Stories
27.05.2009

Windows 2000: Schutz durch Nachrüstung von Security Appliances

Extended Support und Security Updates für Windows 2000 enden im Juli 2010. Wer industrielle Applikationen auf Basis von Windows 2000 über den Sommer 2010 hinaus sicher in Betrieb halten will, sollte daher jetzt schon handeln...

Extended Support und Security Updates für Windows 2000 enden im Juli 2010. Wer industrielle Applikationen auf Basis von Windows 2000 über den Sommer 2010 hinaus sicher in Betrieb halten will, sollte daher jetzt schon handeln. Aber gibt es überhaupt lebensverlängernde Alternativen zum Wechsel auf ein neueres Betriebssystem? Die Antwort lautet "ja".

Industrie-PC und eingebettete Komponenten auf Basis von Windows-Betriebssystemen sind in der industriellen Automatisierung weit verbreitet

Industrie-PC und eingebettete Komponenten auf Basis von Windows-Betriebssystemen sind in der industriellen Automatisierung weit verbreitet

Vernetzte industrielle Automatisierungskomponenten mit Microsoft-Windows-Betriebssystemen sind heute weit verbreitet. Allerdings sind sie ebenso wie ihre Pendants in Büronetzen durch regelmäßig neu entdeckte Sicherheitslücken und Verwundbarkeiten gefährdet. Microsoft bietet für Business- und Entwicklerprodukte einen Mindestzeitraum von zehn Jahren an Support (5 Jahre Mainstream Support und 5 Jahre Extended Support), und stellt für diese Produkte bis einschließlich der Extended-Support-Phase auch Sicherheitsupdates zur Verfügung. In Anbetracht der langen Lebensdauer von Investitionsgütern, wie industriellen Maschinen und Anlagen, die nicht selten 15, 20, und noch mehr Jahre in Betrieb bleiben, ist jedoch auch diese Support-Dauer nicht ausreichend.

 

Für Windows 2000 endete der Mainstream Support im Juni 2005; im Juli 2010 wird nun auch der Extended Support ablaufen. Die Erfahrung mit früheren Betriebssystemen zeigt, dass auch nach zehn Jahren noch einiges passieren kann. So gab Microsoft 2008 immer noch 36 für Windows 2000 relevante Sicherheitsupdates heraus, davon 19 mit der höchsten Einstufung „Critical“ und 16 weitere eine Stufe tiefer als „Important“ deklariert. Auch im ersten Quartal des Jahres 2009 erschienen noch fünf weitere Sicherheitsupdates für das System: zwei kritische und drei wichtige. Zudem fand von Januar bis März 2009 jeden Monat eine weitere Schadsoftware Berücksichtigung im Windows-Tool zum Entfernen besonders schädlicher Software, darunter der Win32/Conficker Wurm, der die Benutzung von Diensten, wie Windows Update, Windows-Sicherheitscenter, Windows Defender und Windows-Systemprotokoll, blockiert, um seine eigene Entfernung möglichst zu verhindern, und sich durch Nachladen von Code aus dem Netz selbst wandeln kann, sowie Win32/Srizbi, der Trojaner zu einem der weltweit größten Spam Botnetze.

Im Juli 2010 endet der Extended Support für Windows 2000

Im Juli 2010 endet der Extended Support für Windows 2000

Alternative: Upgrade

Ein naheliegender Lösungsansatz ist natürlich der Upgrade auf ein neueres Betriebssystem, für das wieder einige weitere Jahre Support zur Verfügung steht. Ein solches Vorhaben ist mit Konsequenzen und Kosten verbunden. So müssen nicht nur neue Lizenzen gekauft und neue Systeme installiert, sondern auch deren zumeist gewachsener Hardware-Ressourcen-Bedarf erfüllt werden. Die Folge ist oftmals das Aufrüstungen oder die komplette Neubeschaffung von Hardware.

 

Mit Ende des Supports versiegt auch die Quelle für Sicherheitsupdates – weitere Sicherheitslücken sind dennoch wahrscheinlich

Mit Ende des Supports versiegt auch die Quelle für Sicherheitsupdates – weitere Sicherheitslücken sind dennoch wahrscheinlich

Nachrüstung von Security Appliances

Praktisch allen hier betrachteten Software-Sicherheitsrisiken ist gemeinsam, dass sie auf Schwachstellen und Verwundbarkeiten von Protokollen oder Diensten basieren, die durch Angreifer, insbesondere sogenannte „Exploits“ in Schadsoftware von bereits infizierten Systemen aus über ein IP-basiertes Netzwerk ausgenutzt werden können, um Schäden anzurichten und sich weiter zu verbreiten. Wenn nun also mangels weiterer Sicherheits-Updates nichts mehr gegen neu entdeckte "Krankheiten" machbar ist, bleibt die Alternative, die Ansteckungsgefahr für das alte System zu reduzieren. Möglich ist dies, indem dessen Kommunikation auf die Partner, Protokolle, Ports und Verbindungsrichtungen, die für das Funktionieren der Gesamtanlage erforderlich sind, beschränkt wird. Insbesondere nicht vom System selbst initiierte, sondern von außen dort eingehende Verbindungen können dabei weitgehend und sogar völlig unterbunden werden. Aber auch von innen nach außen sind Einschränkungen möglich, zum Beispiel der Zugriff auf beliebige File Shares und andere Server im Firmennetz, ebenso ins Internet.

 

Die Kontrolle und gezielte Filterung der in Ethernet- und IP-basierten Netzwerken zunächst einmal offenen und uneingeschränkten Kommunikation ist die Aufgabe von Firewalls. Solche lassen sich in Form industrieller Network Security Appliances dezentral dort nachrüsten, wo sie aus den hier diskutierten Gründen benötigt werden. Ein Beispiel ist die "mGuard"-Technologie von Innominate. Die Produktfamilie umfasst eine ganze Familie solcher Geräte in verschiedenen Bauformen, die sich im Schaltschrank auf Hutschiene, in 19-Zoll-Schränken, mit Stromversorgung über USB extern an PC, oder als PCI-Karte im PC-Gehäuse verbauen lassen. Durch ihren patentierten Single Stealth Mode lassen sich die Geräte transparent in ein bestehendes Netzwerk nachrüsten. Sie übernehmen dabei automatisch die MAC- und IP-Adressen ihres jeweiligen Systems, sodass weder zusätzliche Adressen für das Management der Geräte selbst vergeben noch sonstige Änderungen an der Netzwerkkonfiguration der beteiligten Systeme vorgenommen werden müssen. Trotz dieses bzgl. der Netzwerktopologie transparenten Betriebs überwachen und filtern sie als Stateful Packet Inspection Firewall anhand eines konfigurierbaren Regelwerks den Netzwerkverkehr von und zu den so geschützten Systemen. Dabei verhindert der bidirektionale „Wire Speed“, dass sie zum Flaschenhals für ein 100 Mbit/s-Ethernet-Netzwerke werden. Die "mGuard" Security Appliances können durch eine flexible, skriptbare Flash- und Rollout-Prozedur ausgerollt und sowohl einzeln über ein integriertes Web Interface als auch gemeinsam zentral über den Innominate Device Manager verwaltet werden.

 

Netzwerksicherheit für nicht (mehr) patchbare industriell eingesetzte Windows-Systeme lässt sich mit den Innominate

Netzwerksicherheit für nicht (mehr) patchbare industriell eingesetzte Windows-Systeme lässt sich mit den Innominate "mGuard" Security Appliances transparent in verschiedenen Bauformen nachrüsten

Bei Bedarf kann die Sicherheit mit weiteren auf den Geräten vorhandenen Mechanismen noch weiter erhöht werden, zum Beispiel durch eine User Firewall zur gezielten Berechtigung individuell angemeldeter Benutzer, durch VPN-Technologie (Virtual Private Networking) zur sicheren Authentisierung von Gegenstellen und Verschlüsselung von Datenverkehr, oder durch die "mGuard" CIFS Integrity Monitoring Funktionalität zur Überwachung auf Basis von CIFS/SMB (Common Internet File System, Server Message Blocks) freigegebener Windows-Dateisysteme auf unerwartete Veränderungen. Kunden, etwa aus der Automobilindustrie, haben mit diesem auf Security Appliances basierten Schutzkonzept bereits seit Jahren gute Erfahrungen gemacht und viele der noch älteren produktionsnah eingesetzten Windows 95, Windows 98 und Windows NT Systeme auf diese Weise geschützt und sicher in Betrieb gehalten.

 

Nicht patchbare Systeme

Ein regelmäßiges Patch Management ist bei industriell eingesetzten Windows-Systemen eher selten. So ist die Sorge meist groß, dass ein unbedachtes, pauschales Einspielen von Sicherheitsupdates ohne ausgiebige und damit (zu) teure vorherige Tests die Funktion, Stabilität und Qualität sorgfältig abgestimmter Prozesse in Mitleidenschaft ziehen könnte. Entsprechend gilt eher „Never change a running system“ und nicht ein obligatorischer monatlicher Patch-Day als vorherrschende Maxime in der Produktion. Die mögliche Gefährdung von Zertifizierungen und Garantieansprüchen gegenüber Maschinen- und Anlagenlieferanten ist das endgültige k.o.-Kriterium, sodass gerade viele Embedded PC-Systeme von vornherein als nicht patchbar eingestuft werden müssen – nicht erst nach Ende ihres Extended Supports. Auch all diesen Systemen kann nach dem oben beschriebenen Prinzip zu mehr Sicherheit verholfen werden.

 

Fazit

Windows-2000-Systeme sicher in Betrieb zu halten, bleibt unabhängig von der Methode ein Projektvorhaben mit angemessenem Zeitbedarf für Analyse und Bewertung von Alternativen, Entscheidung, Planung, Vorbereitung und Durchführung. Die richtige Zeit zum Handeln beginnt jetzt. Am 14. April 2009 ist der Mainstream Support für das darauf laufende Windows XP Professional geendet; der Extended Support läuft noch bis April 2014.

Torsten Rössel

Torsten Rössel ist Director Business Development bei der Innominate Security Technologies AG in Berlin.

 

Weitere Informationen unter www.innominate.de.

 

Quellen

Microsoft Support Lifecycle

support.microsoft.com/lifecycle/

Microsoft Security Bulletin Search

www.microsoft.com/technet/security/current.aspx

 

 

Industrie 4.0 Innovation Award

Erstmals wird in diesem Jahr der Industrie 4.0 Innovation Award vom VDE VERLAG in Zusammenarbeit mit dem ZVEI ausgeschrieben. Die Ausschreibung richtet sich an alle Unternehmen und Institutionen aus dem In- und Ausland. Zur Teilnahme zugelassen sind Produkte und Innovationen, die einen gewinnbringenden bzw. unterstützenden Beitrag im Zusammenhang mit Industrie 4.0 leisten.

Lesen Sie mehr...

Produktberater für IP20-IO-Systeme

Finden Sie die passenden IP20-IO-Systeme mit dem Online-Produktberater Wie in einem Beratungsgespräch werden Sie interaktiv an die am besten passenden Produkte herangeführt.

Lesen Sie mehr...

7 Mythen der Versionsverwaltung & Datensicherung

Ab wann macht es für die Produktion Sinn, über den Einsatz speziell auf die Automati-
sierungstechnik abgestimmter Versionsverwal-
tungssysteme nachzudenken und worauf sollte bei der Auswahl geachtet werden?
Das Whitepaper von Auvesy liefert die passenden Antworten.

Lesen Sie mehr...

In eigener Sache: Special Industrie 4.0

Das Thema Industrie 4.0 ist einer der größten Wachstumstreiber für die deutsche Industrie. In insgesamt drei Specials Industrie 4.0 informieren wir Sie in Interviews, Grundlagenberichten, Praxisbeiträgen usw. über Wissenswertes.

» E-Paper jetzt downloaden ...

» zur Android-App ...

» zur iPhone-/iPad-App...

Video-Tipp

der Redaktion

ZVEI nachgefragt mit Roland Bent zum Thema Industrie 4.0

ZVEI nachgefragt auf der SPS IPC Drives 2015 im November in Nürnberg zum Thema Anwendungsbeispiele in Industrie 4.0, mit Roland Bent von Phoenix Contact.

Zum Schmunzeln

Vorsatz für 2016: 10 Kilo abnehmen - fehlen nur noch 13!

Copyright © VDE VERLAG GMBH, zuletzt aktualisiert am 30.05.2016