Vernetzte Automatisierungskomponenten mit Microsoft Windows Betriebssystemen sind heute weit verbreitet und wie ihre Pendants in Büronetzen durch regelmäßig neu entdeckte Sicherheitslücken und Verwundbarkeiten gefährdet. Nach seinen aktuell gültigen Support-Lifecycle-Richtlinien für Business- und Entwicklerprodukte sichert Microsoft fünf Jahre Mainstream Support und weitere fünf Jahre Extended Support zu und stellt während dieser zehn Jahre auch Security Updates für diese Produkte zur Verfügung. Mit der Lebensdauer von industriellen Maschinen und Anlagen, die nicht selten 15, 20, und mehr Jahre in Betrieb bleiben, kann diese Support-Dauer aber häufig nicht mithalten. Nach Windows 95, Windows NT 4.0, Windows 98 und Windows CE 3.0 in den Jahren 2001 bis 2007 ist es im Juli 2010 für eine Generation der Microsoft-Betriebssysteme mal wieder soweit: auch der Extended Support für Windows 2000 wird dann auslaufen. Wenn die IT-Sicherheitsrichtlinien Ihres Unternehmens es vorschreiben, oder Sie schlicht Vernunft und Sorgfalt walten und nur nach Stand der Technik sichere Systeme an Ihr Produktionsnetz lassen, bringt Sie ein solches Ereignis in Zugzwang. Was soll schon nach zehn Jahren noch passieren? Allerhand! Nichts tun, Augen zu, und einfach \’weiter so\‘ ist keine gute Alternative wie ein wenig Statistik zeigt. In 2008 gab Microsoft immer noch 36 für die Sicherheit von Windows 2000 relevante Aktualisierungen heraus, davon 19 mit der höchsten Einstufung \’Critical\‘ und 16 weitere eine Stufe tiefer als \’Important\‘ deklarierte. Im aktuellen Jahr 2009 erschienen allein bis Mitte Oktober sogar 41 weitere Security Updates für das System, darunter 27 kritische und 13 wichtige. Auch fand von Januar bis Oktober 2009 jeden Monat mindestens eine weitere Schadsoftware Berücksichtigung im Windows-Tool zum Entfernen besonders schädlicher Software. Dazu gehörte etwa der aggressive Win32/Conficker Wurm, der auch etliche industrielle Netze befallen hat, sich durch Nachladen von Code aus dem Netz selbst wandeln kann und diverse Windows-Sicherheitsdienste blockiert, um seine eigene Entfernung möglichst zu verhindern. Weitere Beispiele waren der vielseitig gefährliche Trojaner Win32/Waledac und der Downloader Win32/Bredolab, der gleich eine ganze Menge übler Malware und Spyware von überwiegend in Russland und China befindlichen Servern hinter sich einschleppt. Was also tun? Teure Upgrades Ein naheliegender Lösungsansatz ist das Upgrade auf ein neueres Betriebssystem, für das wieder einige weitere Jahre Support zur Verfügung steht. Doch ein solches Vorhaben zieht schnell eine ganze Kette an Konsequenzen und Kosten nach sich. So müssen nicht nur neue Lizenzen beschafft und neue Systeme installiert, sondern meist auch noch deren gewachsener Hunger nach Ressourcen gestillt werden, was Aufrüstung oder komplette Neubeschaffung von Hardware zur Folge haben kann. Dann geht die Arbeit aber erst richtig los, denn die eigentlichen Nutzapplikationen müssen für die neue Plattform, auf der sie nur in glücklichen Fällen \’einfach so\‘ klaglos weiter laufen werden, neu beschafft oder portiert werden. Handelt es sich gar um zertifizierte Systeme, sind nach dem Upgrade die im Branchenkontext relevanten Zulassungsverfahren erneut zu durchlaufen. Diese Kostenlawine mag wegen eventueller, noch dazu schwer kalkulierbarer Sicherheitsrisiken kaum jemand lostreten. Das muss doch auch anders und günstiger gehen. Geht es auch. Schutz durch Nachrüstung von Security Appliances Praktisch allen hier betrachteten Sicherheitsrisiken ist gemeinsam, dass sie auf Schwachstellen und Verwundbarkeiten von Protokollen oder Diensten basieren, die durch Angreifer und insbesondere Schadsoftware von bereits infizierten Systemen aus über ein IP-basiertes Netzwerk ausgenutzt werden können, um Schäden anzurichten und sich weiter zu verbreiten. Wenn man mangels weiterer Security Updates schon nichts mehr gegen neu entdeckte Krankheiten tun kann, bleibt einem also immer noch die Alternative, die Ansteckungsgefahr für das alte System stark zu reduzieren, indem man seine Kommunikation auf die Partner, Protokolle, Ports und Verbindungsrichtungen beschränkt, die für das Funktionieren der Gesamtanlage erforderlich sind. Nicht vom System selbst initiierte sondern von außen dort eingehende Verbindungen können dabei größtenteils unterbunden werden. Aber auch von innen nach außen muss längst nicht alles erlaubt bleiben, z.B. der Zugriff auf beliebige File Shares und Server im Firmennetz, geschweige denn ins Internet. Die Kontrolle und Filterung der in Ethernet- und IP-basierten Netzwerken zunächst einmal unbeschränkten Kommunikation ist Aufgabe von Firewalls. Eben solche lassen sich in Form industrieller Network Security Appliances kostengünstig und dezentral genau dort nachrüsten, wo sie aus den hier diskutierten Gründen benötigt werden. So steht etwa mit der mGuard Technologie von Innominate gleich eine ganze Familie solcher Geräte in verschiedenen Bauformen zur Verfügung, die sich im Schaltschrank auf Hutschiene, in 19\“-Schränken, extern an PCs mit Stromversorgung über USB, oder als PCI-Karte gleich im PC-Gehäuse verbauen lassen. Der besondere Clou: durch ihren patentierten Stealth Mode lassen sich die Geräte völlig transparent in ein bestehendes Netzwerk nachrüsten. Sie übernehmen dabei automatisch die MAC- und IP-Adressen ihres jeweiligen Schützlings, so dass weder zusätzliche Adressen für das Management der Geräte selbst vergeben noch sonst irgendwelche Änderungen an der Netzwerkkonfiguration vorgenommen werden müssen. Trotz dieses adresstechnisch transparenten Betriebs überwachen und filtern sie als Stateful Packet Inspection Firewall anhand eines konfigurierbaren Regelwerks den Netzwerkverkehr von und zu den so geschützten Systemen, und dies dank bidirektionalem \’Wire Speed\‘ ohne zum Flaschenhals für ein 100MBit/s Ethernet-Netzwerk zu werden. Die mGuard Security Appliances können durch eine flexible Flash- und Rollout-Prozedur effizient ausgerollt und sowohl einzeln über ein Web Interface als auch gemeinsam zentral über den Innominate Device Manager verwaltet werden. Namhafte Kunden, etwa aus der Automobilindustrie, haben mit diesem Schutzkonzept bereits seit Jahren gute Erfahrungen gemacht und viele der noch älteren produktionsnah eingesetzten Windows 95, Windows 98 und Windows NT Systeme geschützt und sicher in Betrieb gehalten. Auch den vielen Embedded PCs, die aufgrund von Zertifizierungen, Garantieansprüchen oder Sorge vor Update-bedingten Störungen von vornherein und nicht erst nach Ende ihres Extended Supports als nicht patchbar eingestuft werden, kann nach dem gleichen Prinzip zu mehr Sicherheit verholfen werden. Bei Bedarf kann die Sicherheit mit weiteren auf den Geräten vorhandenen Mechanismen noch erhöht werden: etwa durch eine User Firewall zur gezielten Berechtigung einzelner Benutzer, durch VPN-Technologie zur Authentisierung und Verschlüsselung, oder durch das neuartige mGuard CIFS Integrity Monitoring zur Überwachung von Windows-Dateisystemen auf unerwartete Veränderungen (CIFS = Common Internet File System bezeichnet das von Windows genutzte File Sharing Verfahren inklusive des Server Message Blocks Protokolls SMB), welches eine industrietaugliche Alternative zu herkömmlicher Antivirus-Software darstellt. Fazit Eine größere Zahl von Windows 2000 Systemen über den Juni 2010 hinaus sicher in Betrieb zu halten, bleibt unabhängig von der Methode ein Projektvorhaben mit angemessenem Zeitbedarf für Analyse von Alternativen, Entscheidung, Vorbereitung und Durchführung. Es ist daher Zeit zum Handeln. Und falls Sie es gleich vormerken wollen: der Extended Support für Windows XP läuft übrigens noch bis April 2014.
Windows 2000 in der Automation – Zeit zum Handeln
-
Yaskawa eröffnet neues Robotermontage- und Distributionszentrum
Yaskawa baut seine Produktions- und Distributionskapazitäten für Roboter in Europa weiter aus: Am slowenischen Standort Ko?evje eröffneten Hiroshi Ogasawara (Representative Director & Chairman of the Board, Yaskawa Electric…
-
CPO Dr. Wilma Kauke im Interview: Wie Lapp Führung und Unternehmenskultur neu denkt
Zwischen KI, Krisen und Fachkräftemangel
Wirtschaftliche Unsicherheit, Fachkräftemangel, globale Spannungen und künstliche Intelligenz verändern die Arbeitswelt tiefgreifend. Für Dr. Wilma Kauke, Global HR Director & Chief People Officer EMEA bei Lapp, wird Human…
-
Hilscher kombiniert Industrial Ethernet, IIoT und CRA-Readiness auf NetX-90-Basis
Neue CifX-PC-Karten für sichere Industriekommunikation
Hilscher hat zwei neue PC-Karten für die sichere industrielle Kommunikation vorgestellt. Die Karten basieren auf dem NetX-90 System-on-Chip (SoC) und stehen im PCI-Express- sowie im Low-Profile-PCI-Express-Format zur Verfügung.…
-
Vorzeigeprojekt bei SGAC mit Rittal, Rittal Automation Systems und Eplan
Digitale Exzellenz in China
Mit der ‚Smart Manufacturing and Digitized Assembly Factory‘ setzt das chinesische Unternehmen SGAC gemeinsam mit Rittal, Rittal Automation Systems und Eplan neue Maßstäbe für die intelligente Fertigung. Die…
-
Für sichere Schaltbefehle
Befehls- und Meldegeräte mit externen Kontaktgebern
Norelem erweitert sein Portfolio um Befehls- und Meldegeräte mit externen Kontaktgebern.
-
OWL testet die nächste Stufe industrieller KI
Mit dem Projekt Engage-KI starten It’s OWL und Fraunhofer IEM eine Leistungsoffensive für…
-
Weidmüller: Grundstein für neuen asiatischen Hauptsitz
Weidmüller hat den offiziellen Spatenstich für eine neue asiatische Unternehmenszentrale in Suzhou gefeiert.
-
Auftragseingang im Maschinenbau: Keine Belebung in den Mai-Orderbüchern
Der Maschinenbau wartet weiter auf eine Belebung ihrer Orderbücher.
-
Siemens erweitert seine Werke
Siemens investiert 300Mio.€, um die Fertigung von Schlüsseltechnologien für die globale Energiewende und…
-
IIoT / Edge Computing
Edge-Modul für durchgängige IIoT-Daten
Turck erweitert seine IIoT- und Service-Plattform Turck Automation Suite um das Modul TAS…
-
Auftragsbestand im Verarbeitenden Gewerbe im April: +0,4% zum Vormonat
Der reale (preisbereinigte) Auftragsbestand im Verarbeitenden Gewerbe ist nach vorläufigen Ergebnissen des Statistischen…
-
Best Managed Companies Award 2026: Schmersal mit Goldstatus geehrt
Die Firma K.A. Schmersal wurde erneut mit dem Best Managed Companies Award ausgezeichnet.
-
Smartes Engineering für funktionale Sicherheit
In der modernen Softwareentwicklung gehören Versionskontrolle mit Git, mehrsprachige Codebasen, KI-gestützte Assistenten, Extensions…
-
Industrie-PCs
Panel-PCs für HMI und Maschinensteuerung
Gett erweitert sein HMI-Portfolio um eine neue Serie industrieller Panel-PCs der Marke InduSmart.
-
Ormazabal baut neue Deutschlandzentrale
Ormazabal hat den offiziellen Spatenstich für seine neue Deutschlandzentrale in Krefeld gesetzt.
-
Maschinenbau rechnet für 2026 nicht mehr mit Wachstum bei der Produktion
Die Produktion im Maschinenbau in Deutschland sank von Januar bis April um real…
-
Technische Beschaffung
B2B-Katalog als Brücke zur digitalen Beschaffung
Conrad Electronic erweitert seine B2B-Strategie um einen neuen, 960 Seiten starken Katalog.
-
Leitungstechnik
Torsionsfeste Devicenet-Leitung für Roboter
Igus erweitert seine Roboterleitungsserie CFRobot8.Plus um eine Devicenet-Leitung für hochdynamische Anwendungen mit Torsionsbewegungen…
-
Ringsensoren liefern Prozess- und Diagnosedaten
Induktive Ringsensoren mit IO-Link
Turck erweitert sein Portfolio um induktive IO-Link-Ringsensoren für die zuverlässige Erfassung kleiner metallischer…
-
Hima wächst in schwierigem Marktumfeld
Hima, Anbieter sicherheitsgerichteter Automatisierungslösungen, ist im Geschäftsjahr 2025 in einem anspruchsvollen Marktumfeld gewachsen.
-
Deutsche Elektroexporte bleiben vorerst auf Wachstumskurs
Im April entwickelten sich die Exporte der deutschen Elektro- und Digitalindustrie weiter beschleunigt…
-
Vorstandswahlen bei PLCopen
PLCopen hat einen neuen Vorstand gewählt, nachdem drei Mitglieder zurückgetreten sind.
-
R&M stärkt Produktmanagement und Marketing
Dr. Hannes Grubinger hat die Position des Chief Product & Marketing Officers bei R&M…
-
AC/DC-Hochleistungssicherungen
Mersen präsentiert seine neue Generation von Hochleistungssicherungen.
-
Cybersicherheit
Sicherer Entwicklungsprozess zertifiziert
Moxa hat gleich zwei Zertifizierungen nach IEC62443-4-1 Maturity Level 3 (ML3) erhalten –…
das könnte sie auch interessieren
-
-
Prozessautomatisierung
Ethernet-APL-Switches verbinden bis zu zwölf Feldgeräte direkt mit dem Ethernet-Netzwerk
-
-
















