Automation 25.06.2010, 19:47 Uhr

Industrieanlagen mit dem Betriebssystem Windows 2000 drohen Sicherheitslücken

Am 13. Juli 2010 endet der Support für Windows 2000. Dann bietet Microsoft für das Betriebssystem keine Aktualisierungen, Sicherheits-Updates oder andere Supportleistungen mehr an. Betroffen sind Tausende vernetzte industrielle Anlagen, die Geräte und eingebettete Systeme mit dem Betriebssystem nutzen. Um neu entdeckte Sicherheitslücken zu beheben, bleiben ihnen allerdings Alternativen.

Laut Microsoft gibt es in Deutschland noch 60 000 Windows-2000-Installationen. Insider gehen allerdings von einer viel größeren Zahl aus, da die meisten Windows-Systeme in der Industrie gar nicht in den Genuss eines regelmäßigen Patch-Managements kommen. So gilt häufig die Devise „Never change a running system“, um die Funktion, Stabilität und Qualität sorgfältig abgestimmter Prozesse nicht durch das Einspielen von Sicherheits-Updates zu gefährden. Viele Embedded-PC-Systeme gelten so von vornherein als nicht nachzubessern.

Deshalb kommt für viele Anwendungen auch kein Upgrade auf ein neueres Betriebssystem infrage. Neben der Stabilität der Prozesse werden außerdem hohe Zusatzkosten für neue Lizenzen, Hardwareaufrüstungen oder gar komplette Neubeschaffungen befürchtet. Vielfach geht die Arbeit dann erst richtig los, weil die eingesetzten Softwareapplikationen auf die neue Plattform portiert werden müssen.

Karel Crombach, Direktor Industry Market Development bei Microsoft, bestätigte das Auslaufen des Services für Windows 2000 gegenüber den VDI nachrichten. Es sei allerdings von den individuellen Verträgen abhängig, ob industrielle Anlagen auch über das Ende der Serviceunterstützung für das Betriebssystem von Microsoft unterstützt würden. „Grundsätzlich macht es gerade bei sicherheitskritischen Anlagen Sinn, immer auf die aktuelle Software zu setzen“, sagte Crombach.

Auf Anfrage der VDI nachrichten teilte TÜV Süd dazu mit, dass Windows 2000 in der Sicherheitstechnik von Industrieanlagen üblicherweise nicht für sicherheitsrelevante Aufgaben eingesetzt wird, sondern für Bedien- und Beobachtungsfunktionen. Aus Sicht des TÜV Süd dürfen sich durch einen Betriebssystemwechsel bei normenkonformer Auslegung der Schutzsysteme keine Lücken in der Sicherheit ergeben, sondern maximal in der Verfügbarkeit von Industrieanlagen.

Es bleibt allerdings das Risiko, dass sensible Daten ausspioniert oder manipuliert werden. Zumal das Betriebssystem in Industrieanlagen nicht so leicht ausgetauscht wird wie in Büroumgebungen. Handelt es sich z. B. um Systeme mit besonderer Branchenzulassung, dann sind die aufwendigen Zertifizierungsverfahren bei der Umstellung des Betriebssystems erneut zu durchlaufen.

„Für Anwender von Windows 2000 in industriellen Applikationen besteht in jedem Fall dringender Handlungsbedarf“, erklärte Torsten Rössel, Director Business Development bei Innominate Security Technologies in Berlin. Augen zu und durch sei angesichts steigender Risiken bei der Datensicherheit jedenfalls keine gute Alternative: „Praktisch alle Softwaresicherheitsrisiken beruhen auf Schwachstellen und Sicherheitslücken von Protokollen oder Diensten. Diese werden durch Angreifer über ein IP-gestütztes Netzwerk ausgenutzt, um Schäden anzurichten und sich weiter zu verbreiten.“ Das erfolge über sogenannte „Exploits“ in Schadsoftware. Wer also mangels weiterer Sicherheits-Updates nichts mehr gegen neu entdeckte Krankheiten tun könne, habe allerdings Alternativen.

Wenn die Windows-2000-Anwendung auch künftig weiterlaufen soll, besteht eine Sicherheitsalternative darin, die Ansteckungsgefahr für das alte System zu reduzieren. Dazu wird die Kommunikation auf die Partner, Protokolle, Ports und Verbindungsrichtungen beschränkt, die für das Funktionieren der Gesamtanlage erforderlich sind.

Ralph Langner, Geschäftsführer des Hamburger Beratungsunternehmens Langner Communications, sieht in der Kontrolle der ein- und ausgehenden Verbindungen einen wirksamen Schutz: „Besonders nicht vom System selbst initiierte, sondern von außen dort eingehende Verbindungen lassen sich weitgehend und oft sogar völlig unterbinden. Aber auch von innen nach außen muss längst nicht alles erlaubt bleiben, etwa der Zugriff auf beliebige File-Shares und andere Server im Firmennetz oder gar auf das Internet.“

Die Kontrolle und gezielte Filterung der in Ethernet- und IP-gestützten Netzwerken zunächst offenen und unbeschränkten Kommunikation ist die Aufgabe von Firewalls. Sie lassen sich laut Rössel in Form industrieller Network-Security-Appliances mit vergleichsweise geringem Aufwand dezentral nachrüsten. Die speziell dafür entwickelten Geräte seien völlig transparent in ein bestehendes Netzwerk integrierbar und übernehmen dabei automatisch die MAC- und IP-Adressen ihres jeweiligen Schützlings, so dass der Anwender weder zusätzliche Adressen für das Management der Geräte selbst vergeben, noch sonst irgendwelche Änderungen an der Netzwerkkonfiguration der beteiligten Systeme vornehmen müsse.

Obwohl die Geräte bezüglich der Netzwerktopologie völlig transparent arbeiten, überwachen und filtern sie als „Stateful-Packet-Inspection-Firewall“ anhand eines konfigurierbaren Regelwerks den Netzwerkverkehr von und zu den geschützten Systemen. Bei Bedarf könne die Sicherheit noch weiter erhöht werden, etwa durch eine User-Firewall zur gezielten Berechtigung individuell angemeldeter Benutzer oder durch die VPN-Technologie (Virtual Private Networking) zum sicheren Authentisieren von Gegenstellen und zum Verschlüsseln des Datenverkehrs.

Nach Langners Erfahrungen haben Unternehmen etwa aus der Fertigungs- und Prozessindustrie bereits beim Supportende von Windows 95, Windows 98 und Windows NT mit diesem auf Security-Appliances gestützten Schutzkonzept gute Erfahrungen gemacht und viele der produktionsnah eingesetzten Systeme geschützt und sicher in Betrieb gehalten. Der nächste Termin ist auch schon abzusehen, denn im April 2014 läuft der „Extended Support“ für Windows XP aus. MARTIN ORTGIES

Von Martin Ortgies
Von Martin Ortgies

Themen im Artikel

Stellenangebote im Bereich Automatisierungstechnik

ATLAS TITAN-Firmenlogo
ATLAS TITAN Techniker (m/w/d) Automatisierungsprojekte Werder (Havel)
AGCO GmbH-Firmenlogo
AGCO GmbH Planungsingenieur (m/w/d) Technik- und Systemplanung/programmierung im Werk Traktor Marktoberdorf
Jungheinrich Aktiengesellschaft-Firmenlogo
Jungheinrich Aktiengesellschaft Systems Architect (m/w/d) AGV Lüneburg, Norderstedt
MV Pipe Technologies GmbH-Firmenlogo
MV Pipe Technologies GmbH Ingenieur / Techniker (m/w/d) Automatisierung & Instandhaltung (Perspektive: Leiter) Wittenberge
A. Eberle GmbH & Co. KG-Firmenlogo
A. Eberle GmbH & Co. KG Technischer Support Spezialist (w/m/d) – Spannungsregelungs- / Kommunikations- / Fernwirktechnik für Energieversorger Nürnberg
Rollon GmbH-Firmenlogo
Rollon GmbH Außendienstmitarbeiter / Key Account Manager (m/w/d) Deutschland
ALFRED TALKE GmbH & Co. KG-Firmenlogo
ALFRED TALKE GmbH & Co. KG Elektroingenieur / Projektingenieur (m/w/d) Hürth
ASIS GmbH-Firmenlogo
ASIS GmbH Roboter Systemprogrammierer (m/w/d) Landshut, Lüneburg
Jungheinrich Aktiengesellschaft-Firmenlogo
Jungheinrich Aktiengesellschaft Embedded Softwareentwickler (m/w/d) Norderstedt
XTRONIC GmbH-Firmenlogo
XTRONIC GmbH Systemtestingenieur E/E (w/m/d) Böblingen

Alle Automatisierungstechnik Jobs

Top 5 Automation

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.