Schutz für Legacy-Systeme
Aus Alt mach Sicher
Legacy-Betriebssysteme spielen in vielen Unternehmen nach wie vor eine wichtige Rolle. Eine besondere Herausforderung stellt ihr Schutz dar. Mit einigen einfachen Maßnahmen können Unternehmen allerdings auch die mit kritischen Anwendungen bestückten Altsysteme spürbar sicherer machen.
Aktuelle Betriebssysteme umfassen in aller Regel einen Basisschutz in Form eines signaturbasierenden Virenscanners, zum Beispiel Microsoft Windows 10 mit Windows Defender. Dieser bietet zudem eine Verhaltenserkennung und kann damit auch Zero-Day-Malware aufspüren. Anders sieht es aber bei Legacy-Betriebssystemen aus, auf denen zahlreiche kritische Anwendungen laufen. So sind Microsoft Windows 2000, 2003, NT oder XP immer noch in vielen Unternehmen im Einsatz. Gerade im industriellen Umfeld kommen Windows XP für Scada-Anwendungen (Supervisory Control and Data Acquisition) sowie Windows 2000 oder NT-Server für ältere Anlagensteuerungen weiterhin als Standard-Basissysteme zum Einsatz. Für diese älteren Betriebssysteme gibt es meist weder Updates noch Patches. Auch eine Überprüfung auf Schadsoftware erfolgt in den wenigsten Fällen.
Selbst wenn Patches zur Verfügung stehen, ignoriert das Anwenderunternehmen sie oft. Der Grund: Da das Patchen einen Neustart und damit einen Ausfall des Geräts zur Folge haben könnte, unterlassen viele Systemverantwortliche solche aus Sicherheitssicht eigentlich unerlässlichen Maßnahmen. Einen Systemausfall will man auch deshalb nicht riskieren, da die eigentliche Funktion eines älteren Systems oft nur teilweise bekannt ist. Für die IT-Verantwortlichen sind die Folgen eines Ausfalls für den laufenden Betrieb gar nicht abschätzbar, deshalb lässt man lieber die Finger davon. Es liegt auf der Hand, dass solche Systeme für Angreifer perfekte Einfallstore sind, zumal Systemlücken und deren Ausnutzung zum Beispiel durch Remote-Trojaner ausreichend dokumentiert sind. Bester Beleg ist WannaCry: Die Erpressersoftware befiel ältere Systeme, die keinen Patch gegen SMB-Angriffe (Server Message Block) aufwiesen.
So stellt sich die Frage, welche Maßnahmen ein Unternehmen ergreifen kann, um auch Legacy-Systeme ausreichend zu schützen. Zunächst ist festzuhalten, dass eine IT-Organisation nur schützen kann, was sie auch sieht - oder genauer: erkennt. Zudem will die jeweilige Kritikalität ermittelt sein. Hilfestellung bieten hier Netzwerkscanner und systemlokale Scanner. Netzwerkscanner erkennen Betriebssysteme, deren Version und die damit verbundenen Schwachstellen. Sie sind in aktive und passive Scanner zu unterscheiden. Aktive Netzwerkscanner haben den Nachteil, dass bereits ein einziger Scanvorgang einen Systemausfall verursachen kann. Eine Alternative bieten passive Scanner wie Tenables Nessus Network Monitor oder die Nutzung einer agentenlosen Security-Appliance, wie sie beispielsweise Forescout mit eyeSight liefert. Letztere erkennt vor allem IoT-Geräte anhand des systemspezifischen Verhaltens im Netzwerk. Passive Scanner beeinflussen Systeme selbst im Betrieb nicht und bieten Administratoren einen wertvollen Überblick über laufende Systeme, Anwendungen und mögliche Schwachstellen.
Systemlokale Scanner können je nach Zugang und Zugriffsmöglichkeit - etwa von einem Wechselmedium aus - den Zustand eines Geräts erkennen und detailliert Auskunft geben, welche Prozesse und Anwendungen systemkritisch sind. Sogenannte YARA Rule Scanner erkennen neben Schwachstellen auch Malware, Rootkits oder unerwünschte Software anhand vordefinierter und spezifischer Muster (YARA Rules). Neben dem frei verfügbaren Loki Scanner gibt es den Thor Scanner von Nextron Systems mit sehr genauen Systemanalysen, die auch für forensische Untersuchungen Verwendung finden.
Im Hinblick auf den Geräte- oder Systemschutz selbst bieten sich dann Lösungen an, die auf ML (maschinelles Lernen) basieren. Sie ermöglichen die Erkennung von Malware und unterbinden die Ausführung schädlicher Prozesse. Für Legacy-Systeme wie Windows XP und Windows Server 2003 etwa bietet sich CylanceProtect von Cylance an (der Anbieter wurde Anfang 2019 von BlackBerry übernommen, d.Red.). Die Software erkennt Schadprogramme sicher und hat keine negative Auswirkung auf Performance oder Anwendungen. Von Vorteil ist, dass CylanceProtect dank der ML-Engine weder regelmäßige Updates noch eine permanente Internetverbindung benötigt. Für die Malware-Erkennung bei Betriebssystemen wie Windows Embedded, die vor allem im Internet der Dinge oft zum Einsatz kommen, empfiehlt sich Symantecs Lösung Critical System Protection.
Eine weitere Maßnahme zum Schutz von Endgeräten ist das Application Whitelisting, das seit Windows XP dafür sorgen kann, dass das Betriebssystem nur erlaubte Anwendungen ausführt. Die Whitelist ist eine einfache Liste von Anwendungen, deren Ausführung der Benutzer oder Administrator gestattet hat. Wenn eine Anwendung zu starten versucht, erfolgt ein automatischer Abgleich mit dieser Liste. Falls die Anwendung dort aufgeführt ist, ist ihr die Ausführung erlaubt. Gegebenenfalls muss die User Account Control oder ab Windows XP der Administrator dies manuell bestätigen.
Für mehr Sicherheit kann das IT-Team ein Endgerät oder eine einzelne Anwendung auch virtualisieren. Selbst bei älterer Hardware ist es möglich, diese im laufenden Betrieb einer virtuellen Maschine (VM) zuzuweisen und damit das Gesamtsystem als Einheit zu klonen. Als VM kann die IT das Gerät oder die Anwendung dann mit weniger Aufwand warten und sichern. Darüber hinaus lassen sich einzelne Anwendungen ab Windows XP in eine eigenständige Umgebung isolieren, die nur dedizierte Systemressourcen nutzt und gegen Angriffe von außerhalb der Umgebung geschützt ist (Sandboxing). Auf Servern lässt sich dies mit Docker-Containern realisieren. Ein Container fasst eine einzelne Anwendung einschließlich aller Abhängigkeiten wie Bibliotheken, Hilfsprogramme oder statischen Daten in einer Image-Datei zusammen, ohne aber ein komplettes Betriebssystem zu beinhalten.
Abgesehen vom Gerät selbst lässt sich auch der Weg zum System schützen. Zum einen kann die IT-Organisation ein Gerät in ein eigenes Netzwerksegment (VLAN) verschieben. Zum anderen kann sie es mit einem Netzwerk-IPS (Intrusion-Prevention-System) vor äußeren Angriffen und Einflüssen sichern. Ein modernes IPS wie TippingPoint von Trend Micro hätte den Ausbruch einer Schadsoftware wie WannaCry sicher erkannt und durch TCP Resets unterbunden.
Nicht zuletzt gilt es zu berücksichtigen, dass auch Rechner ohne LAN-Anbindung gefährdet sind. Schließlich gehören USB-Schnittstellen und -Sticks nach wie vor zu den Haupteinfallstoren von Schadsoftware. Lässt sich ein System nur physisch erreichen, bietet sich eine regelmäßige manuelle Prüfung per USB und spezialisierter Scan-Engine eines Antivirenherstellers an. Manuelles Scannen ist allerdings aufwendig und nicht bei allen Systemen möglich - Windows NT zum Beispiel bietet keine USB-Unterstützung. Vor allem bei Anlagensteuerungen im industriellen Umfeld aber kommt dieses manuelle Verfahren zum Einsatz. Es findet auch in den "Industrial Control and Systems: General Requirements" des US-amerikanischen Fachverbands NEMA (National Electrical Manufacturers Association) als Vorgabe für Prüfungen und Auditierung Verwendung.
Mit mehr oder weniger Aufwand können Unternehmen somit entscheidende Maßnahmen ergreifen, um den Status mit kritischen Anwendungen bestückter Systeme zu überprüfen und hohe Sicherheit zu gewährleisten. Sofern es möglich ist, muss dabei aber immer das Patchen der Systeme bis zum letzten unterstützten Update an erster Stelle stehen.
Lesen Sie mehr zum Thema
