Aktives Scannen: den Hackern einen Schritt voraus

Roger Homrich,

In der vernetzten Produktion wachsen IT und OT zusammen. Damit steigt das Sicherheitsrisiko deutlich bis hin zu Produktionsausfällen.

Viele Unternehmen kennen die Schwachstellen ihrer IT-Systeme zu wenig. Sie schützen zwar ihre klassische IT-Infrastruktur, aber die Digitalisierung öffnet neue Einfallstore für Hacker.  Beispiel Schließanlagen von Gebäuden. Mit ein paar Klicks könnten Hacker Schließmechanismen für Tore und Türen austricksen oder die Kontrolle von Überwachungskameras übernehmen. Ob es eine Schwachstelle im System gibt, wissen manche Unternehmen erst, wenn Hacker sie ausgenutzt haben.

Solche Schwachstellen lassen sich durch aktives Scannen herausfinden, die anders arbeiten als Firewalls und Antivirus-Programme, die passive Scans nutzen. Dafür überprüfen sie den laufenden Datenverkehr, gleichen Daten mit einer Datenbank ab, in der  Informationen zu Schadsoftware, unsicheren Anfragen und anderen Anomalien hinterlegt sind. Ist der Sender unsicher, lehnt sie die Anfrage ab. Zwar werden Datenbanken von Firewalls und Virenscannern regelmäßig upgedatet. Doch manchmal arbeiten Cyberkriminelle schneller als die IT-Sicherheits-Experten. Das Verfahren ist also nur so gut, wie die Datenbank, mit der es arbeitet.

Verborgene Sicherheitslücken entdecken

Aktive Scans arbeiten anders. Sie simulieren Angriffe, indem sie  Anfragen an das System stellen und damit unterschiedliche Reaktionen auslösen wollen. Der aktive Scanner schickt zum Beispiel eine Anfrage zur Datenübermittlung an verschiedene Programme im System. Reagiert eines der Programme und leitet die Daten an die simuliert unbefugte Stelle weiter, hat der Scanner eine Sicherheitslücke gefunden.

“Die Datenqualität, die beim aktiven Scannen erreicht werden kann, ist höher als beim passiven Scannen. Da man direkt mit Software und Schnittstellen interagiert, lassen sich Probleme in Programmen identifizieren, die normalerweise nicht direkt mit dem Netzwerk kommunizieren. So entdeckt man auch Schwachstellen in Programmen wie Office-Anwendungen”, erklärt Jan-Oliver Wagner, CEO von Greenbone Networks, einem auf Schwachstellenanalyse und -management spezialisierten Security-Dienstleister aus Osnabrück.

Produktionsausfälle verhindern

Aktives Scannen hat einen Nachteil gegenüber Firewall- und Antivirus-Software: Bei der direkten Interaktion müssen Systeme Extraanfragen bearbeiten, die dann unter Umständen die Grundfunktionen eines Programms beeinträchtigen. “Betriebstechnik wie Maschinensteuerungen sind zum Beispiel nicht unbedingt dafür ausgelegt, Nebentätigkeiten auszuführen. Wenn sie Teil eines Netzwerks sind, können sie durch den aktiven Scanner allerdings angepingt werden”, sagt Wagner.

Trotzdem seien aktive Scans für die betriebliche Cybersecurity essenziell. Wagner: “Denn das Risiko, welches von der kurzfristigen Überbeanspruchung einer Systemkomponente ausgeht, ist klein, verglichen mit einem Produktionsausfall oder einem Datenleck. Zudem decken aktive Scans nicht nur Schwachstellen auf, sie können auch passive Scans verbessern”. So lassen sich die Schwachstellen, die man findet, etwa in die Datenbanken von Firewalls aufnehmen. Was auch anderen Unternehmen helfen kann, die ähnliche Systeme nutzen.