Stuxnet, Duqu & Flame Cyberangriff auf die Industrie

Stuxnet, Duqu und Flame versetzten die Industrie in Aufregung. Die Viren veränderten Produktionsdaten oder sammelten sensible Informationen und luden diese auf Server. Die Elektronik sprach mit Torsten Rössel von Innominate über die Gefahren von Schad-Software, Dunkelziffern und Schutzmaßnahmen.

Elektronik: 2010 wurde die Industrie durch den Virus Stuxnet aufgeschreckt. Dadurch hat das Thema Industrial Security schlagartig mehr Aufmerksamkeit bekommen. Wie würden Sie Stuxnet heute rückblickend einschätzen?

Torsten Rössel: Inzwischen sind ja aus Kreisen der US-Administration von Präsident Obama Informationen lanciert worden, wonach Stuxnet tatsächlich ein Baustein in einer größeren Operation von gezielten staatlichen Cyber-Angriffen der USA und Israels gegen das iranische Atomprogramm war, wie aufgrund zahlreicher Indizien schon seit 2010 vermutet wurde.

Nach den von David E. Sanger in seinem Buch „Confront and Conceal - Obama’s Secret Wars and Surprising Use of American Power“ Anfang Juni 2012 veröffentlichten Aussagen wurde die Operation unter dem Codenamen „Olympic Games“ bereits in der Amtszeit von George Bush begonnen und unter Präsident Obama fortgeführt und beschleunigt. Dass Stuxnet sich überhaupt über die iranischen Nuklearanlagen hinaus verbreitet hat und dadurch schließlich entdeckt und öffentlich bekannt wurde, ist rückblickend ein ungewollter, schwerer Fehlschlag für die eigentliche Operation gewesen.

Elektronik: Gibt es konkrete Hinweise zu durch Stuxnet entstandene Schäden?

Rössel: Es gilt als bestätigt, dass Stuxnet seine eigentliche Mission insofern erfüllt hat, als dass durch seine Manipulationen über viele Monate hinweg insgesamt ca. 1.000 Zentrifugen zur Urananreicherung im iranischen Natanz zerstört wurden. Die Zahl tatsächlich manipulierter SPSen in unbeabsichtigt infizierten weiteren Anlagen ist nicht genau bekannt, dürfte aber aufgrund des spezifischen Vorgehens von Stuxnet äußerst gering sein.

Sehr viel schwerer wiegt der rein wirtschaftliche Schaden, da weltweit zehntausende von PCs und Installationen der SIMATIC-Projektierungs- und Visualisierungs-Software von Stuxnet infiziert wurden und mühsam wieder von der Schad-Software bereinigt werden mussten.

Elektronik: Was hat sich seitdem in Bezug auf solche Industrial Security verändert? Wurde die Industrie vorsichtiger?

Rössel: Der Fall Stuxnet hat definitiv das Bewusstsein für die Verwundbarkeit kritischer Infrastrukturen und industrieller Automatisierungstechnik geschärft und vielerorts Maßnahmen in Bewegung gesetzt. Dazu gehören z.B. verschärfte und konsequenter umgesetzte Regelungen zum Umgang mit Wechselmedien wie USB-Sticks, die eine wesentliche Rolle bei der Verbreitung von Schad-Software über Netzwerkgrenzen hinweg spielen. Auch das Interesse industrieller Betreiber am systematischen Einsatz von Security-Komponenten und sogenannten Whitelisting-Verfahren zur Integritätsüberwachung hat sich spürbar erhöht.

Elektronik: Viele erwarteten nach Stuxnet eine regelrechte Angriffswelle. Bekannt wurde lediglich im September 2011 der Trojaner „Duqu“ und etwas früher ein Virus mit der Bezeichnung „Stars“. Gab es sonst keine Angriffe?

Rössel: Doch. Öffentlich bekannt geworden sind z.B. die sogenannten Nitro Attacks, mit denen 2011 auf Basis des schon länger bekannten Backdoor-Trojaners PoisonIvy von einem Server in den USA unter Kontrolle eines Chinesen gezielte Industriespionage-Angriffe auf mindestens 48 Unternehmen der chemischen Industrie und der Rüstungs-industrie durchgeführt wurden.

Darüber hinaus gibt es mit Sicherheit eine Dunkelziffer von Angriffen, die nicht publiziert oder noch gar nicht entdeckt wurden. Das Projekt Basecamp der amerikanischen Security-Consulting-Firma Digital Bond deckt zum Beispiel seit Monaten in ständig weiteren marktgängigen und massenhaft eingesetzten Steuerungsprodukten vergleichbare Verwundbarkeiten auf, wie sie Stuxnet bei den Siemens-S7-Produkten ausgenutzt hat. Es ist nur eine Frage der Zeit, bis jemand diese „produktiv“ für einen realen Angriff verwendet.

Elektronik: Was war das Besondere an Duqu?

Rössel: Eigentlich vor allem die Ähnlichkeit der genutzten Infektionstechniken mit Stuxnet und die aufgedeckte Code-Verwandtschaft zwischen den von beiden Schadprogrammen unter Windows eingeschleusten Treibern. Programmteile zur direkten Schädigung industrieller Steuerungen waren in Duqu nicht enthalten, es handelte sich um eine reine Spionage-Malware.