Eine Sandburg am Strand

Für die meisten Softwarehersteller ist ganz klar: Es gibt Produktlebenszyklen, vom Launch der Software, über einen Zeitraum mit Herstellersupport, irgendwann dann ein extended Support, und irgendwann ist Schluss, denn dann ist der Nachfolger am Start – und es „darf“ migriert werden!

Die Betreiber alter Software werden gerne als fortschrittsfeindlich, nicht innovativ oder gar als faul, respektive gezigig dargestellt. Manche haben den Absprung tatsächlich nicht rechtzeitig geschafft – und jetzt steht das Risiko einer Komplettmigration und der damit einhergehende – wenn auch nur temporäre – Wegfall der Geschäftsprozesse in keinem Verhältins zum Weiterbetrieb einer virtuellen DOS-Umgebung!

Wieder andere plagen sich mit Embedded Systems längst vergangener Tage herum – Die millionenteure Fertigungsmaschine läuft nun einmal mit einem Windows XP embedded, daran ist nichts zu rütteln. Dass in dem einen oder anderen Fall der Hersteller dieser tonnenschweren nicht mehr existiert oder das Knowhow im Laufe der der letzten fünf Übernahmen sukzessive verloren gegangen ist, verbessert die Kundensituation nicht wirklich.

Solche Dinosaurier zu betreiben hat technisch betrachtet riesige Auswirkungen, insbesondere auf die IT-Sicherheit. Zwei Beispiele: Ein solches XP embedded unterstützt beim Zugriff auf Dateifreigaben nur das unsichere Übertragungsprotokoll SMBv1. Hierbei werden aber nicht nur die Daten selbst unsicher (weil Klartext) übertragen, sondern auch die Anmeldeinformationen.

Ganz egal wie komplex und sicher Ihre Kennwörter sind, soeben wurde das alles ausgehebelt – denn das löcherige Windows XP kann prinzipiell auch von Angreifern genutzt werden, um leichter zu brechende oder – noch einfacher – direkt Klartextauthentifizierungen für andere Benutzerkonten zu versuchen.

Auch bei der Verschlüsselung mit gängigen Protokollen wie TLS1.2 oder 1.3 sieht die Sache düster aus. Die Unterstützung für TLS 1.1 und 1.2 wurde per Patch im Jahre 2009 bereitgestellt – das bedeutet aber selbstverständlich nicht, dass dieser Patch auch auf der Maschine einfach installiert werden kann, ohne sie ausßer Funktion zu setzen!

Solche Geräte und Maschinen heute zu schützen gleicht dem Versuch, eine Sandburg am Meer gegen die Gezeiten schützen zu wollen – und trotzdem ist das prinzipiell möglich:

  • Wir können die Sandburg mit einem Kofferdamm schützen
  • Wir können die Sandburg weiter weg von der Brandung verlegen
  • Wir können den Zugang zur Sandburg für nicht autorisierte Personen unterbinden

Natürlich gibt es – wie immer in der IT – keine One-Size-Fits-All-Lösung, das wäre zu einfach und auch nicht seriös, zu behaupten!

Wir müssen stehts das Umfeld einer solchen Software genauso in eine Lösung mit einbeziehen, denn die oft erzwungene Kompatibilität fordert oft an vielen Stellen im Netzwerk ihren Preis:

Eine alte Lagerverwaltungssoftware oder ein Hochregal unterscheiden sich erheblich von einer Warenwirtschaft, die eine offene Schnittstelle zu Shops im Internet bereitstellt. Letztere wird man nicht derart vollständig isolieren können, wie man das vielleicht möchte. Hier würde man beispielsweise spezialisierte Web Application Firewalls einsetzen, die Anfragen aus dem Internet analysieren und bei erkannten Angriffsmustern die Verbindung zum Angreifer abbrechen. An dieser stelle könnte man auch modernere Verschlüsselungen nutzen, als die eigentliche Software bereitstellt, denn als „Man in the Middle“ würde das dann die WAF übernehmen können – selbst dann, wenn die Software sogar gar keine Verschlüsselung unterstützen würde!

Die vorgenannte Maschine könnte man beispielsweise im Netzwerk isolieren, und auf eine eigene Dateifreigabe auf einem ebenfalls isolierten und eigens geschützten Rechner zugreifen lassen. Den Netzwerkport der Maschine könnte man spiegeln und diese Spiegeldaten als Grundlage für eine dauerhafte Überwachung auf Unregelmäßigkeiten verwenden.

Nur: Wir müssen bei der Sandburg anfangen – die Brandung wird nicht plötzlich verschwinden, selbst wenn es ein ruhiger Tag am Meer zu sein scheint – sie kommt wieder, garantiert! Und manchmal auch mit viel Kraft und Reichweite.

Categories:

Tags:

No responses yet

Schreibe einen Kommentar