Industrienetzwerke Industrielle Datensicherheit nach Stuxnet - ein Update

Obwohl es um den Stuxnet-Wurm wieder etwas ruhiger geworden ist, zeigen die aktuellen Tendenzen im »Cyberspace«, dass auch die Industrie bei ihren Security-Bemühungen nicht nachlassen sollte. Wie hat sich die Cyber-Sicherheitslage industrieller Netzwerke seit Stuxnet konkret entwickelt, welche Bedrohungen gibt es derzeit, und welche Gegenmaßnahmen bieten sich an?

Die Entdeckung des Stuxnet-Wurms im Juni 2010 war ein Weckruf, der weltweit neben den staatlichen Institutionen mit Verantwortung für kritische Infrastrukturen vor allem die Betreiber industrieller Anlagen und die Hersteller von Automatisierungstechnik wachgerüttelt und ihre Sensibilisierung für das Thema Industrial Security schlagartig erhöht hat. Wir werfen einen Blick zurück nach vorn auf die seitherige Entwicklung. Haben sich die Prognosen von damals bewahrheitet? Wie ist die Lage, und wie stellt man sich angemessen darauf ein?

Stuxnet war zweifellos ein Meilenstein, der die Wahrnehmung kriegerischer und krimineller Machenschaften im »Cyberspace« verändert hat. Das auf Produkte der »Simatic«-Familie von Siemens und auf »Step-7«-SPS-Projekte mit speziellen Eigenschaften fokussierte Schadprogramm war der erste öffentlich dokumentierte gezielte Root-Kit-Angriff auf industrielle Anlagen.

Schadwirkung in vier Stufen auf verschiedenen Ebenen

Anstatt einen direkten Angriff auf Steuerungen zu versuchen, hatten die Urheber von Stuxnet die allgegenwärtigen PCs mit Windows-Betriebssystemen als schwächstes Glied in der Kette und prädestiniertes erstes Einfallstor ausgemacht. So nutzte die Malware einen aggressiven Mix von Mechanismen und gleich vier zuvor unbekannte, in mehreren Generationen von Windows vorhandene Schwachstellen, um sich über Netzwerke und USB-Medien in vernetzte und nicht vernetzte PCs zu verbreiten und die Rechner zu infizieren. Dabei eingeschleppte Treiber waren mit geraubten privaten digitalen Schlüsseln signiert und erregten auf den Systemen durch diese als vertrauenswürdig eingestuften Zertifikate keinen Verdacht.

Im zweiten Schritt suchte Stuxnet in infizierten PCs nach geeigneten Installationen von Engineering- oder Visualisierungs-Software und manipulierte die darin vorgefundenen Datenbanken und Projekte, um seine weitere Verbreitung und Persistenz auf dem PC zu sichern sowie Steuerungen als potentielle Ziele für Stufe 3 auszuspähen. Ferner manipulierte der Wurm eine zentrale, für die Kommunikation zwischen »Simatic-Manager« und projektierten S7-Steuerungen zuständige Software-Bibliothek, um seine Machenschaften vor den Anwendern trickreich zu verbergen.

Erst nach diesen Vorbereitungen und gezielt nur in Projekte mit ganz spezifischen Eigenschaften schleuste Stuxnet dann in Stufe 3 seinen eigentlichen und ausgesprochen raffinierten Schadcode in die Steuerungen ein, mit dem Ziel der Störung von Prozessen und letztlich der Zerstörung der betroffenen Anlagen.

Über seine vierte und letzte Wirkstufe versuchte Stuxnet schließlich von infizierten PCs aus, Kontakt zu mehreren Command-&-Control-Servern im Internet aufzunehmen, um ausgespähte Informationen abzuliefern, Updates zu empfangen und neue Instruktionen auszuführen. Dies verlieh dem Spionage- und Sabotage-Potential des Wurms eine zusätzliche Dynamik. Durch dessen Verbreitungsmechanismen konnten diese Effekte mittelbar auch auf Systeme ausstrahlen, die selbst über keine Netzwerk- oder gar Internet-Verbindung verfügen.

Viele mittlerweile bekannte Indizien sprechen für die Vermutung, dass Stuxnet das iranische Nuklearprogramm treffen sollte und dort vor allem eine Anlage zur Urananreicherung erfolgreich getroffen hat. Ob die bis heute unbekannten Autoren des Wurms gezielt nur diesen oder (auch) andere Zwecke verfolgt haben, ist allerdings nicht erwiesen.

Besorgnis erregte indes vor allem dies: Das Angriffsmuster und seine Basistechniken sind absolut generisch und in der Lage, letztlich beliebigen Schadcode in eine Vielzahl gängiger Steuerungsmodelle - prinzipiell auch anderer Hersteller - einzubringen.

Praktisch alle Industrial-Security-Experten hielten und halten daher eine Proliferation Stuxnet-artiger Cyberwaffen und Attacken durch Nachahmer mit Mutationen der Malware auf vielerlei andere Ziele für sehr wahrscheinlich.

Die einzig gute Nachricht: Diese Welle befürchteter Angriffe ist bislang ausgeblieben. In bisher nur einem einzigen weiteren Fall wurde im September 2011 neue Schadsoftware entdeckt, die mit den Mechanismen und dem Programmcode von Stuxnet verwandt zu sein scheint: der Trojaner »Duqu«, so benannt nach dem Namens-Präfix »~DQ« der von ihm erzeugten Dateien.