Windows XP in der Automation - Ohne Upgrade weiter sicher?

Produkte & Technologien
Windows XP in der Automation
Ohne Upgrade weiter sicher?
Der Extended Support und die Verfügbarkeit von Security-Updates für Microsoft Windows XP enden im April 2014. Wer industrielle Applikationen auf
Basis dieses Systems darüber hinaus sicher in Betrieb halten will, sollte sich
bald Gedanken über das „Wie“ machen. Die Aufrüstung mit einem neueren
Betriebssystem ist dabei nicht die einzige Option.
Vernetzte Automatisierungskomponenten
mit Microsoft-Windows-Betriebssystemen
sind weit verbreitet und wie PCs in Büronetzen durch regelmäßig neu entdeckte Sicherheitslücken und Verwundbarkeiten
gefährdet. Nach seinen Support-LifecycleRichtlinien sichert Microsoft für Businessund Entwicklerprodukte auf jeweils aktuellem Service Pack Level mindestens fünf
Jahre Mainstream Support und weitere
fünf Jahre Extended Support zu und stellt
während dieser beiden Phasen auch Security-Updates für diese Produkte zur Verfügung. Mit der Lebensdauer von industriellen Maschinen und Anlagen, die nicht
selten 15, 20 und mehr Jahre in Betrieb
bleiben, kann diese Support-Dauer oft dennoch nicht mithalten.
Nachdem zuletzt im Juli 2010 die Windows-2000-Systeme das Ende ihres Support Lifecycles erreicht hatten, wird nun im
April 2014 auch der Extended Support für
Windows XP – nach damit sogar mehr als
zwölf Jahren Lebensdauer – endgültig auslaufen. Sei es aufgrund von IT-Sicherheitsrichtlinien oder schlichter Vernunft und
Sorgfalt: Wer nur nach Stand der Technik
sichere Systeme an sein Produktionsnetz
lassen darf oder will, den bringt dieses Ereignis in Zugzwang.
Nichts tun, Augen zu und einfach „weiter
so“ ist keine gute Handlungsmaxime, wie
ein wenig Statistik zeigt. 2012 gab Microsoft immer noch 39 für die Sicherheit
von Windows XP SP3 relevante SecurityUpdates heraus, davon 25 in ihrer Wichtigkeit mit der höchsten Einstufung „kritisch“
und 14 weitere eine Stufe darunter als
„hoch“ bewertete. Im aktuellen Jahr 2013
erschienen allein von Januar bis April 19
weitere Security-Updates für das System,
darunter neun kritische und zehn hoch
wichtige. Die meisten der damit geschlossenen Sicherheitslücken erlauben Angreifern eine unbefugte Erhöhung von Berech-
58
it-sicherheit [4/2013]
tigungen oder die Ausführung von Remote
Code auf ungeschützten Systemen.
Auch fanden von Januar 2012 bis April
2013 jeden Monat ein bis vier weitere Varianten von Schadsoftware Berücksichtigung
im Windows-Tool zum Entfernen besonders
schädlicher Software. Dazu gehörte zum
Beispiel eine ganze Reihe von BackdoorTrojanern wie Win32/Phdet oder Win32/Nitol, die von Angreifern genutzt werden können, um die befallenen Systeme durch diese
Hintertür zu kontrollieren, verteilte Denialof-Service-Angriffe (DDoS Attacks) auf weitere Ziele darüber zu starten, Sicherheitskomponenten stillzulegen und zu entfernen,
beliebige Dateien herunterladen und ausführen zu lassen oder sensitive Informationen auszuspähen. Was also tun?
Kostenlawine durch Upgrades
Ein naheliegender Lösungsansatz ist das
Upgrade auf ein neueres Betriebssystem,
für das wieder einige weitere Jahre Support
zur Verfügung steht. Doch ein solches Vorhaben zieht schnell eine ganze Kette an
Konsequenzen und Kosten nach sich. So
müssen nicht nur neue Lizenzen beschafft
und neue Systeme installiert, sondern meist
auch noch deren gewachsener Hunger nach
Ressourcen gestillt werden, was Aufrüstung
oder die komplette Neubeschaffung von
Hardware zur Folge haben kann. Dann geht
die Arbeit aber erst richtig los, denn die eigentlichen Nutzapplikationen müssen für
die neue Plattform, auf der sie nur in glücklichen Fällen „einfach so“ klaglos weiterlaufen werden, neu beschafft oder portiert
werden. Handelt es sich gar um zertifizierte
Systeme, sind nach dem Upgrade die im
Branchenkontext relevanten Zulassungsverfahren erneut zu durchlaufen. Diese Kostenlawine mag wegen eventueller, noch
dazu schwer kalkulierbarer Sicherheitsrisiken kaum jemand lostreten.
Schutz durch Nachrüstung von
Security-Appliances
Eine kostengünstigere Alternative zum Upgrade ist die Sicherung der Infrastruktur.
Praktisch allen hier betrachteten Sicherheitsrisiken ist gemeinsam, dass sie auf
Schwachstellen und Verwundbarkeiten von
Protokollen oder Diensten basieren, die
durch Angreifer und insbesondere Schadsoftware von bereits infizierten Systemen
aus über ein IP-basiertes Netzwerk ausgenutzt werden können, um Schäden anzu-
Industrie-PCs und eingebettete Komponenten auf Basis von Windows-Betriebssystemen sind in
der industriellen Automatisierung weit verbreitet. Foto: Innominate
Produkte & Technologien
richten und sich weiter zu verbreiten. Wenn
man mangels weiterer Security-Updates
schon nichts mehr gegen neu entdeckte
„Krankheiten“ tun kann, bleibt also immer
noch die Möglichkeit, die „Ansteckungsgefahr“ für das alte System stark zu reduzieren, indem man seine Kommunikation auf
die Partner, Protokolle, Ports und Verbindungsrichtungen beschränkt, die für das
Funktionieren der Gesamtanlage wirklich
erforderlich sind. Nicht vom System selbst
initiierte, sondern von außen dort eingehende Verbindungen können dabei größtenteils unterbunden werden. Aber auch
von innen nach außen muss längst nicht alles erlaubt bleiben, zum Beispiel der Zugriff
auf beliebige File-Shares und Server im Firmennetz, geschweige denn ins Internet.
Die Kontrolle und Filterung der in Ethernetund IP-basierten Netzwerken zunächst einmal unbeschränkten Kommunikation ist
Aufgabe von Firewalls. Eben solche lassen
sich in Form industrieller Network-SecurityAppliances kostengünstig und dezentral
genau dort nachrüsten, wo sie aus den hier
diskutierten Gründen benötigt werden.
Technologien wie beispielsweise mGuard
von Innominate kommen in verschiedenen
Bauformen, die sich im Schaltschrank auf
Hutschiene, in 19-Zoll-Schränken, extern an
PCs mit Stromversorgung über USB oder als
PCI-Karte gleich im PC-Gehäuse verbauen
lassen. Durch einen Stealth Mode lassen
sich die Geräte transparent in ein bestehendes Netzwerk nachrüsten. Sie übernehmen
dabei automatisch die MAC- und IP-Adressen ihres jeweiligen Schützlings, so dass
weder zusätzliche Adressen für das Management der Geräte selbst vergeben noch
sonst irgendwelche Änderungen an der
Netzwerkkonfiguration vorgenommen werden müssen. Wichtig ist, dass die Geräte
auch im adresstechnisch transparenten Betrieb ihre Aufgaben als Stateful-Packet-Inspection-Firewall wahrnehmen und anhand
eines konfigurierbaren Regelwerks den
Netzwerkverkehr von und zu den zu schützenden Systemen überwachen und filtern.
Dies sollte bidirektional in „wire-speed“
laufen, um keinen Flaschenhals im Netzwerk zu bilden. Es empfiehlt sich, dass diese
Security-Appliances über eine flexible
Flash- und Rollout-Prozedur ausgerollt und
sowohl einzeln über ein Web-Interface als
auch gemeinsam zentral über einen DeviceManager verwaltet werden können.
Zahlreiche Anwender, etwa aus der Automobilindustrie, haben mit diesem Schutzkonzept bereits seit Jahren gute Erfahrungen gemacht und viele der noch älteren
produktionsnah eingesetzten WindowsSysteme von Windows 95 bis Windows
2000 geschützt und sicher in Betrieb gehalten. Auch den vielen Embedded PCs, die
aufgrund von Zertifizierungen, Garantieansprüchen oder Sorge vor Update-bedingten
Störungen von vornherein und nicht erst
nach Ende ihres Extended Supports als
nicht patchbar eingestuft werden, kann
nach dem gleichen Prinzip zu mehr Sicherheit verholfen werden.
Für den Bedarfsfall sollten die Appliances
noch weitere Sicherheitsmechanismen bieten: etwa eine User-Firewall zur gezielten
Berechtigung einzelner Benutzer, VPN-Technologie zur Authentisierung und Verschlüsselung oder CIFS Integrity Monitoring zur
Überwachung von Windows-Dateisystemen
auf unerwartete Veränderungen – eine industrietaugliche Alternative zu herkömmlicher Antivirus-Software. CIFS (Common Internet File System) bezeichnet dabei das
von Windows genutzte File-Sharing-Verfahren inklusive des Server-Message-BlocksProtokolls SMB.
Fazit
Windows-XP-Systeme über den April 2014
hinaus sicher in Betrieb zu halten, bleibt
unabhängig von der Methode ein Projektvorhaben mit angemessenem Zeitbedarf
für die Analyse von Alternativen sowie die
Entscheidung, Vorbereitung und Durchführung. Es ist daher Zeit zum Handeln. Und
gleich zum Vormerken: Der Extended Support für Windows XP Embedded läuft übrigens noch bis Januar 2016.
n
Quellen:
ƒƒ Microsoft Support Lifecycle:
http://support.microsoft.com/lifecycle/
ƒƒ Microsoft Security Bulletins
http://technet.microsoft.com/de-de/security/
bulletin
ƒƒ Microsoft Windows Malicious Software
Removal Tool
http://www.microsoft.com/security/pc-security/malware-removal.aspx
ƒƒ http://support.microsoft.com/?kbid=890830
Dieser Anblick wird bald rar: Im April 2014 endet der Extended Support für
Windows XP, Quelle: Innominate
Für Abonnenten ist dieser Artikel auch digital auf www.datakontext.com verfügbar
Torsten Rössel,
Chief Marketing Officer bei der Innominate
Security Technologies AG
it-sicherheit [4/2013]
59