Skip to content

Safe Lock

Sicherheit für Industrial Control Systems (ICS) in einer Industrie 4.0-Umgebung ohne die Installation von Malware-Schutz

Safe Lock

Leitgedanke von Industrie 4.0 ist die intelligente Fabrik (Smart Factory). Dies beinhaltet, dass Kontrollsysteme untereinander und mit anderen Systemen auf höherer Ebene kommunizieren müssen. Die Systeme stellen damit ein potenzielles Angriffsziel für bösartige Aktivitäten wie z. B. Zeus dar. Gewöhnlich ist die Installation von Sicherheitslösungen auf diesen Systemen nicht zulässig, da sie regelmäßige Änderungen und Updates erfordern. Safe Lock wurde speziell für die Sicherheitsanforderungen in Industrie 4.0-Umgebungen entwickelt, indem es Industrial Control Systems (ICS) mit einer einzigartigen Zusammenstellung aus Sicherheitstechnologien schützt, ohne dass regelmäßige Updates oder Änderungen anfallen.


Safe Lock wehrt Eindringlinge ab und verhindert das Ausführen von Malware, indem die Verfügbarkeit des Systems mittels Lockdown* (Systemsperre) auf einen bestimmten Verwendungszweck beschränkt wird. Safe Lock schützt industrielle Kontrollsysteme und integrierte Geräte, die eine hohe Verfügbarkeit erfordern, sowie Geräte mit fest definierten Funktionen in geschlossenen Umgebungen. Dabei wird die Systemleistung durch das Produkt kaum beeinträchtigt und es müssen keine Pattern-Dateien aktualisiert werden. Dank der anwenderfreundlichen Benutzeroberfläche und der Kompatibilität mit Trend Micro Portable Security 2** lässt sich Safe Lock schnell und einfach installieren und bietet eine hohe Anwenderfreundlichkeit.

*) Systemverfügbarkeit wird auf einen bestimmten Verwendungszweck begrenzt, indem die Systemfunktionen beschränkt und die Ressourcen sowie der Zugriff auf das System kontrolliert werden.
**) Trend Micro Portable Security 2: Tool zur Suche und Beseitigung von Malware für Standalone-PCs oder geschlossene Systeme

Safe Lock – Abbildung 1


Safe Lock wurde entwickelt, um folgende Probleme zu beheben:

Problem 1: Sicherheitsmaßnahmen, die Pattern-Dateien verwenden, beeinträchtigen die Systemverfügbarkeit

Lösung: Whitelist für Anwendungen

Durch Verwendung eines Ansatzes, bei dem nur Anwendungen ausgeführt werden dürfen, die zuvor in der Liste der zulässigen Anwendungen gespeichert wurden, kann die Ausführung von Malware verhindert werden. Die Systemleistung wird dabei nur geringfügig und wesentlich weniger beeinträchtigt als bei der Verwendung von Sicherheitssoftware, die auf Pattern-Dateien basiert. Darüber hinaus beeinträchtigt Safe Lock nicht die Leistung kritischer Systemkommunikationen und erfordert keinen Neustart des Systems während des laufenden Betriebs.

 

Problem 2: In einer geschlossenen Umgebung sind keine fortlaufenden Aktualisierungen von Pattern-Dateien verfügbar

Lösung: Keine Internetverbindung erforderlich

Da keine routinemäßigen Updates von Pattern-Dateien erforderlich sind, kann Safe Lock Terminals in Umgebungen schützen, die nicht mit dem Internet verbunden sind.

 

Problem 3: Malware-Infektionen über externe Speichergeräte oder Netzwerke

Lösung: Schutz vor Schwachstellenausnutzung

Durch die Funktionen zur Abwehr von Eindringlingen und Malware verhindert Safe Lock Angriffe über Netzwerke oder externe Speichergeräte (z. B. USB-Speicher) sowie Angriffe auf laufende Prozesse. Safe Lock reduziert damit das Risiko einer Malware-Infektion oder der unbefugten Ausführung von Anwendungen.

Safe Lock – Abbildung 4

.

Problem 4: Die Wartung einer Sicherheitslösung ist kompliziert und erfordert einen sehr hohen Verwaltungsaufwand

Lösung: Anwenderfreundliche Ausführung

Die übersichtliche und anwenderfreundliche Benutzeroberfläche von Safe Lock sowie die Kompatibilität mit Portable Security ermöglicht eine effiziente Durchführung von Wartungsarbeiten. Durch das Festlegen einer vertrauenswürdigen für Updates zuständigen Person kann Safe Lock darüber hinaus ausgeführt werden, ohne die Wartungsfreundlichkeit zu beeinträchtigen.


Whitelist für Anwendungen

Beim Start einer Anwendung wird anhand der Liste zulässiger Anwendungen überprüft, ob die Anwendung ausgeführt werden darf oder nicht*. Safe Lock verfügt über zwei Modi: „Block“ (sperren) und „Detect only“ (nur erkennen). Es werden unter anderem EXE-Dateien, DLL-Dateien, Treiber und Skriptdateien überprüft.

* Die Liste zulässiger Anwendungen speichert Dateipfade und Hashwerte der überprüften Dateien.

Safe Lock – Abbildung 5

 

Verwaltung der Liste der zulässigen Anwendungen

Safe Lock bietet verschiedene Funktionen für eine schnelle und einfache Implementierung sowie hohe Transparenz und Anwenderfreundlichkeit. Hierzu zählen z. B. die einfache Erstinstallation, bei der die bereits überprüften Dateien des Systems automatisch erfasst werden, die manuelle Bearbeitungsfunktion der Liste, eine Funktion zur Festlegung einer vertrauenswürdigen für Updates zuständigen Person, eine Export-/Importfunktion der Liste sowie eine Funktion zur Überprüfung von Hashwerten.

Safe Lock – Abbildung 6

 

Schutz vor Schwachstellenausnutzung

Um das Risiko einer Malware-Infektion oder unberechtigten Ausführung von Programmen zu verringern, bietet Safe Lock verschiedene Funktionen. Zum Beispiel: Schutz vor USB-Malware, Netzwerkviren, DLL-Injection und API-Hooking sowie Funktionen zur Speicherrandomisierung.

Rollenbasierte Verwaltung

Safe Lock bietet sowohl Administratorkonten als auch Anwenderkonten mit eingeschränkten Berechtigungen. Die Safe Lock Funktionen, die für Anwender mit eingeschränkten Berechtigungen verfügbar sind, können begrenzt werden.

Protokoll

Safe Lock erstellt eine Reihe von Betriebsprotokollen im Windows Ereignisprotokoll. Während des Betriebs werden keine Benachrichtigungen angezeigt, um die Systemverfügbarkeit nicht zu beeinträchtigen.

Kompatibilität mit Trend Micro Portable Security

Auf einem Terminal mit installierter Safe Lock Lösung kann Portable Security – unser Tool zum Suchen und Beseitigen von Malware auf Standalone-PCs oder geschlossenen Systemen – verwendet werden, ohne dass vorher die ausführbare Datei von Portable Security zur Liste der zulässigen Anwendungen hinzugefügt werden muss.

Benutzeroberfläche

Safe Lock bietet nicht nur eine Befehlszeile, sondern auch eine anwenderfreundliche und übersichtliche Benutzeroberfläche.

* Weitere Informationen zu einzelnen Funktionen finden Sie im Safe Lock Administratorhandbuch (PDF/engl.).


  Safe Lock für Client Safe Lock für Server
Betriebssysteme
  • Windows 2000 Professional SP4 (32 Bit)
  • Windows XP Professional SP1, SP2, SP3 (32 Bit)
  • Windows Vista Business/Enterprise/Ultimate NoSP, SP1, SP2 (32 Bit)
  • Windows 7 Professional/Enterprise/Ultimate NoSP, SP1 (32/64 Bit)
  • Windows XP Embedded Standard SP1, SP2 (32 Bit)
  • Windows Embedded Standard 2009 NoSP (32 Bit)
  • Windows Embedded Standard 7 NoSP, SP1 (32/64 Bit)
  • Windows Embedded Enterprise XP SP1, SP2, SP3 (32 Bit)
  • Windows Embedded Enterprise Vista NoSP, SP1, SP2 (32 Bit)
  • Windows Embedded Enterprise 7 NoSP, SP1 (32/64 Bit)
  • Windows 2000 Server SP4 (32 Bit)
  • Windows 2003 Standard/Enterprise/Storage SP1, SP2 (32 Bit)
  • Windows 2003 R2 Standard/Enterprise/Storage NoSP, SP2 (32 Bit)
  • Windows 2008 Standard/Enterprise/Storage SP1, SP2 (32/64 Bit)
  • Windows 2008 R2 Standard/Enterprise/Storage NoSP, SP1 (64 Bit)
  • Windows Embedded Server 2003 SP1, SP2 (32 Bit)
  • Windows Embedded Server 2003 R2 NoSP, SP2 (32 Bit)
  • Windows Embedded Server 2008 SP1, SP2 (32/64 Bit)
  • Windows Embedded Server 2008 R2 NoSP, SP1 (64 Bit)
Prozessor In Übereinstimmung mit den Mindestvoraussetzungen für das Betriebssystem
Arbeitsspeicher In Übereinstimmung mit den Mindestvoraussetzungen für das Betriebssystem
Freier Festplattenspeicher Mindestens 300 MB (wird vom Installationsprogramm überprüft)
Monitor VGA-Auflösung (640 x 480) oder höher, mind. 16 Farben

 

Einschränkungen

  • Speicherrandomisierung, Schutz vor API-Hooking und DLL-Injection werden nicht auf 64-Bit-Plattformen unterstützt.
  • Bei Systemen, die Windows Embedded verwenden, ist unser Produktsupport möglicherweise nicht für Umgebungen verfügbar, in denen umgebungsspezifische Probleme durch angepasste Betriebssystemkomponenten verursacht werden, da diese Probleme in einer Windows Standardumgebung nicht reproduziert werden können.
  • Wenn Betriebssystemfunktionen oder Produkte Dritter verwendet werden, um verschlüsselte Ordner oder virtualisierte Anwendungen zu implementieren, werden die in den entsprechenden Ordnern ausgeführten Anwendungen nicht von Safe Lock unterstützt.

Warnungen

  • Safe Lock kann nicht in einer Umgebung mit anderen Trend Micro Produkten installiert werden.
  • Safe Lock kann nicht bestimmen, ob es sich bei gesperrten Dateien um Malware handelt oder nicht. Wenden Sie sich bitte an den entsprechenden Entwickler, um die Rechtmäßigkeit von Dateien zu bestätigen. Kaufen Sie Portable Security, unser Tool zum Suchen und Beseitigen von Malware für Standalone-PCs und geschlossene Systeme, um Malware zu suchen und zu entfernen. (Informationen zu unterstützten Betriebssystemen finden Sie in den Portable Security Systemvoraussetzungen.)
  • Wenn die Lockdown-Funktion aktiviert wird, ohne die Anwendungen, die für die normale Ausführung des Betriebssystems notwendig sind, vorher in der Liste der zulässigen Anwendungen zu speichern, wird bei einem Neustart des Systems das Betriebssystem möglicherweise nicht ordnungsgemäß ausgeführt oder Anwender können sich nicht am Betriebssystem anmelden. Beachten Sie, dass in diesem Fall die Ausführung von Safe Lock Vorgängen, wie z. B. das Aufheben der Lockdown-Funktion, nicht mehr möglich ist. Das Betriebssystem muss dann neu installiert werden. Wenn das Betriebssystem oder Anwendungen aktualisiert werden, müssen die aktualisierten Dateien in der Liste der zulässigen Anwendungen gespeichert werden.
  • Bei Vergessen des Administratorkennworts nach Ausführen der Lockdown-Funktion können Safe Lock Einstellungen nicht mehr geändert werden und das Produkt kann nicht mehr deinstalliert werden. Beachten Sie, dass das Betriebssystem in diesem Fall neu installiert werden muss.

Hinweis: Die oben aufgeführten Systemvoraussetzungen wie Betriebssystem, Arbeitsspeicher und freier Festplattenspeicher können sich ohne vorherige Ankündigung aufgrund von Produktoptimierungen oder der Einstellung des Supports für ein Betriebssystem usw. ändern.


Soziale Medien

Folgen Sie uns auf