Sicherheit Stuxnet: »staatlich unterstützter Angriff«

SCADA-System von Siemens

Experten von Kaspersky Lab haben den Stuxnet-Wurm analysiert und gehen von einer zielgerichteten, staatlich unterstützten Attacke aus, die die Generalprobe für weitere derartige Angriffe sein könnte. Kaspersky spricht sogar von einem kommenden »Cyberwar«.

Die Experten behaupten, dass mit Stuxnet ein »neues Zeitalter für Cyberkriegsführung« angebrochen ist. Die jüngsten Attacken des Stuxnet-Wurms haben zahlreiche Diskussionen und Spekulationen über die Absicht, den Zweck, die Herkunft und vor allem die Identität der Angreifer mit sich gebracht. Zwar kann auch Kaspersky nicht die Angreifer oder Urheber des Wurms identifizieren, glaubt aber, dass es sich um einen von einem Staat unterstützten Angriff handelt. Darauf deutet die Einzigartigkeit und Komplexität des Angriffs hin. Die Stuxnet-Programmierer müssen ausgefeiltes Wissen um die Industrieanlagensteuerung mit SCADA-Technologie (Supervisory Control and Data Aquisition) haben.
 
»Ich denke, dass dies der Auftakt zu einem neuen Zeitalter ist: die Zeit des Cyberterrorismus, der Cyberwaffen und der Cyberkriege«, sagt Eugene Kaspersky, CEO und Mitgründer von Kaspersky Lab, bei einer Veranstaltung in München zu Journalisten. »Dieses Schadprogramm war nicht dazu konzipiert, Geld zu stehlen, Spam zu versenden oder persönliche Daten abzugreifen. Es wurde entwickelt, um Fabriken und industrielle Anlagen zu sabotieren. Damit wurde die Büchse der Pandora geöffnet. Die Neunziger Jahre waren die Dekade der Cybervandalen, die Zweitausender die der Cyberkriminellen. Ich befürchte, dass nun das Zeitalter der Cyberkriege und des Cyberterrorismus beginnt.«

Zahlreiche Experten von Kaspersky Lab haben unabhängig voneinander den Wurm Stuxnet entdeckt, der vier unterschiedliche, bisher nicht bekannte Schwachstellen (Zero-Day-Lücken) ausnutzt. Neben Zero-Day-Schwachstellen nutzt Stuxnet aber auch zwei echte Zertifizierungen aus – eine von Realtek und eine von JMicron. Dadurch bleiben die Schadprogramme lange unentdeckt. Das Ziel von Stuxnet ist, Zugang zu Anlagensteuerungen auf Basis von Simatic WinCC SCADA und PCS7 zu erhalten. Solche Systeme werden weltweit bei Ölpipelines, Kraftwerken, großen Telekommunikationssystemen, Flughäfen, Schiffen und sogar Militäranlagen eingesetzt.

Bilder: 5

Simatic WinCC SCADA und PCS7

Das Prozessleitsystem PCS7 und die Prozessvisualisierung WinCC sind das Einfallstor für den Stuxnet-Wurm in Industrieanalagen.

Das Insider-Wissen über die SCADA-Technologie, die Raffinesse des vielschichtigen Angriffs, die Verwendung von mehreren Zero-Day-Schwachstellen und der Missbrauch von legitimen Zertifikaten legen nahe, dass Stuxnet von einem Team sehr gut ausgebildeter Fachkräfte entwickelt wurde, die über enorme Ressourcen und finanzielle Unterstützung verfügten.

Das Angriffsziel und die geographische Ausbreitung von Stuxent, vor allem im Iran, deuten darauf hin, dass es sich hier um eine außergewöhnliche Cyber-Taskforce handelt. Zudem sind sich die Experten von Kaspersky Lab sicher, dass Stuxnet nicht einfach die infizierten Systeme ausspionieren, sondern Sabotage-Attacken ausführen sollte. All das deutet darauf hin, dass bei der Entwicklung von Stuxnet ein Staat beteiligt war, dem umfassendes geheimdienstliches Material zur Verfügung stand. Kaspersky Lab geht davon aus, dass Stuxnet der Prototyp von künftigen Cyberwaffen sein könnte, und ein modernes Wettrüsten in Gang setzt.