Interview Stuxnet / Security »Industrial Security ist kein Science-Fiction-Thema!«

Torsten Rössel, Director Business Development bei Innominate: »Der Wurm war mehr als zwölf Monate unerkannt im Umlauf bevor er erstmals entdeckt wurde.«
Torsten Rössel, Director Business Development bei Innominate: »Der Wurm war mehr als zwölf Monate unerkannt im Umlauf bevor er erstmals entdeckt wurde.«

Stuxnet wirft die Frage auf, ob die Hersteller und Betreiber industrieller Anlagen bisher für ausreichende Sicherheit gesorgt haben. Die »Elektronik« sprach mit Torsten Rössel, Director Business Development beim Security-Spezialisten Innominate über den Stuxnet-Wurm, zukünftige Bedrohungen und geeignete Schutzmaßnahmen.

Herr Rössel, Stuxnet attackiert gezielt Siemens-Anlagen. Kann in diesem Zusammenhang überhaupt von einem Gefahrenszenario für Steuerungen im Allgemeinen gesprochen werden?

Torsten Rössel: Durch Stuxnet selber definitiv nicht. Dieser zielt auf Automatisierungsprodukte von Siemens und auch da ist er sehr wählerisch: Er infiziert nicht wahllos Steuerungen, sondern nur Steuerungen und Projekte mit ganz bestimmten Eigenschaften. So gesehen geht von Stuxnet für andere Systeme keine ernsthafte Bedrohung aus. Es gilt aber als sehr wahrscheinlich, dass in der nahen Zukunft von Nachahmern erstellte Mutationen von Stuxnet auftauchen werden, die dann wiederum auch Systeme anderer Hersteller angreifen und erheblich weniger wählerisch in ihren Zielen sein könnten.

Stuxnet geht nicht direkt in die Anlage, sondern nutzt eine Schwachstelle in Windows. Wäre es nicht besser, den Weg in die Anlage zu versperren, indem Windows auf die jeweiligen Anforderungen der Anlage optimiert wird, anstatt zusätzliche Sicherheitsmaßnahmen in der SPS vorzunehmen?

Rössel: Die empfohlene Strategie für Sicherheitsthemen generell ist die sogenannte »Defense in Depth«, die tiefengestaffelte Verteidigung. Das bedeutet, auf allen Ebenen werden geeignete Schutzmaßnahmen getroffen, um Infektionen und Schädigungen zu verhindern – selbstverständlich auch auf der Ebene der Windows-Rechner. Gerade dann, wenn es sich um Engineering- oder Visualisierungs-Rechner handelt, die mit industriellen Anlagen in Kontakt sind. Beim Betriebssystem enden die Sicherheitsmaßnahmen nicht; es gilt, neben dem Betriebssystem sowohl die Integrität der Projektierungs-Umgebung zu überwachen als auch die Steuerung selbst. Auf allen drei Ebenen – Betriebssystem, Automatisierungssoftware, Steuerung – sind geeignete Schutzmaßnahmen empfehlenswert und sinnvoll, um insgesamt eine mehrstufige Sicherheit aufzubauen.

Welche Schutzmaßnahmen wären das dann?

Rössel: Im Umfeld der Windows-Basissysteme eine gute Netzwerksegmentierung, eine Absicherung durch Firewalls und ein sehr restriktiver Umgang mit USB-Wechselmedien. Im Fall der Projektierungssoftware insbesondere eine fortlaufende Überwachung gegen Manipulationen, damit sehr zeitnah Manipulationen und Infektionen der Automatisierungssoftware nachgewiesen werden können. Bei den Steuerungen selbst wiederum eine Firewall-Abschirmung, um unautorisierte Zugriffe insbesondere auf die Programmierports zu unterbinden.

Stuxnet wurde – nachdem er bekannt wurde – sehr schnell in infizierten Systemen gefunden. Wie lange dauerte es, bis der Wurm von den Virenprogrammen erkannt wurde?

Rössel: Das hat erschreckend lange gedauert: Rückblickend weiß man aus der Analyse des Stuxnet-Codes, dass der Wurm mindestens zwölf Monate – etwa von Juni 2009 bis Juni 2010 – unerkannt im Umlauf war und seine Schadwirkung entfalten konnte, bis er erstmals entdeckt wurde. Einige Wochen später waren Virenmuster verfügbar, mit denen der Wurm erkannt und auf Windows-Systemebene auch bereinigt werden konnte. An Stuxnet lässt sich erkennen, dass die Systeme selbst bei installiertem und aktuellem Virenschutz für mehr als ein Jahr ungeschützt gegen diese Bedrohung waren. Das ist die Schwäche konventioneller Virenscanverfahren: Sie sind nur so gut wie die verfügbaren Muster.

Kann der Stuxnet-Wurm komplett aus den Anlagen und ihren Netzwerken entfernt werden?

Rössel: Man kann es von infizierten Systemen vollständig entfernen: aus dem Betriebssystem, aus der Projektierungssoftware und aus der Steuerung – Komponente für Komponente und System für System. In einem großen industriellen Netzwerk ist es eine Sisyphus-Arbeit, alle infizierten Systeme tatsächlich zu finden, zumal entsprechende Software wie Antivirensoftware im industriellen Umfeld nicht konsequent verwendet und installiert ist.