Wenn kleine Dinge große Schäden anrichten – Die Gefahr von USB-Sticks in Produktionsumgebungen

By:
Posted: 26. Oktober 2017
Category: News

Hey, like this? Why not share it with a buddy?

8:57 Uhr - Stillstand


Plötzlich gehen die Lichter aus. Alles steht still – jede Maschine, jedes Band. Alle Versuche die Produktion wieder anzufahren scheitern. Erste Untersuchungen zeigen: Die Anlage ist mit Malware infiziert – der Schaden, sowohl wirtschaftlich als auch auf das Image bezogen ist groß.

 

Absturz statt Update


Rückblick: Beginn der Nachtschicht, knapp zehn Stunden vor dem Blackout. Noch ist alles in Ordnung.
Der externe Dienstleister Peter Müller kommt zur regelmäßigen Wartung der von ihm betreuten Anlage vorbei. Heute spielt er, wie geplant, ein Update der Steuerungseinheit ein. Dazu hat er seinen USB-Stick mitgebracht, auf dem er das Update abgelegt hat. Leider nicht alleine. Auf dem Stick, den er auch zu privaten Zwecken nutzt, hat sich, unbemerkt von Peter Müller, eine Malware eingenistet. Diese gelangt zusammen mit dem Update auf die gewartete Maschine – und pflanzt sich von dort aus im Netzwerk selbständig fort. Dabei hat sie leichtes Spiel. Alle Endpunkte innerhalb der Anlage werden, wie in solchen Umgebungen üblich, ohne aktiven Virenschutz betrieben.
Resultat: Nach zehn Stunden steht die gesamte Anlage still.

 

Vermeidbarer Schaden


Der geschilderte Vorfall und der durch den Stillstand entstandene Schaden wäre durchaus vermeidbar gewesen, wenn im betroffenen Betrieb Sicherheitsrichtlinien bezüglich des Umgangs mit Wechseldatenträgern vorhanden gewesen wären.

 

Verbot ist keine Lösung


Natürlich könnte die Richtlinie vorschreiben, dass die Nutzung von USB-Sticks, SD-Karten und anderen portablen Speichermedien untersagt. Allerdings ist das in dieser Form in den meisten Fällen nicht umsetzbar, da der Import und Export von Daten, wie Updates, Programmstände oder Logdateien, nur auf diesem Wege möglich ist.

Daher muss eine Lösung her, die den Einsatz der mobilen Datenträger ermöglicht und zugleich sicherstellt, dass keine Schadsoftware auf diesem Weg in die Anlage verbracht wird.

 

Technik und Prozess führen zum Erfolg


In diesem Fall bietet sich der Einsatz einer Datenschleuse an. Eine Datenschleuse ist ein System, das dazu dient Wechseldatenträger auf Schadsoftware zu untersuchen, bevor diese mit einer sicheren Netzwerkumgebung in Berührung kommen können. Dabei ist es essentiell, dass alle auf dem gescannten Medium befindlichen Dateien, also beispielsweise auch Archive, in diese Untersuchung miteinbezieht.

 

Datenschleuse InDEx
Die Datenschleuse InDEx - eine KORAMIS Eigenentwicklung


 

Datenschleuse und Prozess sorgen für mehr Sicherheit


Dabei ist es wichtig einen Prozess für den Einsatz der Datenschleuse vorab zu definieren. Ein solcher könnte folgendermaßen aussehen:

Grundsätzlich ist das Einbringen von Wechseldatenträgern verboten. Ist dies nicht vermeidbar, müssen diese zuvor an der vorhandenen Datenschleuse gescannt werden und ihre Verwendung abhängig vom Ergebnis von einer befugten Person erlaubt oder untersagt werden. Zusätzlich sollten Prozesse für die erwartbaren Scanergebnisse vorab definiert werden. Diese könnten folgendermaßen aussehen:

  • Das Medium wird von der Datenschleuse zugelassen:
    Der Scanner hat alle auf dem Medium vorhandenen Dateien (incl. der in Archiven vorhandenen) auf Schadsoftware untersucht und hat keine Schadsoftware gefunden. Man kann davon ausgehen, dass auf dem Medium keine bekannten Schädlinge vorhanden sind.



  • Das Medium wird von der Datenschleuse zurückgewiesen, ein Risiko wird gemeldet:
    Der Scanner hat alle auf dem Medium vorhandenen Dateien (incl. der in Archiven vorhandenen) auf Schadsoftware untersucht. Schadsoftware wurde zwar nicht gefunden, allerdings konnte mindestens eine Datei nicht oder nicht vollständig gescannt werden (z. B. nicht normgerecht gepackte oder verschlüsselte .zip Dateien, die der Scanner nicht entpacken kann). In diesem Fall muss ein festgelegter Prozess starten, der vorschreibt, was zu tun ist. Dieser Prozess kann nur vom Betreiber der Datenschleuse an Hand seiner Security Policy festgelegt werden. Möglichkeiten sind z. B.:



  • Das Medium darf grundsätzlich nicht verwendet werden.

  • Das Medium darf verwendet werden, wenn ein Entscheidungsträger dies genehmigt. Dieser Genehmigungsprozess sollte dokumentiert werden (z. B. mit unterschriebenem Scan-Protokoll).

  • Wurden nicht benötigte Dateien beanstandet, die aktuell benötigten Dateien jedoch als „sauber“ klassifiziert, können die „sauberen“ Dateien mit Hilfe der Datenschleuse auf ein leeres sauberes Medium kopiert werden, das dann zugelassen wird.


 

  • Das Medium wird von der Datenschleuse zurückgewiesen, ein Virus wird gemeldet:Der Scanner hat alle auf dem Medium vorhandenen Dateien (incl. der in Archiven vorhandenen) auf Schadsoftware untersucht und hat Schadsoftware gefunden. Auch hier muss ein festgelegter Prozess starten, der vorschreibt, was zu tun ist. Dieser Prozess kann nur vom Betreiber der Datenschleuse an Hand seiner Security Policy festgelegt werden. Möglichkeiten sind z. B.:



  • Das Medium darf grundsätzlich nicht verwendet werden.

  • Die infizierten Dateien werden mit Hilfe der Datenschleuse gelöscht, danach muss das Scanergebnis nochmals bewertet werden.

  • Wurden nicht benötigte Dateien als infiziert gemeldet, die aktuell benötigten Dateien jedoch als „sauber“ klassifiziert, können die „sauberen“ Dateien mit Hilfe der Datenschleuse auf ein leeres sauberes Medium kopiert werden, das dann zugelassen wird.


Empfehlungen


Das Risiko eines Vorfalls sinkt, wenn die Datenmenge auf dem Wechselmedium gering gehalten wird. Im Idealfall befinden sich auf dem Medium nur die aktuell benötigten Daten. Dadurch sinkt auch die Dauer des Scanvorgangs.

Schaubild zur Verwendung einer Datenschleuse

Der Betreiber der Datenschleuse sollte im Vorfeld einen Prozess festlegen, wie mit einem „riskanten“ oder infizierten Medium umgegangen wird.

Haben Sie weitere Fragen zum Umgang mit Wechseldatenträgern, der Datenschleuse oder benötigen Sie weitere Informationen oder eine Beratung?

Dann wenden Sie sich gerne an uns.

 

^js

 

Keine Antworten

Kommentar hinterlassen

Your email address will not be published.

Related Posts