Anzeige
Anzeige
Beitrag drucken

Neue Schädlingsbekämpfer

Scada-Systeme mit verhaltensbasiertem Malware-Schutz

Um die Produktion zu schützen, sollten zwei Szenarien betrachtet werden: Die Gefahr durch gezielte Manipulation beziehungsweise Hacking und die Störung durch ungezielte Streuattacken wie Ransomware. Ein hohes Schutzniveau im Scada-Umfeld lässt sich durch Segmentierung der Netze und den Einsatz der neusten Generation von Malware-Schutzsoftware erreichen.

Scada-Systeme mit Malware-Schutz

Bild: IT-Cube Systems GmbH

Immer wieder zeigt sich, dass Malware neuralgische Punkte unserer Gesellschaft bedrohen kann. Ob Bahnverkehr oder die Produktion im Pharmazeutischen Bereichen: Alle waren von Malware in Form von Verschlüsselungstrojanern beziehungsweise Ransomware betroffen. Wird ein Unternehmen attackiert, entsteht mitunter Schäden in Millionenhöhe. Vor allem mittelständische Firmen tun sich schwer, das abzufedern. Steht die Produktion still, kann das schnell zu einer finanziellen Schieflage führen.

Neue Angriffe – alte Probleme

Die neue Generation von Malware wie WannaCry, NotPetya oder Petwrap nutzt so genanntes ‚lateral movement‘, also die Ausbreitung ohne Nutzerinteraktion. Ist die Malware einmal ins Netzwerk gelangt, kann sie sich sehr schnell auf angeschlossenen Systemen ausbreiten. Wie können kritische Workstations in Produktionsumgebungen ausreichend davor geschützt werden? Diese Frage sorgt bei Verantwortlichen für schlaflose Nächte. Was in der Office-IT heute selbstverständlich ist, führt im Bereich Operational Technology (OT) schnell zu Problemen: Der Virenscanner. Betreiber von Anlagen werden hier mit grundsätzlichen Problemen konfrontiert. Ein herkömmlicher AV-scanner benötigt zum Beispiel regelmäßige Signaturupdates, um zuverlässig zu funktionieren. Dazu wird ein eigener AV-Management-Server oder direkter Onlinezugang benötigt. Hinzu kommt der oft unkalkulierbare Ressourcenbedarf eines Virenscanners, besonders während eines erkannten Malwarebefalls. Bei den meisten herkömmlichen Lösungen ist dabei Vollauslastung die Regel. Vor allem letzteres kann im wahrsten Sinne des Wortes zum Showstopper werden: Wird eine Malware entdeckt, steigt die Systemauslastung häufig derart stark an, dass auch die eigentliche Steuerungsanwendung ihre Input/Output-Last nicht mehr bewältigen kann. Das zieht gegebenenfalls Störungen bis hin zum Stillstand oder der Beschädigung einer Anlage nach sich. Doch auch das Gegenteil ist ein Problem: Was, wenn der Scanner bei Befall nicht reagiert? Auch das kann passieren, denn ein weiteres Manko der klassischen AV-Scanner ist deren teils katastrophale Erkennungsrate.

ANZEIGE

Maschinen helfen Maschinen

In einschlägigen Tests zeigt sich der Nachteil von traditionellen signaturbasierten Virenscannern. Viele klassische Scanner bieten weniger Schutz als sogenannte Next-Generation-Endpoint-Lösungen. Vor allem bei der Erkennung von Zero-Day-Exploits oder mutierter Malware, die veränderte digitale Fingerabdrücke (Hashes) produziert, besteht häufig eine Lücke in der Erkennungen. Einen vielsprechenden neuen Ansatz zeigen neue Lösungen. Statt auf signaturbasierte Erkennung setzen sie auf maschinelles Lernen und künstliche Intelligenz (KI). Diese Lösungen benötigen keine Signaturen zur Erkennung, sondern analysieren verdächtige Dateien gezielt auf Kerntechniken von Malware. Diese Algorithmen sind prinzipbedingt bei Malware vorhanden und nur schwer zu verschleiern, da sie die eigentliche schädliche Funktionalität beinhalten. Return oriented Programming (ROP) oder Heap Spray sind beispielsweise zwei dieser Kerntechniken. Wird der assoziierte Programmcode durch die Next-Gen-Lösung erkannt, wird die Datei sofort blockiert. Die KI erkennt Malware durch Untersuchung von Binärdateien und Dynamic Link Libraries (dlls), ohne sie ausführen zu müssen (pre-execution und predictive). Zusätzlich nutzen solche Lösungen Schutzmodule wie Script Control zum Schutz vor VBA-Scripts oder Excel-Makros, die häufig bei der Verbreitung von Ransomware eingesetzt werden. Die Erkennungsquote ist so in der Regel signifikant höher als bei klassischen Antivirenlösungen. In Tests unter Realbedingungen wurden Erkennungsquoten von über 98 Prozent erreicht.

Getrimmt auf Performance

KI und maschinelles Lernen klingt im ersten Moment nach einer Anwendung für Supercomputer. In Wahrheit sollen Next-Gen-Lösungen deutlich weniger Ressourcen als traditionelle Ansätze beanspruchen: Der Bedarf an Arbeitsspeicher beträgt rund 100 Megabyte. Bei Malwareerkennung steigt die CPU-Last nicht über zehn Prozent. Auch ältere Betriebssysteme wie Windows XP oder Windows Server 2003 werden noch unterstützt, ein wichtiger Fakt für viele Produktionsumgebungen. Zudem sind Anlagen häufig durch Segmentierung vom Unternehmensnetzwerk getrennt und verfügen nicht über die Möglichkeit, Antivirensignaturen direkt oder über einen Management Server herunterzuladen. Wenn ein Scanner ohne Signaturen auskommt, ist diese Verbindung auch nicht mehr erforderlich. So lässt sich eine Segmentierung des Netzwerks konsequent umsetzen und gleichzeitig leistungsfähiger Malwareschutz einrichten. Werden Wartungen an Steuerrechnern durchgeführt – häufig durch Personal eines Maschinenherstellers – kann Malware sich etwa durch infizierte USB-Sticks selbst auf Inselsystemen verbreiten. Dieser Problematik begegnen entsprechende Lösungen dadurch, dass die Intelligenz zur Erkennung der Malware im Agenten integriert ist und unabhängig agieren kann.


Das könnte Sie auch interessieren:

Individuelle Kundenwünsche beeinflussen zunehmend die Produktion. Mit der Verbindung von Verkaufs- und Produktionskonfiguration lässt sich die Komplexität einer variantenreichen Fertigung in den Griff bekommen.‣ weiterlesen

52 Prozent der Unternehmen wollen ihre Ausgaben bezüglich der digitalen Transformation erhöhen. Dies hat der Business-Software-Anbieter IFS in einer Studie ermittelt für die weltweit mehr als 3.032 Führungskräfte befragt wurden.‣ weiterlesen

Die Bekuplast-Unternehmensgruppe produziert Mehrweg-Transportverpackungen aus Kunststoff. Seit 2019 dient ein Enterprise-Content-Management-System (ECM) von ELO als Grundlage, zentrale Geschäftsprozesse zu automatisieren und mit den IT-Systemen zu verzahnen.‣ weiterlesen

Bosch Rexroth gibt einige Veränderungen in der Geschäftsführung bekannt. Unter anderem tritt Filiz Albrecht die Nachfolge von Christoph Kübel an, der zum Jahresende in den Ruhestand geht.‣ weiterlesen

Der Solution Manager von SAP stand lange im Ruf, nicht das Organisationsgenie unter den Business-Anwendungen zu sein. Doch der Hersteller hat in Version 7.2 viel am Werkzeug verbessert. Der Produzent von Lebensmittelzutaten Döhler hat daher den SolMan von SAP mit dem BPM-Tool Aeneus verknüpft, um die Gestaltung von mehr als 2000 Geschäftsprozessen zentral und nachhaltig zu strukturieren.‣ weiterlesen

In einer weltweiten Studie haben TÜV Rheinland und das Marktforschungsinstitut Ponemon untersucht, wie es um die Cybersicherheit von Industrieanlagen bestellt ist. Demnach ist die Operational Technology besonders gefährdet.‣ weiterlesen

Mit dem stärksten jemals gemessenen Anstieg hat sich der Ifo-Geschäftsklimaindex im Juni im Vergleich zum Vormonat etwas erholt. Er liegt nun bei 86,2 Punkten.‣ weiterlesen

Unternehmenswachstum sorgte bei der Penn GmbH für ein Umdenken in der Unternehmensstrategie. Mit der Implementierung eines Manufacturing Execution Systems wollte man etwa Excel-Listen in der Produktionsplanung ablösen. Mit der MES-Lösung von Proxia gelang es sogar, die Anlagenverfügbarkeit auf fast 100 Prozent zu steigern.‣ weiterlesen

Im vergangenen Jahr haben 76 Prozent der Unternehmen Rechenleistung aus der Cloud in Anspruch genommen. Dies geht aus einer Studie von Bitkom Research im Auftrag von KPMG hervor.‣ weiterlesen

Schneider Electric möchte seine gruppeninternen Kompetenzzentren für Schlüsseltechnologien stärken. Mit einem weiteren Ausbau des Standortes Marktheidenfeld wird dieser Weg nun fortgesetzt.‣ weiterlesen

Die überwiegende Zahl der Maschinenbauer ist zuversichtlich, mittelfristig auf das nominale Umsatzniveau von 2019 zurückzukehren. So lautet die Kernbotschaft der sechsten VDMA-Blitzumfrage zur Corona-Pandemie, an der 658 Unternehmen teilnahmen.‣ weiterlesen

Anzeige
Anzeige
Anzeige