- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Verwendete Windows-XP-Umgebungen virtualisieren


Sechs Sicherheitstipps: Windows XP wird uns noch eine Weile begleiten (müssen)
Trend Micro: Wir unterstützen Windows XP noch bis 2017

Von Udo Schneider, Trend Micro

(29.04.14) - Noch rund ein Fünftel aller PCs sind weltweit mit Windows XP ausgestattet. Was ist los? Sind die Anwender zu sorglos oder einfach zu naiv, um zu verstehen, dass hier ein massives Sicherheitsproblem lauert? Es mag sicherlich einige geben, für die das zutrifft. Wer damit jedoch das Problem abtut, verkennt, dass viele Unternehmen vielleicht sogar noch Jahre auf Windows XP angewiesen sein werden. Und diese Unternehmen sind weder zu sorglos noch zu naiv. Es ist die IT-Sicherheitsbranche, die umdenken muss.

Steuerungsrechner und -software auf der Basis von Windows XP finden in der Industrie, aber auch im Dienstleistungssektor – man denke nur an die Selbstbedienungsautomaten in Bankfilialen – breite Verwendung. Und dort hat das Ziel eines unterbrechungsfreien Betriebs oberste Priorität. Was auf dem Rechner zu Hause als ein triviales Problem erscheint – die Funktion "Autoupdate" sorgt dafür, dass das Betriebssystem stets auf dem aktuellen Stand ist –, stellt die IT-Verantwortlichen selbst im administrativen Bereich ihrer Unternehmen vor erhebliche Herausforderungen. Denn Aktualisierungen sowie Patches zum Schließen von bekannt gewordenen Sicherheitslücken können nur nach einem festen Zeit- und Ressourcenplan eingespielt werden, der Angreifern viele Möglichkeiten für Infektionen gibt. Und im Produktionsumfeld können manche Systeme – hier laufen sogar noch Windows-2000-Steuerungsrechner – erst dann ausgetauscht werden, wenn der Maschinenpark erneuert wird. Hier bestimmt der Lebenszyklus der Maschine den Zeitplan, nicht der des Betriebssystems. Denn die mit der rein softwarebedingten Unterbrechung verbundenen Kosten sind einfach zu groß.

Die Kanzlerin hat Recht: Bei ihrer Eröffnungsrede auf der Hannover Messe 2014 hat Bundeskanzlerin Angela Merkel appelliert, dass die IT-Branche und die Industrie stärker als bisher aufeinander zugehen sollten. Laut Medienberichten sagte sie wörtlich: "Vertragen Sie sich, seien Sie neugierig auf das, was kommt, und hängen Sie nicht zu sehr an Ihren alten einzelnen Branchen." Das war zwar vor allem auf die Digitalisierung der Produktion und eine erhoffte Aufholjagd der europäischen ITK-Branche im globalen Wettbewerb gemünzt, trifft jedoch auch auf die Sicherheitsthematik zu. Denn mehr Vernetzung in der Fabrik bedeutet auch mehr Gefahren für das geistige Eigentum. Umgekehrt heißt das aber auch, dass die IT- und speziell die Sicherheitsanbieter stärker auf die Bedürfnisse der Industrie bei der Entwicklung ihrer Lösungen und Services Rücksicht nehmen müssen.

Sichtbarstes Zeichen, dass hier noch einiges im Argen liegt, ist die jüngste Kontroverse zum Support-Ende von Windows XP, die sich auf der diesjährigen CeBIT entsponn. Dort wurde von einigen behauptet, nur wer zum Umstieg auf eine neuere Betriebssystemversion rate, handele seriös – angesichts der damit verbundenen Schwierigkeiten für die Unternehmen ein höchst fragwürdiger Ratschlag. Oft lautet das Gegenteil von "gut" eben "gut gemeint". Oder wie unser CTO Raimund Genes es ausdrückte: "Wir unterstützen Windows XP noch bis 2017 – und tun das zum Beispiel für Kunden wie Siemens, statt sie zu einem Umstieg auf ein System zu drängen, das nicht ihren Vorstellungen entspricht. Das nenne ich seriös."

Sechs Tipps: Was Anbieter und IT-Sicherheitsfirmen jetzt tun sollten
Mit einer Verlängerung des Supports allein ist es jedoch nicht getan. Vielmehr müssen IT-Sicherheitsanbieter zusätzlich Produkte und Lösungen entwickeln, die auf die besonderen Bedingungen in der Industrie zugeschnitten sind und die Unternehmen auf ihrem Weg in die digitalisierte und vernetzte Produktion und Dienstleistung begleiten. Ein Beispiel hierfür ist das Industrie-4.0-Lösungsangebot von Trend Micro, das aktuell um zwei Komponenten – "Trend Micro Portable Security" und "Trend Micro SafeLock" – erweitert wurde, die beide auf der Hannover Messe gezeigt werden und die speziell für nicht vernetzte Umgebungen, Maschinen und Steuerungsanlagen konzipiert wurden.

Aber auch die Unternehmen, die weiterhin Windows-XP-Systeme einsetzen müssen, sollten ein paar Maßnahmen beherzigen, mit denen sie das damit verbundene Risiko reduzieren können:

>>
Wo immer möglich, sollten die verwendeten Windows-XP-Umgebungen virtualisiert werden. Dies bietet eine zusätzliche Sicherheitsschicht, die selbst abgesichert werden kann, und erleichtert das Management.

>> An der Stelle im Netzwerk, an der die Windows-XP-Systeme angebunden sind, sollte der Domain Controller ausschließlich im Lesemodus betrieben werden. Dadurch lassen sich die Windows-Maschinen weiterhin aus der Ferne verwalten und warten, gleichzeitig sinkt das Infektionsrisiko in anderen Teilen des Netzwerks.

>> Die Sicherheitseinstellungen der Gruppenrichtlinie für die vorhandenen Windows-XP-Systeme sollten das höchstmögliche Niveau haben. Es empfiehlt sich daher, die Einstellungen der "Specialized Security – Limited Functionality (SSLF)"-Gruppenpolicy anzuwenden.

>> Wo immer möglich, sollte die Kommunikation von Windows-XP-Maschinen mit externen Netzwerken unterbunden werden. Falls dies nicht möglich ist, sollten Web-Proxies oder Application-Layer-Firewalls eingesetzt werden.

>> Der Internet Explorer 8 sollte auf den Windows-XP-Rechnern dann und nur dann genutzt werden, wenn die damit geöffnete Webseite nicht durch einen anderen Browser angesteuert werden kann.

>> Ergänzend zu den auf den Windows-XP-Rechnern installierten Sicherheitslösungen sollten so genannte IPS-Lösungen ("Intrusion Prevention Systems") die Aktivitäten im Netzwerk überwachen, um das Eindringen von Schadcode zu verhindern.

Dabei gilt es immer zu bedenken, dass auch die beste Technik hundertprozentige Sicherheit nicht garantieren kann. Wer dies behauptet, ist unseriös. Sicherheitsprodukte und -lösungen müssen deshalb immer Teil einer Sicherheitskultur und entsprechender Prozesse in den Unternehmen sein. Auch hier können IT-Anbieter und Industrieunternehmen sehr viel voneinander lernen.

Über Udo Schneider
Udo Schneider kennt sich aus mit den Gefahren, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bevor er beim IT-Sicherheitsanbieter Trend Micro seine jetzige Position als Pressesprecher antrat, beschäftigte er sich als Solution Architect EMEA mehrere Jahre lang mit der Entwicklung geeigneter Maßnahmen gegen diese Gefahren – mit Fokus auf Cloud-Computing, Virtualisierung, Verschlüsselung und Netzwerksicherheit. Schneider kommt dabei seine langjährige Erfahrung zugute, die er als Berater, Trainer und Security-Analyst bei verschiedenen Anbietern des IT-Sicherheitsmarktes erworben hat.
(Trend Micro: ra)

Trend Micro: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.