Vernetzte industrielle Automatisierungskomponenten mit Microsoft Windows Betriebssystemen sind heute weit verbreitet und wie ihre Pendants in Büronetzen leider durch regelmäßig neu entdeckte Sicherheitslücken und eine Fülle von Schadsoftware gefährdet. Während dabei klassische Viren, die zu ihrer Verbreitung eine passende Wirtsapplikation benötigen, eine allgemein abnehmende und im industriellen Umfeld eher geringe Bedeutung haben, nimmt die Gefährdung durch Würmer und Trojaner, die aus eigener Kraft weitere Systeme befallen können, beständig zu. Ein aktuelles Beispiel ist der sich seit Oktober 2008 aggressiv verbreitende Win32/Conficker Wurm, der seit Frühjahr 2009 auch industrielle Anlagen befallen und zum Stillstand gezwungen hat. Er blockiert Dienste wie Windows Update, Windows-Sicherheitscenter, Windows Defender und das Windows Systemprotokoll, um seine eigene Entfernung möglichst zu verhindern, und kann sich durch Nachladen von Code aus dem Netz selbst verändern. Insbesondere die häufig zum Datenaustausch mit der Umgebung genutzten Windows Dateifreigaben auf Basis der Protokollfamilie CIFS/SMB (Common Internet File System / Server Message Blocks) sind ein gefürchtetes Einfallstor für Schadsoftware, welches auch der Conficker Wurm für seine Verbreitung nutzt. Regelmäßiges Einspielen von Sicherheits-Updates für das Betriebssystem – sofern überhaupt noch verfügbar und praktiziert – ist allein kein ausreichender Schutz gegen derlei Infektionen. Der als Defense-in-Depth-Strategie bekannte Einsatz von dezentralen Firewalls vor den zu schützenden Systemen kann das Risiko einer Infektion durch konsequente Beschränkung der überhaupt zulässigen Verbindungen im Netzwerk auf das notwendige Maß immerhin stark reduzieren. Verbindungen über tatsächlich genutzte Protokolle und deren Ports müssen aber natürlich auch durch diese Firewalls hindurch möglich bleiben und stellen damit ein Restrisiko für das Eindringen von Schadsoftware dar. Konventionelle Lösungen industriell nicht geeignet Eine lokale Installation von Antivirus-Software ist auf industriellen Komponenten meist ausgeschlossen. Zum einen bieten die in der Regel unter Kostendruck sparsam dimensionierten Hardware-Ressourcen dafür nicht genug Reserven an Speicher und CPU-Leistung. Zum anderen kann derlei Scan-Software ein recht ungewisses Echtzeitverhalten verursachen – für Office-Anwender vielleicht nur eine lästige Erfahrung, industriell jedoch nicht akzeptabel. Wer es dennoch versucht, sieht sich nicht selten konfrontiert mit eingefrorenen Bedienoberflächen und Systemen, die vor lauter Sicherheit ihre eigentliche Nutzfunktion verloren haben. Ein externes Scannen von Netzwerkverkehr auf Malware-Signaturen durch vorgeschaltete Network Security Appliances, wie es bislang etwa für Sicherheitsgeräte mit der Innominate mGuard Firmware angeboten wurde, bleibt aus technischen Gründen leider auf einige wenige dafür geeignete Protokolle (http, ftp, smtp, pop3) beschränkt. Ausgerechnet das so weit verbreitete Windows File Sharing Protokoll CIFS/SMB lässt sich infolge seiner blockweisen Datenübertragung auf diese Weise nicht filtern. Allen Scan-Methoden gemeinsam ist ferner der Bedarf nach entsprechenden Mustern bzw. Signaturen. Diese umfangreichen und schnell weiter wachsenden Signaturdatenbanken durch ständige Updates auf den Geräten aktuell zu halten ist schon für sich eine technisch-organisatorische Herausforderung und potentielle Quelle von Instabilitäten. Nicht oft, aber doch immer wieder kommt es mit den (neuen) Signaturen zu so genannten \’False Positives\‘, also Fehlalarmen zu vermeintlichen Schädlingen, die gar keine sind. Werden Kommunikation und Produktion aufgrund solcher Fehlalarme unnötig unterbrochen, wird die erhoffte Sicherheit schnell zum wirtschaftlichen Ärgernis. CIFS Integrity Monitoring Als innovative, industrietaugliche Lösung für die geschilderten Probleme hat Innominate das neuartige CIFS Integrity Monitoring entwickelt. Es besteht aus zwei Komponenten: dem CIFS Antivirus Scan Connector, mit dem Windows Netzwerkordner von einem externen Virenscanner analysiert werden können, und dem CIFS Integrity Checking Verfahren, welches Dateisysteme auf unerwartete Modifikationen oder Hinzufügungen von Programmen, DLLs oder anderem ausführbaren Code überwacht. Letzteres basiert allein auf der eigenständigen Berechnung und Überwachung von Hashcode-Signaturen für alle relevanten Dateien und kommt daher ohne externe Signaturdatenbanken und deren ständige Aktualisierung aus. Die Berechnungen selbst erfolgen ressourcenschonend auf einer vorgeschalteten mGuard Network Security Appliance. Die überwachten Windows Clients müssen lediglich die zu prüfenden Dateien bereitstellen und die dazu berechneten Signaturen speichern, was sie nur moderat belastet. Entdeckte Integritätsverletzungen lösen per E-Mail oder SNMP einen Alarm an den Administrator oder ein Netzwerkmanagementsystem aus. Über den Antivirus Scan Connector kann dann eine gezielte Überprüfung der beanstandeten Datei(en) mithilfe eines externen Antivirus-Scanners erfolgen, um die gemeldete Infektion genauer zu identifizieren und zu bereinigen oder als Fehlalarm zu erkennen. Netzwerkordner, die dem laufenden Datenaustausch dienen und sich daher ständig verändern, können über den Connector auch nach einem festen Zeitplan regelmäßig durch einen externen Scanner überprüft werden. Dabei werden dem Scanner nur Leserechte unter einer zusätzlichen Sammelkennung für alle angeschlossenen Netzlaufwerke eingeräumt. Die einzelnen tatsächlichen Kennungen mit Lese- und ggf. Schreibrechten für die jeweiligen Verzeichnisse werden nur dem Connector bekannt gemacht. Industrielle Network Security Appliances mit der mGuard CIFS Integrity Monitoring Technologie von Innominate lassen sich kostengünstig und punktgenau dezentral dort einsetzen, wo sie aus den hier diskutierten Gründen benötigt werden, und das nicht nur als Router. Im so genannten Stealth Mode lassen sich die Geräte auch völlig transparent in ein bestehendes Netzwerk nachrüsten. Mit ihrer integrierten Stateful Packet Inspection Firewall überwachen und filtern sie anhand eines konfigurierbaren Regelwerks außerdem den Netzwerkverkehr von und zu den geschützten Systemen, und dies dank bidirektionalem \’Wire Speed\‘ ohne zum Flaschenhals für ein 100MBit/s Ethernet-Netzwerk zu werden. Die Geräte können durch eine flexible, skriptbare Flash- und Rollout-Prozedur sehr effizient ausgerollt und sowohl einzeln über ein integriertes Web Interface als auch gemeinsam zentral über den Innominate Device Manager verwaltet werden. Fazit Das dargestellte CIFS Integrity Monitoring Verfahren kann zwar nicht den Echtzeitschutz eines lokal installierten Scanners bieten und Infektionen mit Schadsoftware aktiv verhindern, leistet aber unter den gegebenen Umständen das Bestmögliche. Es lässt Infektionen nicht lange unentdeckt bleiben und riskiert nicht, kritische Kommunikation aufgrund von \’False Positive\‘-Fehlalarmen zu unterbrechen und die Produktion damit unnötig stillzulegen. Ferner findet es sogar Schäden von so genannten Zero Day Exploits, für die es noch gar keine Malware-Signaturen gibt. Es stellt damit eine industrietaugliche Alternative für den Schutz Windows-basierter Komponenten dar, auf denen konventionelle Antivirus-Lösungen nicht eingesetzt werden können.
Windows-basierte Automatisierungskomponenten – Integritätsüberwachung zum Schutz gegen Schadsoftware
-
Yaskawa eröffnet neues Robotermontage- und Distributionszentrum
Yaskawa baut seine Produktions- und Distributionskapazitäten für Roboter in Europa weiter aus: Am slowenischen Standort Ko?evje eröffneten Hiroshi Ogasawara (Representative Director & Chairman of the Board, Yaskawa Electric…
-
CPO Dr. Wilma Kauke im Interview: Wie Lapp Führung und Unternehmenskultur neu denkt
Zwischen KI, Krisen und Fachkräftemangel
Wirtschaftliche Unsicherheit, Fachkräftemangel, globale Spannungen und künstliche Intelligenz verändern die Arbeitswelt tiefgreifend. Für Dr. Wilma Kauke, Global HR Director & Chief People Officer EMEA bei Lapp, wird Human…
-
Hilscher kombiniert Industrial Ethernet, IIoT und CRA-Readiness auf NetX-90-Basis
Neue CifX-PC-Karten für sichere Industriekommunikation
Hilscher hat zwei neue PC-Karten für die sichere industrielle Kommunikation vorgestellt. Die Karten basieren auf dem NetX-90 System-on-Chip (SoC) und stehen im PCI-Express- sowie im Low-Profile-PCI-Express-Format zur Verfügung.…
-
Vorzeigeprojekt bei SGAC mit Rittal, Rittal Automation Systems und Eplan
Digitale Exzellenz in China
Mit der ‚Smart Manufacturing and Digitized Assembly Factory‘ setzt das chinesische Unternehmen SGAC gemeinsam mit Rittal, Rittal Automation Systems und Eplan neue Maßstäbe für die intelligente Fertigung. Die…
-
Für sichere Schaltbefehle
Befehls- und Meldegeräte mit externen Kontaktgebern
Norelem erweitert sein Portfolio um Befehls- und Meldegeräte mit externen Kontaktgebern.
-
OWL testet die nächste Stufe industrieller KI
Mit dem Projekt Engage-KI starten It’s OWL und Fraunhofer IEM eine Leistungsoffensive für…
-
Weidmüller: Grundstein für neuen asiatischen Hauptsitz
Weidmüller hat den offiziellen Spatenstich für eine neue asiatische Unternehmenszentrale in Suzhou gefeiert.
-
Auftragseingang im Maschinenbau: Keine Belebung in den Mai-Orderbüchern
Der Maschinenbau wartet weiter auf eine Belebung ihrer Orderbücher.
-
Siemens erweitert seine Werke
Siemens investiert 300Mio.€, um die Fertigung von Schlüsseltechnologien für die globale Energiewende und…
-
IIoT / Edge Computing
Edge-Modul für durchgängige IIoT-Daten
Turck erweitert seine IIoT- und Service-Plattform Turck Automation Suite um das Modul TAS…
-
Auftragsbestand im Verarbeitenden Gewerbe im April: +0,4% zum Vormonat
Der reale (preisbereinigte) Auftragsbestand im Verarbeitenden Gewerbe ist nach vorläufigen Ergebnissen des Statistischen…
-
Best Managed Companies Award 2026: Schmersal mit Goldstatus geehrt
Die Firma K.A. Schmersal wurde erneut mit dem Best Managed Companies Award ausgezeichnet.
-
Smartes Engineering für funktionale Sicherheit
In der modernen Softwareentwicklung gehören Versionskontrolle mit Git, mehrsprachige Codebasen, KI-gestützte Assistenten, Extensions…
-
Industrie-PCs
Panel-PCs für HMI und Maschinensteuerung
Gett erweitert sein HMI-Portfolio um eine neue Serie industrieller Panel-PCs der Marke InduSmart.
-
Ormazabal baut neue Deutschlandzentrale
Ormazabal hat den offiziellen Spatenstich für seine neue Deutschlandzentrale in Krefeld gesetzt.
-
Maschinenbau rechnet für 2026 nicht mehr mit Wachstum bei der Produktion
Die Produktion im Maschinenbau in Deutschland sank von Januar bis April um real…
-
Technische Beschaffung
B2B-Katalog als Brücke zur digitalen Beschaffung
Conrad Electronic erweitert seine B2B-Strategie um einen neuen, 960 Seiten starken Katalog.
-
Leitungstechnik
Torsionsfeste Devicenet-Leitung für Roboter
Igus erweitert seine Roboterleitungsserie CFRobot8.Plus um eine Devicenet-Leitung für hochdynamische Anwendungen mit Torsionsbewegungen…
-
Ringsensoren liefern Prozess- und Diagnosedaten
Induktive Ringsensoren mit IO-Link
Turck erweitert sein Portfolio um induktive IO-Link-Ringsensoren für die zuverlässige Erfassung kleiner metallischer…
-
Hima wächst in schwierigem Marktumfeld
Hima, Anbieter sicherheitsgerichteter Automatisierungslösungen, ist im Geschäftsjahr 2025 in einem anspruchsvollen Marktumfeld gewachsen.
-
Deutsche Elektroexporte bleiben vorerst auf Wachstumskurs
Im April entwickelten sich die Exporte der deutschen Elektro- und Digitalindustrie weiter beschleunigt…
-
Vorstandswahlen bei PLCopen
PLCopen hat einen neuen Vorstand gewählt, nachdem drei Mitglieder zurückgetreten sind.
-
R&M stärkt Produktmanagement und Marketing
Dr. Hannes Grubinger hat die Position des Chief Product & Marketing Officers bei R&M…
-
AC/DC-Hochleistungssicherungen
Mersen präsentiert seine neue Generation von Hochleistungssicherungen.
-
Cybersicherheit
Sicherer Entwicklungsprozess zertifiziert
Moxa hat gleich zwei Zertifizierungen nach IEC62443-4-1 Maturity Level 3 (ML3) erhalten –…
das könnte sie auch interessieren
-
-
Prozessautomatisierung
Ethernet-APL-Switches verbinden bis zu zwölf Feldgeräte direkt mit dem Ethernet-Netzwerk
-
-
















