Stuxnet - Trojaner bedroht PLS-Systeme
Die Schadsoftware Stuxnet dringt im Sommer 2010 in
das System eines führenden deutschen PLS-Herstellers ein und stellt damit die
herkömmliche Cyber-Abwehr im Automatisierungsbereich in Frage. Mit HIPS, einem
neuen Host Intrusion Prevention System von Industrial Defender Inc. lassen sich
SCADA-Systeme nachhaltig vor Malware schützen - Stuxnet hätte keine Chance
gehabt.
Stuxnet hat sich per Stick und gültigem Zertifikat über eine Windows-Lücke in das weit verbreitete Leitsystem eingeschleust. Obwohl zunächst keine erkennbaren Schäden aufgetreten sind, zeigt der Vorfall doch exemplarisch die Schwachstellen und Probleme aktueller Abwehrkonzepte auf.
So sind die Aktualisierung von Virenscannern und das Patchen von Betriebssystemen beides Prozesse, die nicht mit dem Echtzeitcharakter von Steuerungssystemen in Einklang zu bringen sind. Dies betrifft vor allem die Sicherheit und Verfügbarkeit, aber auch die Performance dieser Anlagen. „Never change a running System" ist nicht von ungefähr der Wunsch eines jeden Betriebsleiters für seine produktionsnahen IT-Systeme. Dahingegen verlangen sowohl Scannen wie auch Patchen kontinuierlich Systemeingriffe und erfordern immense Aufwände um die Anlagenverfügbarkeit zu gewährleisten.
Genau auf dieses Dilemma zielt die Software-Lösung HIPS, indem sie das Eindringen von Schadsoftware in Steuerungs- und Leitsystemrechner verhindert. Dazu wird HIPS auf den Rechnern installiert und überwacht kontinuierlich, dass dort nur erlaubte und erprobte Software-Tasks ausgeführt werden. Diese sind in einer fälschungssicher signierten HIPS-Whitelist abgelegt. Anders als bei Scannern, die mit einer millionenschweren Negativ-Liste vergleichen, greift HIPS also nur auf eine sehr kurze Positiv-Liste zurück und verhindert aktiv die Ausführung darin nicht gelisteter Applikationen, so auch jeder Art von Malware - egal auf welchem Wege sie eingedrungen ist. Genauere Informationen finden sie im HIPS Datenblatt.(PDF)
Die Vorteile dieses neuen Abwehrkonzeptes liegen für Leitsystem-Betreiber und -Hersteller auf der Hand. Die Whitelist ist immer aktuell, ganz egal, was im Cyber-Space passiert. Die Systeme können bis zum nächsten Software-Release des Herstellers eingefroren werden, Pflege- und Supportaufwände entfallen. Die Lösung ist herstellerunabhängig und deckt alle aktuellen und früheren Windows-Varianten bis NT4 ab.
Weiter Informationen sinden sie im Industrial Defender Blog (http://findingsfromthefield.com/)
