sie sorgen für einen unterbrechungsfreien Datenaustausch und beugen Fehlfunktionen oder dem Stillstand der Maschine respektive Anlage vor.

Umsetzung von Fernwartungslösungen

Die neuen Geräte steigern das Security-Niveau von industriellen Applikationen einfach und rückwirkungsfrei. Der Anwender kann seine Automatisierungslösung somit zugriffssicher betreiben. Die Komponenten der Produktfamilie erlauben zudem die einfache Umsetzung sicherer, wirtschaftlicher und zuverlässiger Fernwartungslösungen.

 

Erstellung eines Security-Konzepts durch Spezialisten – ANZEIGE –

Umfassende Beratung durch die Security-Experten von Phoenix Contact. Bild: Phoenix Contact

Umfassende Beratung durch die Security-Experten von Phoenix Contact. Bild: Phoenix Contact

Eine Firewall fällt aufgrund des konfigurierten Regelwerks die Entscheidung, ob ein Datenpaket weitergeleitet wird oder nicht. Das Regelwerk basiert beispielsweise auf den MAC-Adressen der Absender oder Empfänger sowie IP-Adressen, Port-Nummern oder Protokollen. Die Firewall-Geräte der Produktfamilie FL mGuard von Phoenix Contact können sogar einzelnen Prozessen eine definierte Bandbreite zur Verfügung stellen sowie die Anzahl von ICMP-Paketen (Pings) oder ARP-Requests begrenzen. Allerdings lässt sich die Ausbreitung von Schadsoftware – also Viren, Würmern oder Trojanern – nicht durch eine Firewall verhindern, denn die Schadsoftware wird häufig über Protokolle in Umlauf gebracht, die im Kern auf CIFS/SMB (Common Internet File System/Server Message Blocks) aufsetzen. Die Kommunikation auf der Grundlage dieser Protokollfamilie kann nicht wirksam gefiltert werden, weil die Übertragung blockweise nach einem komplexen Verfahren erfolgt. Ein Blockieren ist ebenfalls nicht möglich, da die Protokolle in nahezu jedem System im Windows-Umfeld im Einsatz sind.

Kommunikationsverbindungen über Protokolle und Ports, die die Maschinen und Anlagen tatsächlich nutzen, dürfen somit nicht von Firewalls abgeriegelt werden. Das gilt selbst dann, wenn das Risiko besteht, dass Schadsoftware eingeschleust wird. Daher bietet es sich an, sich bei der Erstellung eines belastbaren Security-Konzepts von Spezialisten unterstützen zu lassen. Die Experten von Phoenix Contact überprüfen das jeweilige Netzwerk und erarbeiten auf Basis der Anforderungen des Anwenders einen individuellen Security-Ansatz. Darüber hinaus schulen sie die Mitarbeiter des Kunden im Hinblick auf industrielle Netzwerksicherheit.

Der Eintrag "freemium_overlay_form_cte" existiert leider nicht.