Der Firewall-Router “Microwall Gigabit” weist dem Steuerrechner der CNC-Fräse ein dediziertes Netzwerksegment zu und schränkt die Kommunikation mit diesem Netzwerksegment durch Filterregeln stark ein.

Der Firewall-Router “Microwall Gigabit” weist dem Steuerrechner der CNC-Fräse ein dediziertes Netzwerksegment zu und schränkt die Kommunikation mit diesem Netzwerksegment durch Filterregeln stark ein. Wiesemann & Theis

Im Jahr 2017 fraß sich WannaCry weltweit durch Netzwerke und die mediale Öffentlichkeit. Der Kryptotrojaner nutzte eine Schwachstelle in der Datei- und Druckerfreigabe von Windows-Netzwerken aus. Er war in seiner Schadwirkung so massiv, dass Microsoft nicht nur die aktuellen Betriebssysteme patchte, sondern auch Sicherheitsupdates für Produkte bereitstellte, die bereits aus dem erweiterten Support gelaufen waren.

Damit zeigte WannaCry auf eindrucksvolle Weise, welche Gefahrenpotenziale sich aus dem Betrieb nicht notwendiger Netzwerkdienste ergeben. Es scheint naheliegend, überflüssige Dienste einfach zu deaktivieren. Nicht immer ist jedoch klar, welche Dienste es zwischen Teilkomponenten einer Anlage wirklich braucht. Darüber hinaus können Veränderungen an Maschinen unter Umständen zu einem Verlust der Zertifizierung und somit zu einem Haftungsübergang auf den Betreiber führen.

Deshalb hat Wiesemann & Theis mit der Kleinfirewall Microwall Gigabit eine einfach handzuhabende Alternative für den Schutz von Produktionssystemen entwickelt. Hierbei handelt es sich um eine einfache 2-Port-Firewall, die nach dem Whitelist-Prinzip arbeitet. Das bedeutet: Alle zulässigen Verbindungen müssen explizit freigegeben werden.

Ende des Supports droht

Doch zurück in die Fertigung: Dort ist die Fräse an einen Windows-Steuerrechner angeschlossen, auf dem die CNC-Software läuft. Dieser PC ist mit zwei Netzwerkschnittstellen ausgestattet: Eine verbindet den Rechner mit der Fräse, die andere bindet ihn in das Produktionsnetzwerk ein. Sollte für den gegenwärtigen Stand des Betriebssystems eine Sicherheitslücke entdeckt werden, ist mit einem zeitnahen Sicherheitsupdate durch Microsoft zu rechnen. Nach dem Ende des erweiterten Supports im Jahr 2020 gibt es im Normalfall jedoch keine Sicherheitsupdates mehr. Bei Bekanntwerden einer Sicherheitslücke könnte ein Angreifer versuchen, den Steuerrechner zu kompromittieren und würde im Erfolgsfall das Gerät selbst, aber auch das umgebende Netzwerk bedrohen.

Aus diesem Grund beschloss das Unternehmen die Fräse durch die Verinselung isolieren. Dabei wurde mit Hilfe der Microwall Gigabit die Fräse in ein eigenes Netzwerksegment ausgelagert und die zulässige Kommunikation mit diesem Netzwerksegment über Firewallregeln stark eingegrenzt.

Offene Ports als Sicherheitslücken

Der Firewall-Router lässt sich direkt am zu isolierenden Computer installieren.

Der Firewall-Router lässt sich direkt am zu isolierenden Computer installieren. Wiesemann & Theis

Eine kurze Analyse der gegenwärtigen Situation mit dem Portscanner nmap offenbarte Beunruhigendes: Der Steuerrechner zeigte zwölf offene Ports, die im Netzwerk erreichbar sind, unter anderem einen Webserver. Ein zweiter, intensiver Scan fand insgesamt 24 offene TCP-Ports. Bei dem Webserver handelt es sich um einen unkonfigurierten Internet-Information-Server 7.5, der bekannte Schwachstellen aufweist, die zur Remote-Code-Execution führen können. Das bedeutet, dass ein Angreifer über das Netzwerk beliebige Programme ausführen kann – ein Lottogewinn für Hacker. Pikantes Detail: Der Webserver scheint nichts anderes auszuliefern als eine Informationsseite, ist also aller Wahrscheinlichkeit nach ebenso überflüssig wie die anderen offenen Ports.

Hintergrundwissen Netzwerksicherheit I

Verinselung bedeutet, besonders gefährdete Systeme im Netzwerk zu identifizieren und mit Hilfe von Kleinfirewalls wie der Microwall in einem eigenen Netzwerksegment zu isolieren. Die notwendigen Verbindungen zwischen Systemen auf der Insel und dem umgebenden Netzwerk werden im Vorfeld erfasst und durch eine Positivliste von Regeln beschrieben. So werden nur ausdrücklich zugelassene Datenpakete weitergeleitet, alle anderen verworfen und bei Bedarf protokolliert. Das schützt verinselte Systeme vor Angriffen durch Hacker oder Malware sowie vor menschlichen Fehlern.

Seite 1 von 212