Richtlinien gegen Sicherheitslücken in Legacy-Programmiersprachen veröffentlicht

Das Politecnico di Milano und Trend Micro haben einen Leitfaden für das Entwickeln mit Legacy-Programmiersprachen für Betriebstechnik in der Industrie erstellt.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 15 Beiträge

(Bild: Jenson/Shutterstock.com)

Von
  • Silke Hahn

Die Universität für Ingenieurswissenschaften Mailand (Politecnico di Milano) und das Cybersecurity-Unternehmen Trend Micro haben Designschwächen in älteren Programmiersprachen unter die Lupe genommen und gemeinsam Richtlinien erarbeitet, wie Industrie-4.0-Entwickler mit Legacy-Programmiersprachen und deren teils markanten Sicherheitslücken im Bereich operativer Technologien umgehen sollten.

Unter Operational Technology (OT) ist Betriebstechnik für Prozesse, Maschinen und Anlagen der Industrie zu verstehen, die ursprünglich von der IT getrennt war. Gegenwärtig findet auch für Industrietechnologie zunehmend eine Verschmelzung mit IT und Netzwerktechnik statt, was das Risiko von Angriffen durch Dritte und die Anforderungen an die Sicherheit des Codes erhöht. Die Richtlinien sollen OT-Entwickler dabei unterstützen, durch Legacy-Code bedingte Störungen im Betriebsablauf zu reduzieren.

Sichere Programmierung durch die Prozessinformatiker, das Segmentieren und Absichern von Netzwerken und intern nachvollzieh- und kontrollierbare Verwaltung des Automatisierungscodes sind gemäß Richtlinien die Hebel, an denen die herstellende Industrie ansetzen sollte. Die Herausgeber haben laut Blogeintrag für ihre Empfehlungen mit dem Robotic Operating System Industrial Consortium zusammengearbeitet. Schwachstellen im Code könnten es offenbar potentiellen Angreifern erlauben, Industrieroboter zu kapern und automatisch laufende Maschinen samt Produktionslinien zu unterbrechen oder geistiges Eigentum zu stehlen.

Im Umfeld der industriellen Automatisierungstechnik sind Unternehmen laut Blogeintrag auf solche Angriffe kaum vorbereitet. Die Richtlinien des Politecnico di Milano und von Trend Micro schlagen Best Practices vor, mit denen Unternehmen für höhere Netzwerksicherheit sorgen und den Code ihrer Anlagen gegen Ausfälle und Angriffe absichern können.

Eine Reihe proprietärer Programmiersprachen für Industrieanwendungen wie RAPID, KRL, AS, PDL2 und PacScript sind vor Jahrzehnten ohne die Vorstellung aktiver Angriffe von außen konzipiert worden. Während diese Sprachen grundlegend für zahlreiche Automatisierungsabläufe sind, lassen sie sich nicht ohne Weiteres auf heute angemessene Sicherheitsstandards aktualisieren. Ein großes Risiko für die Industrie ist offenbar auch sich selbst verbreitende Malware, die sich dieser Legacy-Programmiersprachen bedienen könnte.

Für die damit betrauten Entwickler dürfte es mitunter eine heikle Aufgabe sein, die aus bestehenden Sicherheitslücken resultierenden Angriffsflächen in älterer Betriebstechnik zu reduzieren und trotz vorhandener Designfehler möglichst sichere Anwendungen zu erstellen. Das Softwarerückgrat industrieller Automatisierung hängt offenbar großteils von Legacy-Technologien ab, die latente Schwachstellen in ihrer Architektur aufweisen. Sobald OT-Systeme über ein Netzwerk verbunden sind, werde es schwierig, Reparaturarbeit zu leisten und Aktualisierungen vorzunehmen, erläutert Bill Malik, der Vice President für Infrastruktur-Strategien bei Trend Micro.

Das Politecnico di Milano (POLIMI) ist die größte technische Universität Italiens und Mailands älteste Universität, gegründet 1863. Im Ranking der Technischen Universitäten weltweit befindet sie sich derzeit in den Top-20. Das POLIMI verfügt über eine Forschungsabteilung zur Industrie 4.0 (Industry 4.0 Lab). Trend Micro ist eine Firma, deren Wurzeln im Erstellen von Antiviren-Software (seit 1988) und dem Absichern von IT-Systemen liegt, sie bietet schwerpunktmäßig Anleitung für das Erstellen, Programmieren, Überprüfen und die laufende Wartung industrieller Systeme sowie Tools zum Scannen und Blockieren von potentiell anfälligem oder schädlichem Code.

Weiterführende Informationen lassen sich dem Blogeintrag von Trend Micro entnehmen. Den vollständigen Untersuchungsbericht und die Richlinien können Interessierte von der Website des Unternehmens kostenlos herunterladen.

(sih)