Mit Kleinfirewalls Problemgeräte abschotten

Windows-7-PCs, Maschinen mit veralteter Steuersoftware, jahrzehntealte Drucker, IP-fähige Medizintechnik: Solche Geräte sind beliebte Angriffsziele für Hacker. Einmal im Netz, breiten sich Viren und Trojaner von dort ungehindert aus. Das muss nicht sein: Problemzonen wie diese lassen sich einfach mit einer Kleinfirewall vom restlichen Netz abschotten.

Alarmstufe rot bei der Heise Gruppe und im Verlag Heinz Heise, einem Schwesterunternehmen von Heise Medien: Die Schadsoftware Emotet hatte die Infrastruktur der Unternehmen infiziert, nur das Kappen der Internetverbindung für alle betroffenen Netze verhinderte Schlimmeres. Ähnliche Vorfälle mit zum Teil noch gravierenderen Folgen ereigneten sich in jüngster Zeit auch beim Industriekonzern KraussMaffei und dem Klinikum Fürstenfeldbruck.

Dabei sind sich die Infektionswege immer ähnlich: Die Malware gelangt über einen kompromittierten E-Mail-Anhang auf einen Rechner. Öffnet der Adressat die angehängte Datei, nimmt das Unheil seinen Lauf. Der Schädling wird aktiv, kontaktiert den Command-and-Control-Server des Angreifers und lädt weitere Schadsoftware nach. Da sich der infizierte PC innerhalb des internen Firmennetzes befindet, greifen Schutzmaßnahmen wie Firewalls oder Intrusion-Detection-and-Prevention-Systeme (IDS/IPS) nicht.

Infizierte E-Mails sind aber nur ein Angriffsvektor, den Kriminelle gerne nutzen. Andere typische Methoden sind die Verbreitung modifizierter USB-Sticks, aber auch der gezielte Scan nach offenen Ports oder besonders anfälligen Geräten. Wenn etwa Windows-7-PCs, Werkzeugmaschinen mit veralteten Steuerrechnern, Medizintechnik in Arztpraxen oder Steuergeräte für die Haustechnik von außen über das Internet sichtbar sind, gehen Unternehmen ein hohes Risiko ein. Einmal infiziert können sich Schädlinge von diesen Schwachstellen aus ungehindert im Netzwerk ausbreiten.

Natürlich wäre es das Sicherste, solche Geräte komplett vom Netz zu nehmen, auszutauschen oder die Software zu aktualisieren. Häufig ist das aus den verschiedensten Gründen jedoch nicht möglich, etwa weil Spezialsoftware nur auf veralteten Betriebssystemen läuft, für längst abgeschriebene Maschinen keine Updates mehr zur Verfügung stehen oder ein Ersatz schlichtweg zu teuer wäre. Im medizinischen Bereich kommen noch hohe regulatorische Hürden hinzu. Neugeräte und Updates müssen einen oft jahrelangen Genehmigungsprozess durchlaufen, bevor Sicherheitslücken überhaupt geschlossen werden können.

 

 

Verinselung mit der Microwall ist einfach umzusetzen und steigert das Sicherheitsniveau im Unternehmensnetz. Davon profitieren insbesondere kleinere Betriebe, für die sich eine aufwändige Segmentierung nach Abteilungen nicht lohnt.

 

Abschottung statt Austausch

Die weitgehende Isolation dieser Geräte kann daher einen wesentlichen Beitrag zur IT-Sicherheit leisten. Durch Kleinfirewalls, sogenannte Microwalls, lassen sich die Geräte zuverlässig vom internen Netz, und damit auch vom Internet abschotten. Nur die für den Betrieb absolut erforderliche Kommunikation wird per Whitelist erlaubt. Da meist nur sehr wenige Ports und IP-Adressen für ein einwandfreies Funktionieren notwendig sind, ist der Konfigurationsaufwand sehr gering. Für Angreifer sind diese Geräte nun nahezu unsichtbar. Selbst wenn sie kompromittiert würden, hielte sich der Schaden in engen Grenzen, da der Angreifer weder Kontakt zum Command-and-Control-Server aufnehmen, noch sich ungehindert im internen Netz ausbreiten könnte.

 

 

 

Mit Kleinfirewalls lassen sich aber nicht nur anfällige Altsysteme, sondern prinzipiell alle nicht vertrauenswürdigen Geräte gezielt abschotten, etwa der Staubsaugerroboter, IoT-Gadgets oder Gästezugänge. Auch eine funktionale Trennung von Subnetzen ist ein mögliches Szenario. Dabei arbeitet die Microwall als NAT-Router (Network Address Translation) und schafft so separate Insel-Netzwerke. Die Einsatzmöglichkeiten sind vielfältig. So lässt sich durch eine solche Verinselung beispielsweise verhindern, dass Mitarbeiter aus einer Abteilung auf die internen Ressourcen einer anderen zugreifen können. In der Gastronomie kann der Wirt Buchhaltung, Kassensystem und Gästenetz zuverlässig gegeneinander abschotten und in Kleinunternehmen und Familienbetrieben lässt sich die private von der geschäftlichen IT-Umgebung trennen.

 

So isolieren Sie Ihre Geräte zuverlässig

In folgenden vier Schritten können Sie gefährdete Systeme zuverlässig nach außen abschotten und vor Infektionen schützen:

  1. Bestimmen Sie die Bedrohungslage. Zunächst sollten Sie feststellen, wie exponiert das zu schützende Gerät ist. Verwenden Sie dazu ein Netzwerkanalyseprogramm wie „nmap“ oder „Wireshark“, die Ihnen sämtliche offenen TCP- und UDP-Ports anzeigen.
  2. Identifizieren Sie die notwendigen Kommunikationsregeln. Meist wird der Portscan eine Vielzahl offener Ports ergeben, die für das Funktionieren eines Gerätes gar nicht gebraucht werden. Wenn zum Beispiel eine Maschine mit einem Datei-Server kommunizieren muss, um Produktionsdaten abzurufen, sind Komfortfunktionen wie die Suche nach Rechnern und Freigaben im Netz ebenso überflüssig wie NetBIOS-Transportprotokolle. Die entsprechenden Ports können geblockt werden.
  3. Konfigurieren Sie die Geräte. Auf Basis des Portscans und der Funktionsanalyse können Sie nun die Firewallregeln definieren und die IP-Netze für die zu isolierende Maschine und die Firewall einrichten. Die Microwall fungiert dabei als Standardgateway für das zu isolierende Gerät und erhält die ursprüngliche IP-Konfiguration der Maschine. Damit ändert sich im umgebenden Netzwerk bis auf die Hardware-Adresse nichts.
  4. Testen Sie die Konfiguration. Überwachen Sie für einige Tage oder Wochen die Funktion der isolierten Maschine. Spielen Sie dabei sämtliche Einsatzszenarien durch, auch solche, die nur sehr selten, etwa nur einmal im Jahr oder einmal pro Quartal auftreten. Sollte es zu Funktionseinschränkungen kommen, detektieren Sie mithilfe der Netzwerkanalyse die betroffenen Ports und passen Sie die Firewallregeln entsprechend an.

 

Fazit

Kein Unternehmen ist heute mehr vor Schädlingen wie Emotet sicher – das haben die jüngsten Vorfälle eindringlich gezeigt. Umso wichtiger ist es, die Angriffsfläche so klein wie möglich zu halten und vor allem problematische, weil prinzipiell unsichere Geräte im Netz zu isolieren. Ein schneller und einfacher Weg zu einer solchen Verinselung sind Kleinfirewalls, die zwischen Gerät und Netz installiert werden. Sie schotten das gefährdete System ab und begrenzen den IP-Verkehr auf das absolut Notwendige. So lassen sich auch veraltete Maschinen und Rechner weiter betreiben, ohne Kompromisse bei der Sicherheit machen zu müssen.

 

kommentar field