Den Hackern einen Schritt voraus

In der vernetzten Produktion wachsen IT und OT immer stärker zusammen. Wo früher eine Sicherheitslücke „nur“ ein Datenleck verursacht hat, kann heute die gesamte Produktion zusammenbrechen. Wer regelmäßige Schwachstellenscans – sowohl aktiv als auch passiv – durchführt, kann sich schützen.

Viele Betriebe sichern ihre Standorte mit Alarmanlagen, um sich gegen Einbrüche zu schützen. Aber wie sicher ist das Sicherheitssystem? Lassen sich vielleicht Schließmechanismus für Tore und Türen leicht austricksen oder können sich Hacker mit ein paar Klicks die Kontrolle über Überwachungskameras verschaffen? Ob es eine Schwachstelle im System gibt, weiß man oft erst, wenn sie bereits ausgenutzt wurde. Dann ist es zu spät und der Schaden möglicherweise bereits angerichtet. Hätte man zu Testzwecken einen Einbruchsversuch nachgestellt, hätte man die Sicherheitslücke vielleicht früh genug aufgedeckt.

Was bei der physischen Infrastruktur etwas befremdlich wirkt – wer stellt schon einen Einbruch nach, um seine Alarmanlage zu testen – ist in der IT ein probates Verfahren, um Schwachstellen zu identifizieren. Aktives Scannen nennt man das. Es steht dem passiven Scannen gegenüber. Das machen die meisten, beruflich wie privat, sowieso.

Den „Verkehr“ kontrollieren

Firewalls und Antivirus-Programme nutzen beispielsweise passive Scans und überprüfen so den Traffic, der ein System erreicht. Diese Daten werden dann mit einer Datenbank abgeglichen. Dort sind Informationen zu Schadsoftware, unsicheren Anfragen und anderen Anomalien hinterlegt. Wenn die Firewall etwa eine Anfrage von einem unsicheren Sender bekommt, der Profildaten von Nutzern auslesen will, lehnt sie die Anfrage ab. Das System selbst bekommt davon nichts mit. Denn der passive Scan greift nicht auf das System zu, sondern nur auf den Datenverkehr.

Der Vorteil dabei: Das System muss keine zusätzliche Rechenleistung aufwenden. Trotz der Überprüfung kann die volle Bandbreite genutzt werden. Das ist vor allem bei kritischen Komponenten sinnvoll. Sie sollen eine möglichst hohe Verfügbarkeit aufweisen. Je weniger Zusatztätigkeiten sie ausführen, desto besser.

Der Nachteil des passiven Scanning: Das Verfahren ist nur so gut, wie die Datenbank, mit der es arbeitet. Zwar werden Datenbanken von Firewalls und Virenscannern regelmäßig upgedatet. Doch die IT ist eine schnelllebige Branche – und Cyberkriminelle arbeiten ähnlich schnell, manchmal schneller als die IT-Sicherheits-Experten. 

Die „Infrastruktur“ überprüfen

Aktive Scans arbeiten anders und simulieren Angriffe. Sie stellen Anfragen an das System und versuchen dadurch, unterschiedliche Reaktionen auszulösen. Der aktive Scanner schickt zum Beispiel eine Anfrage zur Datenübermittlung an verschiedene Programme im System. Reagiert eines der Programme und leitet die Daten an die simuliert unbefugte Stelle weiter, hat der Scanner eine Sicherheitslücke gefunden.

Der Vorteil: Die Datenqualität, die beim aktiven Scannen erreicht werden kann, ist höher als beim passiven Scannen. Da man direkt mit Software und Schnittstellen interagiert, lassen sich Probleme in Programmen identifizieren, die normalerweise nicht direkt mit dem Netzwerk kommunizieren. So entdeckt man auch Schwachstellen in Programmen wie Office-Anwendungen.

Bei der direkten Interaktion müssen Systeme allerdings Extraanfragen bearbeiten, die dann unter Umständen die Grundfunktionen eines Programms beeinträchtigen. Betriebstechnik wie Maschinensteuerungen sind zum Beispiel nicht unbedingt dafür ausgelegt, Nebentätigkeiten auszuführen. Wenn sie Teil eines Netzwerks sind, können sie durch den aktiven Scanner allerdings angepingt werden.

Aktiv Scannen, aber minimalinvasiv

Trotzdem sind aktive Scans für die betriebliche Cybersecurity essenziell. Denn das Risiko, welches von der kurzfristigen Überbeanspruchung einer Systemkomponente ausgeht, ist klein, verglichen mit einem Produktionsausfall oder einem Datenleck. Zudem decken aktive Scans nicht nur Schwachstellen auf, sie können auch passive Scans verbessern. So lassen sich die Schwachstellen, die man findet, etwa in die Datenbanken von Firewalls aufnehmen. Damit hilft man möglicherweise nicht nur sich selbst, sondern auch anderen Unternehmen, die ähnliche Systeme nutzen.

Scan-Tools von guten Anbietern arbeiten außerdem minimalinvasiv. Sie setzen gezielt an den Stellen an, wo das größte Gefahrenpotenzial herrscht.