Antivirus statt Patchen?

Patch Management in der industriellen Produktion

| Autor / Redakteur: Christoph Proske / Peter Schmitz

Mit den Monitoring-Themen von früher haben moderne Anlagen wenig gemein. Vieles ist automatisiert und vernetzt. Die Absicherung der Systeme hielt damit aber nicht Schritt.
Mit den Monitoring-Themen von früher haben moderne Anlagen wenig gemein. Vieles ist automatisiert und vernetzt. Die Absicherung der Systeme hielt damit aber nicht Schritt. (Bild: Patryk Gradys - unsplash.com)

Patch Management hat sich zu einem der wichtigsten Bestandteile des modernen Security Management entwickelt. Der Prozess rund um Patch Management und IT-Security in Produktions­anlagen birgt seine Tücken. Bei der Vernetzung haben mit den standardisierten Protokollen und Betriebssystemen nicht nur die Vorteile Einzug gehalten, sondern auch sämtliche aus der IT bekannten Bedrohungen und Risiken.

Patch Management ist vergleichbar mit dem Schutz von Clients mit Standardbetriebssystem. Dabei kommt normalerweise Antivirensoftware zum Einsatz, die auf Signaturen und zum Beispiel Sandboxing basiert. Beide Ansätze haben den Nachteil, dass sie reaktiv und sehr ressourcenintensiv sind. Darunter haben vor allem Betreiber von Produktionsanlagen oder kritischen Infrastrukturen zu leiden, da die Absicherung der IT zu einem ernstzunehmenden Kostenpunkt geworden ist.

Allerdings gibt es bereits eine Gegenbewegung: Neueste Schutzsoftware greift auf künstliche Intelligenz zurück, um effizient und ressourcenschonend Schadsoftware zu identifizieren sowie bekannte und unbekannte Angriffe abzuwehren. In diesem Artikel möchte ich den Status um Patch Management und Antivirus in der Produktion erörtern und eine Methodik vorstellen, wie moderne Systeme viel Zeit und Geld sparen können.

Grundlagen der IoT-Sicherheit

Sicherheit im Internet der Dinge

Grundlagen der IoT-Sicherheit

23.05.18 - Das Internet of Things (IoT) kann der Wirtschaft große Vorteile bieten, allerdings werden bei der Umsetzung wichtige Sicherheitsmechanismen häufig vernachlässigt. Das kann schnell zum Stolperstein der Digitalisierung werden. Um wirksame Security-Konzepte für das Internet der Dinge und eine damit verbundene, erfolgreiche Modernisierung zu entwickeln, muss man aber zunächst die Grundlagen des heutigen Begriffs IoT verstehen. lesen

Produktionsanlagen lassen sich nicht wie klassische IT behandeln

Getrieben durch die technische Entwicklung und neuen Anforderungen aus verschiedensten Geschäftsbereichen wurden Produktionsanlagen zusehends mehr und mehr vernetzt. Bei dieser Vernetzung wurde stark auf standardisierte Protokolle und Systeme zurückgegriffen, die bereits aus der IT bekannt waren. Das war und ist weiterhin sehr nützlich, da es den Einsatz von Komponenten verschiedener Hersteller in einem Gesamtsystem ermöglicht und zusätzlich die Anbindung an bestehende Systeme stark vereinfacht. Mit den standardisierten Protokollen und Betriebssystemen haben jedoch nicht nur ein vereinfachtes Management Einzug gehalten, sondern auch sämtliche aus der IT bekannten Bedrohungen und Risiken.

Dabei können Produktionsanlagen nicht wie Assets aus der IT behandelt werden. Das gängigste Mittel, um kleinerer Probleme zu beheben, ist der Neustart. – Eine absolut in der Produktion nicht umsetzbare Maßnahme, da Systeme hier höchste Verfügbarkeit aufweisen müssen. Erschwerend kommt dazu, dass die Infrastruktur so geplant wurde, dass sie lediglich die Lasten eines normalen Betriebs bewältigen muss. Die Implementierung von umfangreichen Patches oder täglichen Signatur-Updates blieb dabei außen vor. So kommt ein System schnell an seine Grenzen.

Obwohl diese limitierenden Faktoren bekannt waren, wurde – schlicht aus Mangel an Alternativen – auf die in der IT üblichen Methoden und Maßnahmen zurückgegriffen. Also führten Security-Verantwortliche landes- und branchenübergreifend herkömmliche signaturbasierte Antivirensoftware und das Einpflegen von Patches ein und hielten daran fest.

Security-Konzepte für Maschinen- und Anlagenbauer

Security-Normenreihe IEC 62443

Security-Konzepte für Maschinen- und Anlagenbauer

29.05.18 - Für die Betreiber von Anlagen im Bereich der kritischen Infrastrukturen schreibt das IT-Sicherheitsgesetz ab 2018 die Einführung eines Security-Management-Systems vor. Aufgrund der aktuellen Bedrohungslage sollten jedoch alle Anlagenbetreiber Security-Maßnahmen umsetzen, um eine reibungslose Funktionsweise sicherzustellen und damit wirtschaftlichen Schaden zu vermeiden. lesen

Pro und Contra Patch Management

Der Patch-Management-Prozess hat sich in der Produktionswelt über die Jahre zu einem hoch politischen und mit Sprengstoff versehenen Thema entwickelt. Durch die hohe Anzahl von interessierten Parteien und die dabei sehr unterschiedlichen Interessen stehen sich meist zwei verhärtete Fronten gegenüber: die Patch-Befürworter und die Patch-Gegner. Dabei haben beide Seiten gute Argumente. Aus Security-Sicht spricht einiges dafür, jeden Patch einzuspielen. Es ist die von Herstellern empfohlene Maßnahme, es ist meist kostenlos und in der IT als „Best Practice“ anerkannt.

Die Gegenargumente haben jedoch auch Gewicht: Das Einspielen von Patches erfordert häufig den Neustart von Systemen, was zu Stillstandszeiten führt. Ein weiterer Nachteil ist, dass hierfür Ressourcen gebunden werden. Wirtschaftlich besonders relevant ist aber, dass Systemintegratoren oder Hersteller von Drittsoftware mitunter ihre Gewährleistung für die Funktion der Anlage davon abhängig machen, ob nun die Hersteller-Patches eingespielt werden oder nicht. Manch einer kündigt gar seinen Service auf.

Dieses Spannungsfeld hat zu sehr fragwürdigen Konstellationen geführt. So fährt zum Beispiel ein mit mir befreundeter Produktionsleiter in regelmäßigen Abständen mit seiner eingefleischten Instandhalter-Crew am Sonntag für einige Stunden ins Werk, um die von der IT vorgegebenen Patches während des Ruhetages einzuspielen. Anbieter von Drittsoftware implementieren einen zusätzlichen Freigabeprozess für bestimmte Patches, um wenigstens teilweise den Anforderungen der Kunden nachzukommen; und im schlimmsten Fall werden gar keine Patches eingespielt.

Schwachstellen in Produktions-IT finden und absichern

Sicherheit in der Industrie 4.0

Schwachstellen in Produktions-IT finden und absichern

27.07.17 - Fabriken sind immer wieder Ziel von Cyber-Angriffen – mit teils verheerenden Folgen: Ein Produktionsstillstand oder defekte Maschinen ziehen hohe Kosten nach sich. In Zeiten von Industrie 4.0 gewinnt das Thema IT-Sicherheit immer mehr an Bedeutung. Aber wie können Betriebe produktionsnahe IT absichern? lesen

Warum überhaupt Patchen?

Das Patchen hat in der Software-Entwicklung eine lange Tradition: Unausgereifte Software wird an den Kunden verkauft und erst während des Betriebs werden letzte Bugs entfernt und zusätzliche Funktionalität eingebaut. „Das haben wir schon immer so gemacht“, heißt die einfache Begründung. In Fachkreisen gibt es dafür einen umgangssprachlichen Begriff, nämlich „Bananen-Software“. Die Lösung kommt noch „grün“ an und reift dann in der Kühlkammer (oder vielmehr an ihrem Einsatzort) nach.

Dieser Prozess hat sich nahtlos in die Anforderungen der Security integriert. So ist es üblich, dass zahlreiche Schwachstellen erst nach Verkauf und Implementierung einer Software oder eines Betriebssystems entdeckt werden. Diese im Nachhinein entdeckten Schwachstellen werden dann mehr oder weniger zeitnah vom Hersteller der Software oder des Betriebssystems mit dem nächsten Patch behoben und zusätzliche Funktionalitäten eingebracht. Die Gestalter des Prozesses nehmen kaum Rücksicht auf die Bedürfnisse der Security im Allgemeinen und der Produktion im Speziellen. Beispielsweise ist es heute bei Windows-Betriebssystemen nicht möglich, einzelne Patches auszulassen, die eine unerwünschte Funktion enthalten. Auch funktioniert es nur schleppend, zwischen herkömmlichen und Security-bezogenen Patches zu differenzieren.

Zu allem Überfluss ist es auch noch fragwürdig, wie wirksam Patches in Bezug auf Security sind. Eine Untersuchung von Dragos (pdf) zeigt, dass 63 Prozent der von Herstellern ausgegebenen Patches keine oder nur sehr eingeschränkte Wirksamkeit hatten. Erschwerend kommt hinzu, das Patches immer mit einer zeitlichen Verzögerung verbunden sind. So gibt es zwar mittlerweile ein recht gutes Netzwerk um Hersteller und Security-Forscher, welche die Schwachstellen erst bekanntgeben, nachdem der Hersteller einen Patch veröffentlicht hat, das so genannte „Responsible Disclosure“. Jedoch ist auf den Zeitpunkt der Veröffentlichung kein Verlass, und dann gibt es ja immer noch die zeitliche Verzögerung bei der Einspielung. Zusätzlich geht durch den Freigabeprozess des Drittanbieters Zeit verloren.

Zusammengefasst: Der Prozess rund um Patch Management und IT-Security in Produktionsanlagen birgt seine Tücken. Die Wirksamkeit darf in Zweifel gezogen werden.

KI allein schafft noch keine perfekte Cybersicherheit

IT-Sicherheitslösungen

KI allein schafft noch keine perfekte Cybersicherheit

03.10.18 - Viele IT-Sicherheitslösungen schmücken sich damit, Künstliche Intelligenz zur Erkennung bisher unbekannter Bedrohungen einzusetzen. Allerdings sind solche NextGen Endpoint Security Lösungen nur bedingt echte "Allrounder". Mehrstufige IT-Security-Konzepte (inklusive KI) machen deshalb auch weiterhin Sinn. lesen

Antivirus: Was bringt die Signatur heute noch?

Gängige Antivirus-Software fußt auf dem Prinzip der „Hash-basierten Signaturerkennung“. Es wird also von einer gefundenen Schadsoftware eine Signatur erzeugt, nach der dann Ausschau gehalten wird. Man muss dabei wissen, dass Signaturen auf dem binären Abbild der Schadsoftware basieren und damit die Änderung von nur einem Bit im Code die Signatur wirkungslos macht. Dieser Umstand wird von Angreifern schamlos ausgenutzt, so dass moderne Schadsoftware in mehrfacher Weise mutiert wird. Die Folge: Keine Binärdatei gleicht der anderen, die schädliche Wirkung bleibt dieselbe. Das hat dazu geführt, dass laut einer Untersuchung von Verizon 99,5 Prozent der Signaturen einmalig waren und 99 Prozent der Signaturen eine Halbwertszeit von 58 Sekunden hatten. Herkömmliche Antivirensoftware ist somit entweder wirkungslos oder führt unbekannte Dateien in der sogenannten Sandbox aus, was mit enormem Ressourcenaufwand verbunden ist. Um die Wirksamkeit auf einem gewissen Grad zu halten, behelfen sich Anbieter durch zahlreiche Updates ihrer Datenbanken, was ihrerseits zu zusätzlichem Aufwand für die Betreiber führt. Dieser Umstand macht diesen Ansatz entweder wirkungslos oder für Ressourcen-sensitive Systeme, wie wir sie in der Produktion häufig antreffen, impraktikabel.

Die neue Generation von Endpoint-Security-Lösungen (A, B) hat im Vergleich zu den herkömmlichen AV-Produkten (C bis F) deutliche Vorteile bei der Erkennungsrate und der Systemauslastung.
Die neue Generation von Endpoint-Security-Lösungen (A, B) hat im Vergleich zu den herkömmlichen AV-Produkten (C bis F) deutliche Vorteile bei der Erkennungsrate und der Systemauslastung. (Bild: SecureLink)

Antivirus: Ist KI die Antwort?

Eine Untersuchung der SecureLink Germany hat gezeigt, dass moderne Antivirensoftware höchste Erkennungsraten bei minimalem Ressourceneinsatz hat. Diese Systeme verlassen sich nicht mehr auf bereits bekanntes in Form von Signaturen, sondern untersuchen schadhaften Code anhand künstlicher Intelligenz bereits vor der Ausführung. Die Systeme stellen daher mitigierende Maßnahmen bereit, die die erfolgreiche Ausnutzung von Verwundbarkeiten und das Ausführen von schadhaften Code deutlich verringern können. Sie können dann entsprechende Maßnahmen einleiten, Alarm schlagen oder Files in die Quarantäne schieben. Lästige Updates lassen sich auf ein Minimum reduzieren oder sogar ganz ausbleiben. Auf diese Weise haben die untersuchten Systeme die Ausführung des gefürchteten WannaCry Trojaners bereits unterbunden, ehe er bekannt wurde, und damit ihren Benutzern Schäden und Einbußen in Millionenhöhe erspart.

Wie geht es weiter?

Wenn wir alle gewonnenen Erkenntnisse zusammenführen, bleibt eigentlich nur ein logischer Schluss – wir müssen im Interesse unseres Unternehmens alte und teure Systeme sowie Prozesse durch moderne Maßnahmen ersetzen. So können wir anhand der Zahlen und Fakten davon ausgehen, dass sich durch den Einsatz von modernster Antivirus-Software ein höheres Schutzniveau bei deutlich reduzierten Kosten im Vergleich zu Patch Management mit herkömmlichen Antivirus erreichen lässt. Das soll nicht heißen, dass wir das Wort „Patch“ aus unserem Wortschatz streichen können. Es gibt natürlich funktionale Anforderungen, die Patches erfordern, und es gibt strukturelle Probleme, die sich vom Hersteller sinnvoll mittels Patch lösen lassen. Allerdings ist das Patchen weniger dringend, so dass es denkbar ist, auf einen jährlichen Patch-Zyklus zu reduzieren. Noch einfacher wird es natürlich für diejenigen, die sich einen Managed-Service-Anbieter dazu holen, etwa die SecureLink.

Über den Autor: Christopher Proske ist Lead Consultant IT/OT Security bei SecureLink.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45564016 / Schwachstellen-Management)