Das Betriebssystem eines Computers ist oft das Ziel eines Malware-Angriffs. Es ist daher sehr wichtig, ein Betriebssystem zu verwenden, welches vom Lieferant zumindest mit IT-sicherheitsrelevanten Patches über eine ausreichend lange Zeit versorgt wird.

Massnahmen

Folgende Massnahmen für alle PCs im Zuständigkeitsbereich der GA-Domäne müssen umgesetzt werden:

  • Betriebssysteme, die bereits abgelöst oder kurz vor Ende der Support-Zeit sind, dürfen nicht mehr eingesetzt werden. Prüfen Sie http://support.microsoft.com/lifecycle/ auf Lifecycle-Zeiten für Microsoft Betriebssysteme.
  • Stellen Sie sicher, dass ein Viren-Scanner auf allen PCs installiert und aktiv ist, inklusive temporär verbundende Computer wie Tool-PCs, und dass das Antivirus-System mit der Software von Siemens kompatibel ist.
  • Stellen Sie sicher, dass alle verfügbaren Betriebssystem-Patches und Virenscanner-Updates regelmässig auf den PCs installiert werden.

Koordination mit IT-Abteilung

Für die GA-Computer sollten vorzugsweise Viren-Scanner und Update-Richtlinien der IT-Abteilung des Kunden angewendet werden. Die entsprechenden Anforderungen für die Siemens-Produkte müssen jedoch auch erfüllt werden. Sprechen Sie mit der IT-Abteilung ab, dass diese Computer in deren Support-Aktivitäten mit einbezogen werden. Akzeptieren Kunden Ihre entsprechenden Vorschläge nicht, dokumentieren Sie dies.

Beachten Sie, dass diese Richtlinien während des gesamten Lebenszyklus der Installation gültig sind. Wird für ein Projekt ein Service-Vertrag mit Verantwortung für den IT-Support abgeschlossen, dürfen Themen wie die Migration auf neue Betriebssysteme nicht vergessen gehen.

Es ist wichtig, dass die IT-Abteilung des Kunden versteht und akzeptiert, dass die IT-Bedrohungssituation sehr schnellen Änderungen unterliegt und jedes System eine konstante Überwachung und Aktualisierung benötigt, um mit den neusten Entwicklungen im Bereich Sicherheitsangriffe Schritt halten zu können.

Router mit Malware-Erkennung

Selbst Router für kleine Firmen können eine optionale Malware-Erkennung anbieten. Für einen klar umrissenen Zweck gebaute Geräte sind weniger verwundbar durch Malware als die eines normalen PCs. Ein 2-stufiges Sicherheitskonzept mit unterschiedlichen Scannern auf Router und PC erhöht die IT-Sicherheit zusätzlich. Der Einsatz eines Routers mit guter Malware-Erkennung eines bekannten Herstellers zusätzlich zu der Malware-Erkennung auf allen PCs ist in Betracht zu ziehen.

Zusatzmassnahmen

Ein Managementstation-Server (und z.B. OPC-Clients) sind nicht für Nicht-GA-Aufgaben wie Lesen von E-Mail, Surfen im Internet oder Drittsoftware-Installationen zu verwenden. Tool-PCs sowie installierte Managementstation-Clients dürfen ebenfalls nicht für andere Aufgaben verwendet werden.

Browser auf PCs für den Zugriff auf GA-Systemwebseiten sind mit Tools, die JavaScript sperren, auszustatten, um potentiell nichtvertrauenswürdige Webseiten daran zu hindern, Code im Browser auszuführen. NoScript kann z.B. im Firefox-Browser verwendet werden. JavaScript von GA-Webservern muss jedoch permanent aktiviert sein, damit ein korrekter Betrieb möglich ist.

Flash-Drives und ähnliche Medien für den Datenaustausch mit GA-Systemen dürfen nicht für andere Aufgaben verwendet werden. Ebenso ist sicherzustellen, dass die AutoRun-Funktion auf diesen Medien deaktiviert ist.

Siehe http://support.microsoft.com/kb/967715/en-us.