Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Neue Schädlingsbekämpfer

Scada-Systeme mit verhaltensbasiertem Malware-Schutz

Um die Produktion zu schützen, sollten zwei Szenarien betrachtet werden: Die Gefahr durch gezielte Manipulation beziehungsweise Hacking und die Störung durch ungezielte Streuattacken wie Ransomware. Ein hohes Schutzniveau im Scada-Umfeld lässt sich durch Segmentierung der Netze und den Einsatz der neusten Generation von Malware-Schutzsoftware erreichen.

Scada-Systeme mit Malware-Schutz

Bild: IT-Cube Systems GmbH

Immer wieder zeigt sich, dass Malware neuralgische Punkte unserer Gesellschaft bedrohen kann. Ob Bahnverkehr oder die Produktion im Pharmazeutischen Bereichen: Alle waren von Malware in Form von Verschlüsselungstrojanern beziehungsweise Ransomware betroffen. Wird ein Unternehmen attackiert, entsteht mitunter Schäden in Millionenhöhe. Vor allem mittelständische Firmen tun sich schwer, das abzufedern. Steht die Produktion still, kann das schnell zu einer finanziellen Schieflage führen.

Neue Angriffe – alte Probleme

Die neue Generation von Malware wie WannaCry, NotPetya oder Petwrap nutzt so genanntes ‚lateral movement‘, also die Ausbreitung ohne Nutzerinteraktion. Ist die Malware einmal ins Netzwerk gelangt, kann sie sich sehr schnell auf angeschlossenen Systemen ausbreiten. Wie können kritische Workstations in Produktionsumgebungen ausreichend davor geschützt werden? Diese Frage sorgt bei Verantwortlichen für schlaflose Nächte. Was in der Office-IT heute selbstverständlich ist, führt im Bereich Operational Technology (OT) schnell zu Problemen: Der Virenscanner. Betreiber von Anlagen werden hier mit grundsätzlichen Problemen konfrontiert. Ein herkömmlicher AV-scanner benötigt zum Beispiel regelmäßige Signaturupdates, um zuverlässig zu funktionieren. Dazu wird ein eigener AV-Management-Server oder direkter Onlinezugang benötigt. Hinzu kommt der oft unkalkulierbare Ressourcenbedarf eines Virenscanners, besonders während eines erkannten Malwarebefalls. Bei den meisten herkömmlichen Lösungen ist dabei Vollauslastung die Regel. Vor allem letzteres kann im wahrsten Sinne des Wortes zum Showstopper werden: Wird eine Malware entdeckt, steigt die Systemauslastung häufig derart stark an, dass auch die eigentliche Steuerungsanwendung ihre Input/Output-Last nicht mehr bewältigen kann. Das zieht gegebenenfalls Störungen bis hin zum Stillstand oder der Beschädigung einer Anlage nach sich. Doch auch das Gegenteil ist ein Problem: Was, wenn der Scanner bei Befall nicht reagiert? Auch das kann passieren, denn ein weiteres Manko der klassischen AV-Scanner ist deren teils katastrophale Erkennungsrate.

Maschinen helfen Maschinen

In einschlägigen Tests zeigt sich der Nachteil von traditionellen signaturbasierten Virenscannern. Viele klassische Scanner bieten weniger Schutz als sogenannte Next-Generation-Endpoint-Lösungen. Vor allem bei der Erkennung von Zero-Day-Exploits oder mutierter Malware, die veränderte digitale Fingerabdrücke (Hashes) produziert, besteht häufig eine Lücke in der Erkennungen. Einen vielsprechenden neuen Ansatz zeigen neue Lösungen. Statt auf signaturbasierte Erkennung setzen sie auf maschinelles Lernen und künstliche Intelligenz (KI). Diese Lösungen benötigen keine Signaturen zur Erkennung, sondern analysieren verdächtige Dateien gezielt auf Kerntechniken von Malware. Diese Algorithmen sind prinzipbedingt bei Malware vorhanden und nur schwer zu verschleiern, da sie die eigentliche schädliche Funktionalität beinhalten. Return oriented Programming (ROP) oder Heap Spray sind beispielsweise zwei dieser Kerntechniken. Wird der assoziierte Programmcode durch die Next-Gen-Lösung erkannt, wird die Datei sofort blockiert. Die KI erkennt Malware durch Untersuchung von Binärdateien und Dynamic Link Libraries (dlls), ohne sie ausführen zu müssen (pre-execution und predictive). Zusätzlich nutzen solche Lösungen Schutzmodule wie Script Control zum Schutz vor VBA-Scripts oder Excel-Makros, die häufig bei der Verbreitung von Ransomware eingesetzt werden. Die Erkennungsquote ist so in der Regel signifikant höher als bei klassischen Antivirenlösungen. In Tests unter Realbedingungen wurden Erkennungsquoten von über 98 Prozent erreicht.

Getrimmt auf Performance

KI und maschinelles Lernen klingt im ersten Moment nach einer Anwendung für Supercomputer. In Wahrheit sollen Next-Gen-Lösungen deutlich weniger Ressourcen als traditionelle Ansätze beanspruchen: Der Bedarf an Arbeitsspeicher beträgt rund 100 Megabyte. Bei Malwareerkennung steigt die CPU-Last nicht über zehn Prozent. Auch ältere Betriebssysteme wie Windows XP oder Windows Server 2003 werden noch unterstützt, ein wichtiger Fakt für viele Produktionsumgebungen. Zudem sind Anlagen häufig durch Segmentierung vom Unternehmensnetzwerk getrennt und verfügen nicht über die Möglichkeit, Antivirensignaturen direkt oder über einen Management Server herunterzuladen. Wenn ein Scanner ohne Signaturen auskommt, ist diese Verbindung auch nicht mehr erforderlich. So lässt sich eine Segmentierung des Netzwerks konsequent umsetzen und gleichzeitig leistungsfähiger Malwareschutz einrichten. Werden Wartungen an Steuerrechnern durchgeführt – häufig durch Personal eines Maschinenherstellers – kann Malware sich etwa durch infizierte USB-Sticks selbst auf Inselsystemen verbreiten. Dieser Problematik begegnen entsprechende Lösungen dadurch, dass die Intelligenz zur Erkennung der Malware im Agenten integriert ist und unabhängig agieren kann.


Das könnte Sie auch interessieren:

Boston Micro Fabrication hat den 3D-Drucker MicroArch S240 vorgestellt: Bei einem Bauvolumen von 100x100x75mm ist er auf die Serienproduktion von Mikrobauteilen in Endqualität ausgelegt.‣ weiterlesen

Das Vertragsmanagement findet oft noch in Papierform statt. Dabei ermöglichen Lösungen für das Contract Lifecycle Management (CLM) längst eine digitale Abwicklung entlang der gesamten Wertschöpfungskette.‣ weiterlesen

Bordnetzhersteller können ihre spezifischen Anforderungen an Manufacturing-Execution-Systeme mit Branchenlösungen abbilden. Bei der Integration spart das viel Customizing und im Betrieb können Nutzer erwarten, dass Branchentrends besonders schnell im Standard landen.‣ weiterlesen

In einem offenen Brief haben sich IT-Forscher verschiedener Institutionen und Unternehmen an die Politik gewandt und fordern, Lösegeldzahlungen nach Ransomware-Angriffen zu unterbinden.‣ weiterlesen

Der Security-Spezialist Trend Micro gründet mit VicOne eine Tochtergesellschaft, die sich auf die Absicherung von Elektrofahrzeugen und vernetzten Fahrzeugen konzentrieren soll.‣ weiterlesen

Operationales Reporting hilft Firmen, Entscheidungen mit Echtzeitdatenanalysen zu beschleunigen und abzusichern. Angesichts der aktuellen Krisen gewinnt der Ansatz an Bedeutung. Die SAP-Software für diese Aufgabe heißt Embedded Analytics. Was kann dieses Tool und wie unterscheidet es sich von SAP BW?‣ weiterlesen

Mit der Übernahme von Empolis will ProAlpha sein ERP-Portfolio erweitern. Das Unternehmen aus Kaiserslautern bietet cloudbasierte und KI-gestützte Lösungen für die Analyse und Verarbeitung von Geschäftsprozess-relevanten Informationen an.‣ weiterlesen

Kleine und mittlere Unternehmen haben bei der Umsetzung von Big-Data-Projekten mit Problemen zu kämpfen. So geben in einer Studie des Cloud-Anbieters Ionos 55 Prozent der Befragten an, dass Daten nicht in ausreichender Form vorliegen.‣ weiterlesen

Die 2023er Releases von Autodesk stehen zur Verfügung. Parallel stellt das Systemhaus Contelos überarbeitete Addons vor: Tools4Engineers, Tools4GIS, GeoPhotoXtension und BohrKernXtension sollen Anwendern die Arbeit mit Autodesk-Lösungen erleichtern.‣ weiterlesen

Vecoplan nutzt bereits seit 2008 Fernzugriffsfunktionen für seine Maschinen. Mithilfe des IoT-Spezialisten Ixon hat der Maschinenbauer dieses Angebot ausgeweitet und bietet heute sogar Kameraüberwachung für seine Recyclingmaschinen an.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige