Cyber-Security-Konzept von Karamba: »Geräte sind nicht mehr auf Updates angewiesen«

Automatisierungstechnik und das IIoT erfordern ein grundsätzlich anderes Herangehen an Cyber-Security, findet Rainer Witzgall, Managing Director Deutschland bei Karamba Security, einem israelischen Anbieter von Cyber-Security-Produkten für die Industrie.

Witzgall_Rainer Karamba Bildquelle: © Karamba

Rainer Witzgall, Karamba Security: »Karamba Security erreicht eine Gerätehärtung über die Versiegelung der Software gegen verschiedene Arten von Angriffen.«

Frage: Wie funktioniert Karambas Security-Lösung technisch, bezogen auf Automatisierungssysteme?

Rainer Witzgall: Die meisten eingebetteten Lösungen in der Automatisierung sind geschlossene Systeme, die der Benutzer nicht verändern kann. Sie haben einen deterministischen Charakter und führen eine Reihe von endlichen Operationen aus, die alle in der integrierten Firmware definiert sind. So lässt sich jede nicht von der Geräte-Software vorgesehene Operation als Hacker-Angriff interpretieren und entsprechend abwehren. In der Praxis gibt es allerdings zusätzliche Mechanismen, die Geräteherstellern eine Aktualisierung der Firmware erlauben.

An welchen Stellen in Automatisierungssystemen ist Karambas Security-Lösung verankert? Welche Aufgaben erfüllt sie dort?

Karamba Security erreicht eine Gerätehärtung über die Versiegelung der Software gegen verschiedene Arten von Angriffen. Auf Basis eines Software-Mappings ermittelt unsere Lösung, welche Funktionsaufrufe gültig sind. Technisch ausgedrückt überprüft unsere Lösung die Control-Flow-Integrity (CFI). Anhand eines Aufrufdiagramms stellt die Validierungs-Engine während der gesamten Betriebslaufzeit sicher, dass nur legitime Funktionsaufrufe ausgeführt werden können. Dies bannt beispielsweise die Gefahr eines Buffer-Overloads, bei dem Angreifer versuchen, Malware direkt in den Speicher zu laden.

Für einen weitergehenden Schutz sorgt eine Whitelist-Komponente. Sie enthält alle legitim ausführbaren Binärdateien, beispielsweise Anwendungen und Systembibliotheken. Unsere Lösung umfasst eine Datenbank mit den Signaturen genehmigter Binärdateien. Sobald eine Datei geladen wird, lässt sich ihre eindeutige Signatur berechnen und mit der Datenbank abgleichen. Dies verhindert die Ausführung nicht genehmigter Dateien.

Wodurch unterscheidet sich Karambas Ansatz von dem anderer Anbieter?

Die Lösung erkennt zuverlässig Zero-Day- und Day-One-Angriffe. Bei ersteren handelt es sich um Angriffe auf Basis von Sicherheitslücken, die lediglich dem Angreifer bekannt sind. Aus diesem Grund gibt es dafür keine Signaturen. Day-One-Angriffe dagegen sind zwar bekannt, aber die Sicherheitslücken sind wegen Nachlässigkeiten der Systembetreiber noch nicht geschlossen oder die Signaturdatenbanken sind nicht auf dem aktuellsten Stand. Beides ist gerade bei eingebetteten Systemen und Geräten keine Seltenheit. In diesen Fällen ist eine deterministische Sicherheitslösung wie die von Karamba anderen überlegen.

Welche Vorteile haben Karambas Security-Angebote gegenüber denen anderer Anbieter?

Unsere Lösung vermeidet Fehlalarme, sowohl False Negatives als auch False Positives. Deterministische Sicherheit ist dabei nicht abhängig von aktuellen Datenbankeinträgen über Angriffstechniken oder Malware-Signaturen, die sich oft selbst als False Positives herausstellen. Bei Systemen mit hohem Datendurchsatz ist ein Fehlalarm sogar wahrscheinlicher als ein echter Angriffspunkt. Beides ist, vor allem in der Fertigungsindustrie, nicht tolerierbar. Denn häufig sind Produktionsausfälle und Datenverluste die Folge, was wiederum teils Umsatzverluste und erhebliche Kosten für die Wiederherstellung des Betriebs nach sich zieht. Unsere Lösung vermeidet diese Risiken für die Unternehmen.

Karamba Bildquelle: © Karamba

Mit Control Flow Integrity (CFI) und Whitelisting erkennt die Karamba-Security-Lösung einen Angriff, bevor das System kompromittiert wird.