Wie ein Unternehmen Legacy-Systeme am besten schützt

0

Malware-Schutz gehört zum Standard im Client-Management – bei aktuellen Betriebs­systemen. Oft vernachlässigt die IT aber Legacy-Systeme, die in vielen Unternehmen noch weit verbreitet sind. Ungeschützt stellen sie aber ein erhebliches Sicherheitsrisiko dar.

Zum Schutz vor Malware setzen Unternehmen meistens mehrstufige Systeme ein, die sowohl den Weg zum Endgerät als auch das Endgerät selbst sichern sollen. Client-seitig bieten aktuelle Betriebssysteme bereits einen Basisschutz in Form eines Signatur-basierenden Antiviren-Scanners, beispielsweise Microsoft Windows 10 mit dem Windows Defender. Anders gelagert ist die Sache bei Legacy-Systemen, etwa Microsoft Windows 2000, 2003, NT oder XP, die in vielen Unternehmen nach wie vor im Einsatz sind. So bilden etwa im industriellen Umfeld Windows XP für SCADA (Supervisory Control And Data Acquisition)-Anwendungen und Windows 2000 beziehungsweise NT-Server für ältere Anlagensteuerungen oft das Basissystem.

Die älteren Betriebssysteme werden in aller Regel weder upgedated und gepatched noch auf Schadsoftware geprüft. Dafür gibt es triftige Gründe: Da viele Maßnahmen wie das Patchen einen Neustart und damit einen möglichen Ausfall des Gerätes zur Folge haben könnten, führen sie viele Systemverantwortliche erst gar nicht durch. Zudem ist die eigentliche Funktion eines älteren Systems vielfach nur teilweise bekannt, sodass die IT auch die Auswirkungen auf den laufenden Betrieb nicht einschätzen kann, wenn es einmal ausfällt.
Für potenzielle Angreifer sind solche Systeme – vorausgesetzt sie sind erreichbar – ein offenes Tor, da Systemlücken und ihre Ausnutzung zum Beispiel durch Remote-Trojaner hinreichend bekannt sind. Ein Beispiel dafür liefert der WannaCry-Ausbruch vor einigen Monaten. Ältere Systeme, die keinen Patch gegen Server-Message-Block (SMB)-Angriffe hatten, wurden befallen und Teil der Malware-Infiltration.

Doch Resignation ist keinesfalls angebracht: Grundlegend schutzlos sind Unternehmen auch mit Legacy-Systemen auf keinen Fall. Sie können mit mehr oder weniger Aufwand entscheidende Maßnahmen treffen, um auch die mit oft kritischen Anwendungen bestückten Systeme sicherer zu machen.

Schritt 1:
Sichtbarkeit herstellen

Ein Unternehmen kann nur schützen, was es auch „sieht“ beziehungsweise „erkennt“. Hilfestellung bieten hier Netzwerkscanner. Dabei sind aktive von passiven Scannern zu unterscheiden. Aktive Netzwerkscanner haben den Nachteil, dass sie bereits durch den Scan-Vorgang selbst einen Systemausfall hervorrufen können. Die Alternative sind passive Scanner wie der Nessus Network Monitor von Tenable oder die Nutzung einer agentenlosen Security-Appliance, wie sie mit ForeScout CounterACT zur Verfügung steht. Solche Lösungen beeinflussen Systeme selbst im Betrieb nicht und bieten Administratoren-Teams einen wertvollen Überblick über kritische Systeme und Anwendungen sowie Systemlücken.

Schritt 2:
Endgerät schützen

Zum Schutz von Endgeräten bieten sich Lösungen an, die auf Maschinellem Lernen (ML) basieren. Sie stellen im Client-Bereich relativ neue Möglichkeiten dar, um Malware auf dem Endgerät zu erkennen und die Ausführung schädlicher Prozesse zu verhindern. Ein Beispiel ist das Produkt CylancePROTECT des Herstellers Cylance, das Schadprogramme sicher erkennt und keine negative Auswirkung auf Performance oder Anwendungen hat. Die Lösung ist zum Beispiel auf Legacy-Systemen wie Windows XP und Windows Server 2003 installierbar. Von Vorteil ist, dass CylancePROTECT dank der ML-Engine weder regelmäßige Updates noch eine permanente Internetverbindung benötigt. Eine ähnliche Funktionsweise und Malware-Erkennung weist Symantec Critical System Protection auf, eine Lösung, die vor allem für im Internet der Dinge genutzte Betriebssysteme wie Windows Embedded konzipiert ist.

Schritt 3:
Weg zum Endgerät schützen

Sind die Verbindungen zum Legacy-System bekannt, kann ein Netzwerk-Intrusion-Prevention-System (IPS) einen Angriff bereits frühzeitig erkennen und durch „tcp reset“ unterbinden. WannaCry etwa hätte ein modernes IPS erkannt. Auf diese Art des System- und Netzwerkschutzes hat sich beispielsweise das Unternehmen TippingPoint (heute Trend Micro) spezialisiert. Durch ein granulares Regelwerk und Maschinelles Lernen werden die lästigen False Positives bei der Erkennung und Blockierung extrem reduziert.

Schritt 4:
Manuell scannen

Nach wie vor gehören USB-Schnittstellen und -Sticks zu den Haupteinfallstoren von Schadsoftware, das heißt, auch Rechner ohne LAN-Anbindung sind gefährdet. Kann ein System nur physisch erreicht werden, bietet sich eine regelmäßige manuelle Prüfung per USB und spezialisierter Scan-Engine eines Antivirus-Herstellers an. Allerdings ist manuelles Scannen aufwendig und zudem nicht bei allen Systemen nutzbar; Windows NT etwa bietet keine USB-Unterstützung. Das Verfahren wird aber vor allem im industriellen Umfeld bei Anlagensteuerungen eingesetzt und beispielsweise in den „Industrial Control and Systems: General Requirements“ des US-amerikanischen Fachverbandes „National Electrical Manufacturers Association (NEMA)“ als Vorgabe für Prüfungen und Auditierung verwendet. Auch wenn mit diesen vier Schritten beziehungsweise konkreten Maßnahmen Möglichkeiten bestehen, ältere Betriebssysteme sicherer zu machen, darf eines nicht vergessen werden: Vorrang muss immer das Patchen der Systeme bis zum letzten unterstützten Update haben.

Artikel kommentieren