Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Neue Schädlingsbekämpfer

Scada-Systeme mit verhaltensbasiertem Malware-Schutz

Um die Produktion zu schützen, sollten zwei Szenarien betrachtet werden: Die Gefahr durch gezielte Manipulation beziehungsweise Hacking und die Störung durch ungezielte Streuattacken wie Ransomware. Ein hohes Schutzniveau im Scada-Umfeld lässt sich durch Segmentierung der Netze und den Einsatz der neusten Generation von Malware-Schutzsoftware erreichen.

Scada-Systeme mit Malware-Schutz

Bild: IT-Cube Systems GmbH

Immer wieder zeigt sich, dass Malware neuralgische Punkte unserer Gesellschaft bedrohen kann. Ob Bahnverkehr oder die Produktion im Pharmazeutischen Bereichen: Alle waren von Malware in Form von Verschlüsselungstrojanern beziehungsweise Ransomware betroffen. Wird ein Unternehmen attackiert, entsteht mitunter Schäden in Millionenhöhe. Vor allem mittelständische Firmen tun sich schwer, das abzufedern. Steht die Produktion still, kann das schnell zu einer finanziellen Schieflage führen.

Neue Angriffe – alte Probleme

Die neue Generation von Malware wie WannaCry, NotPetya oder Petwrap nutzt so genanntes ‚lateral movement‘, also die Ausbreitung ohne Nutzerinteraktion. Ist die Malware einmal ins Netzwerk gelangt, kann sie sich sehr schnell auf angeschlossenen Systemen ausbreiten. Wie können kritische Workstations in Produktionsumgebungen ausreichend davor geschützt werden? Diese Frage sorgt bei Verantwortlichen für schlaflose Nächte. Was in der Office-IT heute selbstverständlich ist, führt im Bereich Operational Technology (OT) schnell zu Problemen: Der Virenscanner. Betreiber von Anlagen werden hier mit grundsätzlichen Problemen konfrontiert. Ein herkömmlicher AV-scanner benötigt zum Beispiel regelmäßige Signaturupdates, um zuverlässig zu funktionieren. Dazu wird ein eigener AV-Management-Server oder direkter Onlinezugang benötigt. Hinzu kommt der oft unkalkulierbare Ressourcenbedarf eines Virenscanners, besonders während eines erkannten Malwarebefalls. Bei den meisten herkömmlichen Lösungen ist dabei Vollauslastung die Regel. Vor allem letzteres kann im wahrsten Sinne des Wortes zum Showstopper werden: Wird eine Malware entdeckt, steigt die Systemauslastung häufig derart stark an, dass auch die eigentliche Steuerungsanwendung ihre Input/Output-Last nicht mehr bewältigen kann. Das zieht gegebenenfalls Störungen bis hin zum Stillstand oder der Beschädigung einer Anlage nach sich. Doch auch das Gegenteil ist ein Problem: Was, wenn der Scanner bei Befall nicht reagiert? Auch das kann passieren, denn ein weiteres Manko der klassischen AV-Scanner ist deren teils katastrophale Erkennungsrate.

Maschinen helfen Maschinen

In einschlägigen Tests zeigt sich der Nachteil von traditionellen signaturbasierten Virenscannern. Viele klassische Scanner bieten weniger Schutz als sogenannte Next-Generation-Endpoint-Lösungen. Vor allem bei der Erkennung von Zero-Day-Exploits oder mutierter Malware, die veränderte digitale Fingerabdrücke (Hashes) produziert, besteht häufig eine Lücke in der Erkennungen. Einen vielsprechenden neuen Ansatz zeigen neue Lösungen. Statt auf signaturbasierte Erkennung setzen sie auf maschinelles Lernen und künstliche Intelligenz (KI). Diese Lösungen benötigen keine Signaturen zur Erkennung, sondern analysieren verdächtige Dateien gezielt auf Kerntechniken von Malware. Diese Algorithmen sind prinzipbedingt bei Malware vorhanden und nur schwer zu verschleiern, da sie die eigentliche schädliche Funktionalität beinhalten. Return oriented Programming (ROP) oder Heap Spray sind beispielsweise zwei dieser Kerntechniken. Wird der assoziierte Programmcode durch die Next-Gen-Lösung erkannt, wird die Datei sofort blockiert. Die KI erkennt Malware durch Untersuchung von Binärdateien und Dynamic Link Libraries (dlls), ohne sie ausführen zu müssen (pre-execution und predictive). Zusätzlich nutzen solche Lösungen Schutzmodule wie Script Control zum Schutz vor VBA-Scripts oder Excel-Makros, die häufig bei der Verbreitung von Ransomware eingesetzt werden. Die Erkennungsquote ist so in der Regel signifikant höher als bei klassischen Antivirenlösungen. In Tests unter Realbedingungen wurden Erkennungsquoten von über 98 Prozent erreicht.

Getrimmt auf Performance

KI und maschinelles Lernen klingt im ersten Moment nach einer Anwendung für Supercomputer. In Wahrheit sollen Next-Gen-Lösungen deutlich weniger Ressourcen als traditionelle Ansätze beanspruchen: Der Bedarf an Arbeitsspeicher beträgt rund 100 Megabyte. Bei Malwareerkennung steigt die CPU-Last nicht über zehn Prozent. Auch ältere Betriebssysteme wie Windows XP oder Windows Server 2003 werden noch unterstützt, ein wichtiger Fakt für viele Produktionsumgebungen. Zudem sind Anlagen häufig durch Segmentierung vom Unternehmensnetzwerk getrennt und verfügen nicht über die Möglichkeit, Antivirensignaturen direkt oder über einen Management Server herunterzuladen. Wenn ein Scanner ohne Signaturen auskommt, ist diese Verbindung auch nicht mehr erforderlich. So lässt sich eine Segmentierung des Netzwerks konsequent umsetzen und gleichzeitig leistungsfähiger Malwareschutz einrichten. Werden Wartungen an Steuerrechnern durchgeführt – häufig durch Personal eines Maschinenherstellers – kann Malware sich etwa durch infizierte USB-Sticks selbst auf Inselsystemen verbreiten. Dieser Problematik begegnen entsprechende Lösungen dadurch, dass die Intelligenz zur Erkennung der Malware im Agenten integriert ist und unabhängig agieren kann.

google plus


Das könnte Sie auch interessieren:

Der Gedanke hinter dem Internet of Things ist im Grunde einfach: Ansonsten 'stumme' Geräte werden mittels Sensorik und Datenübertragung zum Sprechen gebracht. Das Potenzial ist enorm, wenn etwa Maschinen, Halbzeuge und fertige Produkte ihren Produzenten Hinweise darauf liefern, was sich künftig besser machen ließe.‣ weiterlesen

Das Potenzial des Internet der Dinge für Fertigungsunternehmen ist riesig. Der Prozessverbesserungsansatz DevOps kommt aus der IT-Welt, lässt sich aber hervorragend auf die industrielle IT übertragen, um das IoT-Leistungsversprechen in wertorientierte innovative Services umzusetzen.‣ weiterlesen

Anzeige
Anzeige
Anzeige