Das Jahr 2017 hatte für die rasant fortschreitende Digitalisierung jeglicher Prozesse, Systeme und Geschäftsmodelle mit den Schadprogrammen »Industroyer«, »WannaCry«, »NotPetya« und »Reaper« bereits einiges an Störpotential in petto. Mit den neu bekannt gewordenen Schwachstellen »Meltdown« und »Spectre« steht die Entwicklung neuer digitaler Konzepte z.B.  für Industrie 4.0-Anwendungen oder Smart Citites nun vor noch größeren Herausforderungen. Denn während »Meltdown« über Software-Updates geschlossen werden kann, liegt bei »Spectre« eine Schwachstelle vor, mit der Unternehmen noch eine ganze Weile leben müssen. Sie kann nur durch multiple Patches unter signifikanter Reduzierung der Hardwareperformance oder durch einen umfassenden Hardwarewechsel behoben werden. Damit stehen Sicherheit und Stabilität von Netzwerken langfristig auf dem Spiel.

»Meltdown« & »Spectre« are here to stay

Das Problem mit »Meltdown« und »Spectre« lässt sich folgendermaßen zusammenfassen: Beide Schwachstellen erlauben das umfassende und tiefgreifende Auskundschaften von IT-Systemen und damit die Etablierung weit aufgerissener Zugangstore, durch die sensible Daten (z. B. Passwörter) direkt aus dem System abgefragt werden können – ohne Gegenwehr der Peripheriesicherungen wie Firewalls und Virenscanner. »Meltdown« und »Spectre« selbst stellen damit nicht die einzige Gefahr dar. Es sind die Schadprogramme, die in nächster Zukunft diese Lücken ausnutzen, Daten stehlen und Prozesse stören werden. Die Hersteller der Betriebssysteme für Windows, MacOS, IOS und Linux haben zwar bereits mit Patches geantwortet, jedoch stehen insbesondere Unternehmen vor vier Problemstellungen:

1. Nur wer absolute Transparenz über sein Netzwerk besitzt, kann auch sicherstellen, dass alle Komponenten auf dem aktuellen Stand sind.
2. In vielen Netzwerken finden sich Komponenten, auf denen noch immer Betriebssystemversionen laufen, die nicht mehr unterstützt werden.
3. Insbesondere in industriellen Steuernetzen und in der Fernwirktechnik sog.  Kritischer Infrastrukturen ist ein zeitnahes Update oftmals nicht möglich, ohne Betriebsunterbrechungen in Kauf zu nehmen.
4. Die Schwachstelle »Spectre« ist softwareseitig nur sehr schwer und partiell patchbar. Diese Schwachstelle wird auch in Zukunft aktiv sein und das Ziel von Schadprogrammen sein.

Auch Industrie 4.0 und KRITIS sind betroffen

Dabei ist es unerheblich, ob ein Unternehmen vor allem IT-Netzwerke aufweist oder vernetzte Steuerungssysteme betreibt. Auch ob im Netzwerk Komponenten zum Einsatz kommen, die nicht anfällig für »Spectre« und »Meltdown« sind, ist nicht relevant. Im Fertigungsbereich finden sich z. B. mehrheitlich ARM-Prozessoren, bei denen sich die Ausnutzung der Schwachstellen komplexer (aber nicht unmöglich) gestaltet.

Eine Garantie für Sicherheit ist das dennoch nicht. Denn in einer vernetzten Industrie-4.0-Umgebung reicht ein einziges anfälliges Gerät, um Zugang auf das gesamte Netzwerk zu erhalten und Schadsoftware einzuschleusen. Das kann auch der einfache Bürodrucker sein. Sobald ein Angreifer ein einziges Gerät erfolgreich kompromittiert hat, kann er über die Schwachstellen relevante Daten abfragen, um tiefer ins Netzwerk vorzudringen.

Mit Defense-In-Depth gegen Effekte von Exploits absichern

Was bleibt Industrieunternehmen also angesichts von »Meltdown« und »Spectre«? In Zukunft werden Unternehmen damit leben müssen, dass die klassischen (abwehrenden) IT-Sicherheitssysteme unterwandert werden können. Unternehmen sollten deshalb auf eine Defense-In-Depth-Strategie setzen, die sich nicht nur auf die Absicherung der Grenzanlagen ihrer Netzwerke beschränkt. Denn wenn an den Grenzen der Netzwerke und auf Endgeräten motiviert durch »Spectre« und »Meltdown« ganz legitim Tore geöffnet werden, hilft keine Firewall und kein Virenscanner. Die Wächter sind dann blind und taub. Und wir können davon ausgehen, dass in den nächsten Jahren weitere strukturelle Schwachstellen öffentlich werden, die Cyberkriminelle (und staatliche Akteure) womöglich bereits heute ausnutzen.

Der Level-1-Absicherung durch Firewall und Co. muss deshalb ein Sicherheitsnetz hinzugefügt werden, das die Vorfälle erkennt, denen gegenüber die Level-1-Absicherung wirkungslos ist. In industriellen Umgebungen wie der Automatisierungsindustrie, Prozesstechnik, Energie- und Wasserwirtschaft kann eine industrielle Anomalieerkennung dieses Sicherheitsnetz bilden.

Eine automatische industrielle Anomalieerkennung überwacht als System für ein kontinuierliches Network Condition Monitoring die gesamte Kommunikation innerhalb eines Steuernetzes. Sie schafft damit nicht nur vollständige Transparenz über alle Akteure und Kommunikationsflüsse im Netzwerk. Sie erkennt und meldet auch jede neuartige oder veränderte Kommunikation, die im Steuernetz auftaucht. Eine Schadsoftware, die über eine Schwachstelle in das Netzwerk eingeschleust wurde, macht sich vor allem durch ihre Kommunikation, z. B. in Form von Request, Port-Scans und Datentransfers, innerhalb des Netzwerks bemerkbar. Eine industrielle Anomalieerkennung detektiert diese Kommunikation sofort als Abweichung im Steuernetz und meldet sie in Echtzeit an den Administrator.

Ist die Anomalieerkennung als rückwirkungsfreies, passiv Monitoringsystem in das zu überwachende Netzwerk integriert, ist es dabei selbst nicht von einer möglichen Kompromittierung des Netzwerkes betroffen.

Der Fokus bisheriger Netzwerksicherheitsstrategien, Bedrohungen bereits an den Grenzen abzuwehren, wird mit einer automatischen Anomalieerkennung somit um einen weiteren Aspekt ergänzt: Erfolgreiche, für die Grenzwächter Firewall & Co. unsichtbare Eindringlinge und Kommunikationsänderungen im System werden ausfindig und sichtbar gemacht, bevor sie ernsthaften Schaden anrichten können. Diese Level-2-Absicherung gewährleistet, dass Betreiber industrieller Steuernetze auf alle Eventualitäten adäquat und effizient reagieren können. Es ist an der Zeit, umzudenken.