Bedrohung für Siemens-IPCs und -SPSen Trojaner »Stuxnet« offenbar gefährlicher als ursprünglich gedacht

Der Trojaner »Stuxnet«, der Microsoft-Windows-Rechner von Siemens mit dem Visualisierungssystem »Simatic WinCC« und/oder dem Prozessleitsystem »Simatic PCS 7« angreift, ist anscheinend gefährlicher als bisher angenommen: »Stuxnet« kann offenbar nicht nur Industrie-PCs mit WinCC manipulieren, sondern auch SPSen über hochgeladenen WinCC-Code infizieren.

Nach einer Analyse des IT-Sicherheitslösungs-Anbieters Symantec vermag »Stuxnet« nicht nur Code und Design-Projekte zu stehlen, sondern auch seinen eigenen Code in SPSen hineinzuladen. Der Trojaner ist also in der Lage, einzelne Code-Blöcke in den SPSen hinzuzufügen oder gegen neue auszutauschen. Außerdem kann er diese Code-Blöcke verbergen, so dass Anwender, die alle Code-Blöcke in einer SPS abrufen wollen, die von »Stuxnet« hochgeladenen nicht finden. Laut Symantec ist »Stuxnet« das erste öffentlich bekannte Rootkit, das in SPSen hineingeladenen Code verbergen kann.

Insgesamt umfasst »Stuxnet« laut der Symantec-Analyse 70 verschlüsselte Code-Blöcke, die anscheinend einige für Aufgaben wie Timing und Synchronisation zuständige Basis-Routinen ersetzen. »Indem 'Stuxnet’ Code in SPSen hineinlädt, kann er möglicherweise deren Arbeitsweise kontrollieren oder verändern«, heißt es in der Analyse. Symantec nennt in diesem Zusammenhang einen historischen Fall, bei dem »trojanisierter« Code die Ventilsteuerung einer Pipeline veranlasst habe, deren Druck weit über die zulässige Kapazität hinaus zu erhöhen, was die Pipeline zur Explosion gebracht habe.

Anwendern, deren Maschinen und Anlagen von »Stuxnet« befallen sind, empfiehlt Symantec, den Trojaner nicht nur zu entfernen, sondern auch die betroffenen SPSen auf unerwarteten Code hin zu überprüfen. Laut Siemens hat »Stuxnet« bisher 15 Systeme mit WinCC oder PCS 7 infiziert. Zu Auswirkungen auf die Automatisierungssysteme sei es dabei aber nicht gekommen. Von Unternehmen wie Symantec oder TrendMicro sind Software-Werkzeuge zur Bekämpfung von »Stuxnet« erhältlich. Unter der Web-Adresse www.automation.siemens.de informiert Siemens über den Stand der Untersuchungen sowie über mögliche Gegenmaßnahmen.