CIM – industrietauglicher Virenschutz

CIFS Integrity Monitoring, kurz CIM, ist der industrietaugliche Anti-Virensensor von Phoenix Contact. Ohne Virenpattern nachladen zu müssen, erkennt CIM, ob Windows-basierte Systeme wie Steuerungen, Bedieneinheiten oder PCs manipuliert wurden, z. B. durch Schadsoftware.

Wo setzt man CIM ein?

CIM wird überwiegend eingesetzt, um sogenannte Non-Patchable-Systeme abzusichern. Non-Patchable-Systeme sind größtenteils Windows-basierte Systeme, für die eine oder mehrere der folgenden Eigenschaften zutreffen:

Das System verfügt über ein veraltetes Betriebssystem, für das Microsoft keine Security-Patches mehr bereitstellt, zum Beispiel Windows 2000 oder älter.
Systeme, die nicht verändert werden dürfen, weil der Auslieferungszustand seitens des Herstellers oder einer Behörde zertifiziert wurde. Bei einer Veränderung der Software, beispielsweise durch ein Betriebssystem-Update, würde die Gewährleistung oder die Zulassung der Behörde verloren gehen.
Systeme, die aufgrund zeitkritischer industrieller Anwendungen nicht mit einem Virenscanner ausgerüstet werden dürfen, zum Beispiel, um ihre Realtime-Fähigkeit zu erhalten. Oder, weil sie keine Virenpattern updaten können, weil beispielsweise keine Internet-Verbindung besteht.
Systeme, die bewusst nicht mit Virenscannern oder IDS/IPS (Intrusion Detection System, Intrusion-Prevention-Systeme) ausgerüstet sind, weil auch im Falle eines Fehlalarms die gesamte Applikation stillgelegt wird.
Systeme, deren Anwender nicht das Know-how besitzen, um Virenscanner oder IDS/IPS zu installieren, ohne dass das System negativ beeinflusst wird.

Non-Patchable-Systeme finden sich in unterschiedlichen Bereichen der Industrie: Zum Beispiel in der Chemie- und Pharma-Industrie bei Analyse-Systemen, in der Automobilindustrie bei der Airbag-Herstellung aber auch in Produktionen mit PC-basierten Steuerungen.

So funktioniert CIM

CIFS Integrity Monitoring (CIM)

CIM überprüft regelmäßig Windows-Systeme, ob sich bestimmte Daten wie .exe oder .dll im Vergleich zum Referenzstatus verändert haben.

Wird ein zu prüfendes Dateisystem neu konfiguriert oder verändert, muss eine Referenz- bzw. Integritäts-Datenbank angelegt werden. Diese enthält die Prüfsummen aller zu prüfenden Dateien und dient als Vergleichsgrundlage (Referenz). Sie wird bei der ersten Prüfung oder auf explizite Veranlassung hin erstellt.
Eine veränderte Prüfsumme einer Datei bedeutet, dass diese Datei verändert wurde. Falls der Anwender diese Änderung nicht vorgenommen hat, ist sie vielleicht durch Schadsoftware verändert worden. Löschen oder Hinzufügen einer Datei wird ebenfalls erkannt. Wenn eine Veränderung der Prüfsumme erkannt wird, alarmiert CIM Sie entweder per Email oder per SNMP-Trap. Die Integritäts-Datenbank selbst ist gegen Manipulation gesichert.

Vergleich von Firewall und CIM

Firewall	CIM
Reglementiert den Datenverkehr anhand von Protokollen, Adressen usw.	Nimmt keinen Einfluss auf die Kommunikation
Verwendet ein statisches Regelwerk	Verwendet Hashes (digitale Fingerabdrücke) von Dateien zur Manipulations-Erkennung
Kein Fehlalarm möglich	Kein Fehlalarm möglich
Erkennt keine Veränderung an Dateien	Erkennt und meldet jede Veränderung an Dateien
Arbeitet autark und statisch	Arbeitet im Zusammenspiel mit anderen Systemen und dynamisch

Vorteile von CIM

CIM bietet Ihnen viele Vorteile für das anspruchsvolle industrielle Umfeld:

Schont die Ressourcen des überwachten Systems, zum Beispiel CPU-Leistung oder Netzwerkbelastung.
Kein Nachladen von Viren-Pattern erforderlich.
Keine Fehlalarme bei der Integritätsprüfung.
Fehlalarme des externen Virenscanners haben keine Auswirkungen auf das überwachte System, da der externe Virenscanner keine Dateien löschen oder deren Verwendung blockieren kann.
CIM überwacht dynamische Systeme.
CIM ergänzt die Security-Aktivitäten um Virenscanning in geschlossenen Systemen und schützt vor Manipulation von Dateien.

Zurück zur Übersicht

Weitere Informationen zu den mGuard-Produkten