Angesteckt

Relevante IT-Sicherheitsstandards beschäftigen sich mit dem Schutz vor Schadsoftware. So fordert die ISO27001, dass \“Erkennungs-, Vorbeugungs- und Wiederherstellungsmaßnahmen\“ verwirklicht sein müssen. Im Code of Practice (ISO27002) wird es konkreter: Kapitel 12.2 (Protection from Malware) listet ein Dutzend Teilmaßnahmen auf. Der IT-Grundschutz enthält einen ganzen Baustein (B 1.6 Schutz vor Schadprogrammen), der 16 Gefährdungen und 13 Maßnahmen mit einem Gesamtumfang von mehreren Dutzend Seiten umfasst. Gemeinsam ist diesen Normen, dass die Spezifika von Automatisierungstechnik nicht im Fokus stehen. Insbesondere beim Thema Vorfallsbehandlung lassen sich daher viele Aktivitäten nicht einfach übertragen. Aus diesem Grund haben sich ICS-spezifische Guidelines herausgebildet, etwa das ICS-Security-Kompendium des BSI. Dieses enthält u.a. Best Practices in Bezug auf Malware-Schutz im Bereich der Automatisierung. Allerdings gehen diese nur auf Prävention und Detektion ein – nicht auf den Bereich der Behebung (Response). Ähnlich sieht es in der IEC62443-Standardfamilie aus: Teil 2-1 (Sicherheitsmanagement) baut auf ISO27001/2 auf und ergänzt diese um ICS-Besonderheiten. Auch hier sind wichtige Vorgehensweisen bezüglich \’malicious and mobile code\‘ im Industrieumfeld enthalten, jedoch keine Aussagen dazu, wie ein einmal erfolgter Virenbefall zu behandeln ist.

Gefahr erkannt …

Bevor ein Befall behandelt werden kann, muss er erkannt werden. Auffälligkeiten in der Funktion von Automatisierungssystemen wie wiederholt abstürzende oder stark verlangsamte Systeme, unbekannte Benutzerkonten oder außergewöhnlicher Netzwerkverkehr können auf eine Infektion hinweisen, ebenso Logdateien von Betriebssystemen oder Firewalls. Häufig wird es allerdings die Meldung einer Anti-Virus-Software sein, auf die zu reagieren ist. Manchmal erfolgt die Meldung auch durch einen Außenstehenden, etwa einen Dienstleister, in seltenen Fällen auch durch Dritte wie den Internetprovider.

… Gefahr gebannt

Wird eine Schadsoftware im System erkannt, besteht instinktiv der Wunsch, diese entweder umgehend zu beseitigen oder aber die befallene Komponente zu deaktivieren. Im Prozessumfeld dürfen jedoch Automatisierungskomponenten nicht ohne weiteres außer Betrieb genommen werden. Auch eine ungeplante Beseitigung kann Nebenwirkungen bis hin zu dauerhaften Funktionsstörungen haben. Der Schaden kann dann leicht größer sein als durch den Schädling selbst. So empfiehlt es sich, besonnen zu reagieren:

• 1. Arbeiten am System auf dem kürzesten vertretbaren Weg beenden.
• 2. Betroffene Systeme nicht ohne vorherige Rücksprache mit Fachleuten und Entscheidern ausschalten.
• 3. Betroffene Komponenten separieren bzw. Datenverbindungen trennen – wenn es der zu steuernde Prozess zulässt. Sonst ist möglichst das gesamte Netzwerksegment zu separieren, in welchem sich die Komponente befindet.
• 4. Virenbefall melden. Ein solcher Prozess ist idealerweise für alle Arten von Sicherheitsvorfällen definiert. Die Meldung kann z.B. an den Anlagenverantwortlichen, an IT-Facheinheiten oder an einen Dienstleister erfolgen.
• 5. Vorfall ggf. auch in die entsprechende Datenbank einpflegen, falls vorhanden.
• 6. Wurde die Schadsoftware durch einen Virenscanner entdeckt, dessen Versionsnummer sowie die der Signaturen notieren.
• 7. Ggf. Bildschirmausdrucke und/oder Logfiles sichern.
• 8. Wo sinnvoll, Komponente mit Hinweiszettel (z.B. \“Achtung: Virenverseucht\“) versehen.

Desinfektion

Vor einer Beseitigung von Schadsoftware steht eine gründliche Vorplanung an. Bei jeglichen Veränderungen an einem Steuerungssystem sind mögliche Fehlfunktionen und Ausfälle durchzukalkulieren. Die folgenden Hinweise gelten daher immer unter Berücksichtigung des zu steuernden Prozesses, der jeweiligen Automatisierungskomponenten, der betrieblichen Umstände und nicht zuletzt auch der eigenen Kenntnisse und Fähigkeiten. Bei Zweifel sollte immer mit Fachleuten Rücksprache gehalten werden.

• 1. Vorüberlegungen für die Beseitigung: Sind alle Komponenten des befallenen Systems bekannt? Wann wurden die letzten Patches oder Updates eingespielt? Sind deren Versionsstände aktuell? Sind Schwachstellen bekannt? Wurden bereits Security-Maßnahmen im System umgesetzt? Welche Arbeiten fanden in der letzten Zeit an dem System statt? Wurden Komponenten neu angeschlossen bzw. ersetzt? Wer hatte von intern oder extern Zugriff? Kommen für Programmierung, Wartung oder Überwachung der Anlage Rechner mit aktueller Software sowie aktuellem Virenscanner zum Einsatz? Dürfen Externe eigene Servicelaptops für Konfigurations- oder Störungseinsätze verwenden? Werden diese vorab auf Schadsoftware geprüft? Wurden möglicherweise private Geräte angeschlossen? Fanden unerlaubte Zugriffe auf das Internet statt?
• 2. Prüfung, ob weitere Automatisierungskomponenten betroffen sind: Was muss gesäubert werden? Betroffene Bereiche weiter eingrenzen und separieren. Liegen Netz- oder Systemübersichtspläne vor? Existieren Schnittstellen zu weiteren Systemen? Fernwartungszugänge? Im Falle mehrerer betroffener Komponenten bedarf es der Festlegung einer Reihenfolge der Bereinigung.
• 3. Einkalkulieren möglicher Fehlalarme.
• 4. Abwägung von Auswirkungen für den Fall, dass die Beseitigung fehlschlägt bzgl. der fehlenden Verfügbarkeit von technischen Systemen und Gefahren für die Sicherheit, Gesundheit oder Umwelt sowie Qualitätseinbußen.
• 5. Auswertung der Log-Dateien relevanter Systeme (Server, Clients, Netzwerkkomponenten wie Firewalls oder Proxys)
• 6. Rückfallstrategien, um die Automatisierungskomponenten mit dem ursprünglichen Datenbestand weiter zu betreiben: Liegt ein aktuelles, funktionsfähiges Backup inklusive aller Daten (Betriebssystem, Treiber, Middleware, Anwendungs-Software und Datenbanken inkl. Konfiguration) vor? Falls möglich, Beseitigung auf einer Kopie der Festplatte durchführen.
• 7. Festlegung der genauen Vorgehensweise zur Virenbeseitigung: Entscheidung, wer die Beseitigung durchführen soll: der Betreiber des Systems, der IT-Spezialist der Firma, der Dienstleister oder gar – für Gerichtsverwertbarkeit – ein Forensiker?
• 8. Welche Antiviren-Software soll zur Bereinigung eingesetzt werden? Falls das System heruntergefahren werden darf, sauberes Boot-Medium verwenden. Ggf. ist dieses vorab zu erstellen. Hierzu kann auf die einschlägigen Rescue Disks der namhaften Antiviren-Hersteller gesetzt werden. Unter Umständen ist auch ein Test mit weiteren Scannern empfehlenswert, um Fehlalarme zu reduzieren und gleichzeitig die Erkennungsrate zu verbessern. Verdächtige nicht vertrauliche Dateien ggf. online überprüfen lassen. Bei Einsatz eines Boot-Mediums ist zu beachten: Nie auf einem befallenen Rechner erstellen, sondern immer von einem schädlingsfreien System. Nach Möglichkeit einen vorhandenen Schreibschutz aktivieren und Optionen des Scanners prüfen. Falls das System nicht heruntergefahren werden darf, kann nicht mit Boot-Medien gearbeitet werden. Dann sind direkt vom USB-Stick startbare portable Scanner zu empfehlen.
• 9. Überlegung, ob im Zuge der Schadsoftware-Bereinigung ein umfassendes Patchen erfolgen kann, um weitere Security-Maßnahmen umzusetzen. Optional kann auch die Entscheidung getroffen werden, die Schadsoftware vorerst auf der Komponente zu belassen, um den Weiterbetrieb der Anlage aufrechtzuerhalten.
• 10. Im Anschluss an eine Bereinigung sind möglichst ein Neustart und eine erneute Prüfung auf Schadsoftware-Freiheit durchzuführen.

Sollten sich in einem Arbeitsschritt substanzielle Probleme ergeben, so wird es in der Regel notwendig sein, das betroffene System komplett neu aufzusetzen, da sich nur so eine rückstandsfreie Beseitigung zu 100% sicherstellen lässt.

Lessons Learned

Anders als in der Office-IT existiert noch kein Patentrezept für die Behandlung eines Virenbefalls im Fertigungsumfeld. Zu verschieden sind hier die Unternehmen, Applikationen und betrieblichen Anforderungen. Umso wichtiger ist es, sich systematisch auf den Ernstfall vorzubereiten und die Prozesse in der Praxis weiter zu schärfen. Viele der in diesem Beitrag vorgeschlagenen Maßnahmen sind im Rahmen von allgemeineren Continuity-Überlegungen sowieso notwendig. Insofern kann die Vorbereitung auf einen Virenbefall im positiven Sinn dazu dienen, die allgemeine Anlagensicherheit weiter zu verbessern. In der Praxis hat es sich gezeigt, dass es sehr hilfreich ist, einen Vorfall der Erkennung und Beseitigung der Schadsoftware noch einmal im Team Revue passieren zu lassen. Das Gespräch dient dazu, eventuell vorhandene Schwachstellen in der Organisation oder der Technik aufzudecken und Maßnahmen anzustoßen. n @ATLAS Kontakt – FA:

CERT: