Schwachstellen in Embedded-Systemen Bitte nicht anfassen

IT-Schwachstellen-Management in den Unternehmen.
In Embedded-Systemen können kleine Änderungen große Konsequenzen haben.

Industriesteuerungen zählen aus verschiedenen Gründen zu den »Unberührbaren« der IT-Systeme, die man besser nicht anfasst. Wie lassen sie sich trotzdem sinnvoll auf Schwachstellen hin überprüfen?

IT-Systeme müssen administriert werden: Software-Applikationen brauchen regelmäßige Updates und Patches, neue Endgeräte müssen eingebunden, das Netzwerk gegen Angriffe geschützt werden und einiges mehr. Moderne IT-Umgebungen werden zunehmend komplexer, Technologien wie Cloud Computing oder Bring Your Own Device verändern die Art und Weise, wie IT genutzt wird. Darüber hinaus gehört eigentlich alles zur IT-Infrastruktur, was an diese angehängt werden kann – von Smartphones und Tablets über Drucker und Telefone bis hin zu beliebig komplexen Industriesteuerungen. Die einen nennen es das Internet of Things, die anderen bezeichnen diese Geräte als Embedded-Systeme.

Schwachstellen-Scans: Vorsorge mit Nebenwirkungen

In eben solchen komplexen Umgebungen ist es wichtig, die IT-Infrastruktur regelmäßig auf mögliche Schwachstellen zu überprüfen. Klassische aktive Schwachstellen-Scans testen die Infrastruktur über das Netzwerk auf bekannte Schwachstellen und Konfigurationsprobleme. Dabei werden beispielsweise fehlende Windows Updates und Patches erkannt. Denn auch wenn der Update-Prozess automatisiert abläuft, funktioniert er oft nicht reibungslos. Einige Systeme werden nicht automatisch aktualisiert, was bei Industrie-Systemen immer und bei Rechnern in Forschungs- und Entwicklungsabteilungen häufig der Fall ist. Ein Schwachstellen-Scan überprüft zudem, ob Third-Party-Anwendungen wie z.B. der Acrobat Reader, Flash, Java, Mozilla Firefox oder Google Chrome auf dem neuesten Stand sind.

Der Einsatz von Schwachstellen-Scannern ist nicht ganz unproblematisch. So verursacht er gegebenenfalls hohen Netzwerk-Traffic oder sieht für eine Firewall wie ein Angriff aus. Dabei kann es zu Alarmen, Beeinträchtigungen oder gar Systemabstürzen kommen. Die Folge: IT-Verantwortliche beschränken die Analyse der Schwachstellen auf das Nötigste und auf die als typisch gesehene IT-Infrastruktur wie Server und Clients. Doch zu einem Unternehmensnetzwerk gehört weitaus mehr.

Einfallstor für Schadcode

Die meisten Industriesteuerungen arbeiten heute auf der Basis mehr oder weniger komplexer Software-Applikationen. Die Vielfalt reicht dabei von in der Produktion eingesetzten Raspberry Pis über hochspezialisierte Produktionssteuerungssysteme bis hin zu komplexen Robotersteuerungen. SCADA-Systeme, die oft bei Kraftwerken und Industrieversorgern zum Einsatz kommen, sowie speicherprogrammierbare Steuerungen haben spätestens seit Stuxnet einen klaren Platz in der IT-Security-Strategie verdient.

Doch gerade bei Schwachstellen-Scans werden diese Embedded-Systeme oft vernachlässigt. Das birgt ein hohes Risiko – nicht nur für die Produktionsanlage, für die das Embedded-System arbeitet, sondern für das gesamte Unternehmensnetzwerk. Ein Beispiel: Ein Client-seitiger Angriff wie etwa gezielt verschickte, manipulierte Office-Dokumente mit Macroviren werden von einem Angreifer ins interne Firmennetzwerk geschleust. Dort findet er häufig eine typisch mittelständische IT-Umgebung eines Industrieunternehmens vor: flache Netzwerkstrukturen ohne Separierung. Spezialisierte Angriffswerkzeuge zeigen nun schnell auf, welche Systeme lange nicht gepatcht wurden – in diesem Fall vielleicht eine geschäftskritische Produktionsumgebung mit einer IT-Steuerung. Hat sich ein Angreifer erst einmal in diesen Systemen eingenistet und übersteht er vielleicht sogar die Sicherheits-Checks eines spezialisierten IT-Security-Dienstleisters, kann er sich noch Wochen später in dem kompromittierten Netzwerk herumtreiben.