Das Ende der Sicherheits-Updates naht! Windows XP in der Automation: Höchste Zeit zum Handeln

Autor / Redakteur: Torsten Rössel / Reinhold Schäfer / Dipl.-Ing. (FH) Andreas Donner

Der Support und die Verfügbarkeit von Sicherheits-Updates für Windows XP enden im April 2014. Wer industrielle Applikationen auf Basis dieses Systems weiter sicher in Betrieb halten will, sollte sich bald Gedanken über das „Wie“ machen. Die Aufrüstung mit einem neueren Betriebssystem ist dabei nicht die einzige Option.

Firma zum Thema

Bild 1: Industrie-PC und eingebettete Komponenten auf Basis von Windows-Betriebssystemen sind in der industriellen Automatisierung weit verbreitet.
Bild 1: Industrie-PC und eingebettete Komponenten auf Basis von Windows-Betriebssystemen sind in der industriellen Automatisierung weit verbreitet.
(Bild: Phoenix Contact)

Vernetzte Automatisierungskomponenten mit Betriebssystemen von Microsoft sind weit verbreitet und wie PC in Büronetzen durch regelmäßig neu entdeckte Sicherheitslücken und Verwundbarkeiten gefährdet (Bild 1). Nach seinen Support-Lifecycle-Richtlinien sichert Microsoft für Business- und Entwicklerprodukte auf jeweils aktuellem Service Pack Level mindestens fünf Jahre Mainstream Support und weitere fünf Jahre Extended Support zu und stellt während dieser beiden Phasen auch Security Updates für diese Produkte zur Verfügung. Mit der Lebensdauer von industriellen Maschinen und Anlagen, die nicht selten 15, 20 und mehr Jahre in Betrieb bleiben, kann diese Support-Dauer oft dennoch nicht mithalten.

Nachdem zuletzt im Juli 2010 die Windows-2000-Systeme das Ende ihres Support Lifecycle erreicht hatten, wird nun im April 2014 auch der Extended Support für Windows XP – nach damit sogar mehr als zwölf Jahren Lebensdauer – endgültig auslaufen. Sei es aufgrund von IT-Sicherheitsrichtlinien oder schlichter Vernunft und Sorgfalt: Wer nur entsprechend dem Stand der Technik sichere Systeme an sein Produktionsnetz lassen darf oder will, den bringt dieses Ereignis in Zugzwang.

Bildergalerie

Was soll schon nach zwölf Jahren noch passieren?

Allerhand! Nichts tun, Augen zu und einfach „weiter so“ ist keine gute Alternative, wie ein wenig Statistik zeigt: 2012 gab Microsoft immer noch 39 für die Sicherheit von Windows XP SP3 relevante Security Updates heraus, davon 25 in ihrer Wichtigkeit mit der höchsten Einstufung „kritisch“ und 14 weitere eine Stufe darunter als „hoch“ bewertete. Im aktuellen Jahr 2013 erschienen allein von Januar bis April 19 weitere Security Updates für das System, darunter 10 als „hoch“ und 9 als „kritisch“ eingestufte. Die meisten der damit geschlossenen Sicherheitslücken erlauben Angreifern eine unbefugte Erhöhung von Berechtigungen oder die Ausführung von Remote Code auf ungeschützten Systemen.

Auch fanden von Januar 2012 bis April 2013 jeden Monat ein bis vier weitere Varianten von Schadsoftware Berücksichtigung im Windows-Tool zum Entfernen besonders schädlicher Software. Dazu gehörte zum Beispiel eine ganze Reihe von Backdoor-Trojanern wie Win32/Phdet oder Win32/Nitol, die von Angreifern genutzt werden können, um die befallenen Systeme durch diese Hintertür zu kontrollieren, verteilte Denial-of-Service-Angriffe (DDoS Attacks) auf weitere Ziele darüber zu starten, Sicherheitskomponenten stillzulegen und zu entfernen, beliebige Dateien herunterladen und ausführen zu lassen oder sensitive Informationen auszuspähen. Was also tun?

Umstieg auf neueres Betriebssystem ist ein teures Upgrade

Ein naheliegender Lösungsansatz ist ein Upgrade auf ein neueres Betriebssystem, für das wieder einige weitere Jahre Support zur Verfügung steht. Doch ein solches Vorhaben zieht schnell eine ganze Kette an Konsequenzen und Kosten nach sich. So müssen nicht nur neue Lizenzen beschafft und neue Systeme installiert, sondern meist auch noch deren gewachsener Hunger nach Ressourcen gestillt werden, was Aufrüstung oder komplette Neubeschaffung von Hardware zur Folge haben kann. Dann geht die Arbeit aber erst richtig los, denn die eigentlichen Nutzapplikationen müssen für die neue Plattform, auf der sie nur in glücklichen Fällen „einfach so“ klaglos weiterlaufen werden, neu beschafft oder portiert werden. Handelt es sich gar um zertifizierte Systeme, sind nach dem Upgrade die im Branchenkontext relevanten Zulassungsverfahren erneut zu durchlaufen. Diese Kostenlawine mag wegen eventueller, noch dazu schwer kalkulierbarer Sicherheitsrisiken kaum jemand lostreten. Das muss doch auch anders und günstiger gehen. Geht es auch.

Schutz durch Nachrüstung von Security Appliances

Praktisch allen hier betrachteten Sicherheitsrisiken ist gemeinsam, dass sie auf Schwachstellen und Verwundbarkeiten von Protokollen oder Diensten basieren, die durch Angreifer und insbesondere Schadsoftware von bereits infizierten Systemen aus über ein IP-basiertes Netzwerk ausgenutzt werden können, um Schäden anzurichten und sich weiter zu verbreiten. Wenn man mangels weiterer Security Updates schon nichts mehr gegen neu entdeckte Krankheiten tun kann, bleibt einem also immer noch die Alternative, die Ansteckungsgefahr für das alte System stark zu reduzieren, indem man seine Kommunikation auf die Partner, Protokolle, Ports und Verbindungsrichtungen beschränkt, die für das Funktionieren der Gesamtanlage erforderlich sind. Nicht vom System selbst initiierte, sondern von außen dort eingehende Verbindungen können dabei größtenteils unterbunden werden. Aber auch von innen nach außen muss längst nicht alles erlaubt bleiben, zum Beispiel der Zugriff auf beliebige File Shares und Server im Firmennetz, geschweige denn ins Internet.

Die Kontrolle und Filterung der in Ethernet- und IP-basierten Netzwerken zunächst einmal unbeschränkten Kommunikation ist Aufgabe von Firewalls. Ebensolche lassen sich in Form industrieller Network Security Appliances kostengünstig und dezentral genau dort nachrüsten, wo sie aus den diskutierten Gründen benötigt werden. So steht etwa mit der M-Guard-Technik von Innominate gleich eine ganze Familie solcher Geräte in verschiedenen Bauformen zur Verfügung, die sich im Schaltschrank auf Hutschiene, in 19-Zoll-Schränken, extern an PC mit Stromversorgung über USB oder als PCI-Karte gleich im PC-Gehäuse verbauen lassen (Bild 2).

Geräte lassen sich transparent in ein bestehendes Netzwerk einbauen

Der besondere Clou: durch ihren patentierten Stealth Mode lassen sich die Geräte völlig transparent in ein bestehendes Netzwerk nachrüsten. Sie übernehmen dabei automatisch die MAC- und IP-Adressen ihres jeweiligen Schützlings, sodass weder zusätzliche Adressen für das Management der Geräte selbst vergeben noch sonst irgendwelche Änderungen an der Netzwerkkonfiguration vorgenommen werden müssen.

Trotz dieses adresstechnisch transparenten Betriebs überwachen und filtern sie als Stateful Packet InspectionFirewall anhand eines konfigurierbaren Regelwerks den Netzwerkverkehr von und zu den so geschützten Systemen. Und dies, durch bidirektionale „Wire Speed“, ohne zum Flaschenhals für ein Ethernet mit 100 Mbit/s zu werden. Die M-Guard Security Appliances können durch eine flexible Flash- und Roll-out-Prozedur effizient ausgerollt und sowohl einzeln über ein Web-Interface als auch gemeinsam zentral über den Device Manager von M-Guard verwaltet werden.

Gute Erfahrungen mit dem Schutzkonzept

Namhafte Kunden, etwa aus der Automobilindustrie, haben mit diesem Schutzkonzept bereits seit Jahren gute Erfahrungen gemacht und viele der noch älteren, produktionsnah eingesetzten Windows-Systeme von Windows 95 bis Windows 2000 geschützt und sicher in Betrieb gehalten. Auch den vielen Embedded-PC, die aufgrund von Zertifizierungen, Garantieansprüchen oder Sorge vor Update-bedingten Störungen von vornherein und nicht erst nach Ende ihres Extended-Supports als nicht patchbar eingestuft werden, kann nach dem gleichen Prinzip zu mehr Sicherheit verholfen werden.

Bei Bedarf kann die Sicherheit mit weiteren auf den Geräten vorhandenen Mechanismen noch erhöht werden: etwa durch eine User Firewall zur gezielten Berechtigung einzelner Benutzer, durch VPN-Technik zur Authentisierung und Verschlüsselung oder durch das CIFSIntegrity Monitoring von M-Guard zur Überwachung von Windows-Dateisystemen auf unerwartete Veränderungen, das eine industrietaugliche Alternative zu herkömmlicher Antivirussoftware darstellt. CIFS (Common Internet File System) bezeichnet dabei das von Windows genutzte File-Sharing-Verfahren inklusive des Server-Message-Block-ProtokollsSMB.

Windows-XP-Systeme über den April 2014 hinaus sicher in Betrieb halten

Windows-XP-Systeme über den April 2014 hinaus sicher in Betrieb zu halten, bleibt unabhängig von der Methode ein Projektvorhaben mit angemessenem Zeitbedarf für Analyse von Alternativen, Entscheidung, Vorbereitung und Durchführung. Es ist deshalb Zeit zum Handeln. Und falls Sie es gleich vormerken wollen: Der Extended Support für Windows XP Embedded läuft übrigens noch bis Januar 2016.

* Torsten Rössel ist Chief Marketing Officer bei der Innominate Security Technologies AG in 12489 Berlin,

(ID:42364486)