Stuxnet: Der erste Virus für Automatisierungssysteme

Etwas über Stuxnet zu schreiben, birgt die hohe Gefahr in sich, dass der Text bereits zum Zeitpunkt des Lesens veraltet ist. Davon gehen auch die Autoren Nicolas Falliere, Liam O Murchu und Eric Chien aus, die bei Symantec eine sehr umfangreiche Analyse des Stuxnet-Virus vorgenommen haben. \“This paper is the work of numerous individuals on the Symantec Security Response team over the last three months well beyond the cited authors.\“ Hier zeigt sich nicht nur, wie komplex Stuxnet ist sondern auch, wie ernst die Bedrohung eingeschätzt wird. Doch nun der Reihe nach: Verbreitung des Virus \“Stuxnet ist ein äußerst innovatives und brandgefährliches Spionage-Tool, das ursprünglich zum Auslesen von industriellen Siemens-Scada-Datenbanken bestimmt war und eine ganze Reihe einzigartiger Technologien enthält.\“ So ist es seit Anfang August auf den Internetseiten von www.searchsecurity.de zu lesen. Brandgefährlich stufen Experten die Sicherheitslücke deshalb ein, weill Stuxnet zur Fernsteuerung von Anlagen dienen kann. Daher brachte die Tatsache, dass die Atomanlagen im iranischen Buschehr von Stuxnet betroffen sind, die Sache in die breite Öffentlichkeit. Siemens selbst schreibt zu Stuxnet: \“Derzeit ist eine Malware, ein sogenannter Trojaner im Umlauf, der Microsoft Windows Rechner mit WinCC und PCS 7 betrifft. Die Malware verbreitet sich über mobile Datenträger, etwa USB-Sticks, und Netzwerke. Der Trojaner wird allein schon durch das Betrachten der Inhalte des USB-Sticks aktiviert.\“ Auf der Website gibt das Unternehmen Tipps für den Umgang mit der Bedrohung. Die von Siemens veröffentlichte Analyse des Virus geht davon aus, dass der Virus sich nur dann aktiviert, wenn eine sehr spezifische Anlagenkonfiguration infiziert wurde: \“Dies deckt sich auch mit der Zahl der Siemens bekannten Fälle, in denen zwar der Virus entdeckt wurde, aber nicht aktiv geworden war und entfernt werden konnte, ohne dass bis heute zu Schadensfällen kam.\“ Wir befragten Tino Hildebrand, Leiter Marketing&Promotion Simatic HMI bei Siemens zur Lage der Stuxnet-Angriffe und wo man im Fall der Fälle Hilfe bekommt. Das Interview finden Sie auf S.31. Bedrohungslage: Versuch einer Einschätzung Der Aufwand für die Entwicklung von Stuxnet wird als sehr hoch eingeschätzt, sodass Geheimdienste als Urheber vermutet werden. Die Schadsoftware scheint für viele Experten ganz klar auf die Atomanlagen im Iran zu zielen. Allein die verwendeten Exploits (also die bisher unentdeckten Sicherheitslücken im Windows-Betriebssystem) hätten nach Angaben von Spiegel Online einen Marktwert von etwa 1.000.000,-e. Eugene Kaspersky, Chef und Gründer der bekannten Anti-Virus-Schmiede lässt sich ebenfalls in Spiegel Online mit den Worten zitieren: \“Ich denke, dass dies der Auftakt zu einem neuen Zeitalter ist: die Zeit des Cyber-Terrorismus, der Cyber-Waffen und der Cyber-Kriege\“. Andere Experten gehen sogar davon aus, dass dieses lediglich die Spitze des Eisberges sei. Demnach sei die Industriespionage unter Einbeziehung von Automatisierungssystemen bereits in vollem Gang. Es gibt jedoch Wege, sich dagegen zu schützen. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) spricht dementsprechend lediglich vom \“ersten veröffentlichten Fall dieser Art\“. Auch wenn Stuxnet nur auf Systeme von Siemens zielt: Es ist anzunehmen, dass auch andere Hersteller Ziele solcher Angriffe waren oder sind. Matthias Gärtner, Pressesprecher des BSI, mahnt zur Versachlichung der Debatte. Anwender von Automatisierungssystemen müssen eine Risikobewertung für den jeweiligen Einsatzfall vornehmen. Dabei sei auch das BSI mit seinem Dienstleistungsangebot behilflich. Die sofort umsetzbaren Handlungsempfehlungen zur SPS-Überprüfung können beim BSI per E-Mail angefordert werden. Nach bisher vorliegenden Berichten verhält sich das Virus zunächst überaus harmlos: Die allergrößte Mehrheit der von Stuxnet befallenen Computer tangiert das Virus überhaupt nicht, weil sie nicht in Automatisierungsnetzwerke eingebunden sind. Auf den Webseiten von Langner Communication (www. langner.com) gibt Geschäftsführer Ralph Langner Tipps zum Umgang mit der Bedrohung. Er hat sich wie kaum ein zweiter Automatisierungsexperte mit den Mechanismen von Stuxnet und ihren Auswirkungen auf laufende Anlagen befasst. Seinen Aussagen folgend gibt es überhaupt nur ein einziges Szenario, unter dem Stuxnet schädlich wird. Zitat von der Langer-Website: \“Bei einem infizierten System mit angeschlossener Siemens-Automatisierungstechnik wird Stuxnet FAST nichts machen. Ausnahme: Sollten Sie ZUFÄLLIGERWEISE den Datenbaustein 890 in Ihrem Projekt verwenden, sollte dieser ZUFÄLLIGERWEISE eine bestimmte Länge überschreiten, und sollte ZUFÄLLIGERWEISE an einer bestimmten Position der String \“hnds\“ stehen, dann WIRD Stuxnet bestimmte Prozessvariablen in diesem DB überschreiben, sofern ein infiziertes WinCC mit Zugriff auf die betreffende SPS läuft.\“ Viruskompatibel? Eine spannende Frage betrifft derzeit die Automatisierungssysteme, die Step7-kompatibel sind und via Simatic Manager programmiert werden. Dazu schreibt beispielsweise Stefan Pfützer, Leitung Vertrieb Deutschland bei Saia Burgess auf www.sps-forum.de auf die Frage, ob SaiaPCD Web-Panels von Viren befallen werden können, folgendes: \“Nur die Windows basierten Saia Webpanel sind realistisch gesehen befallbar. Dies sind nur grosse Bedienpanel 12-15\“ die in relativ kleinen Stückzahlen laufen. Saia-Burgess hat im Gegensatz zu Siemens bei den Panelreihen 3.5\“ bis 12\“ nicht auf Windows als Betriebsystem gesetzt. Hier haben wir ein dediziertes eigenes Betriebsystem, welches zu 100% im eigenen Haus entwickelt wurde. Damit laufen 95% aller unserer Bediengeräte. Fremdprogramme (Viren) können im laufenden Betrieb praktisch nicht eingepflanzt werden. \“Noch interessanter ist allerdings, dass er, wie viele Experten, davon ausgeht, dass dies nicht der erste Angriff dieser Art war: Siemens sei nicht der erste Automatisierer, der solche gravierenden Probleme mit Viren bzw. Hackern habe, erläutert Pfützner an gleicher Stelle. \“Nur sind die bisherigen Fälle nicht so in den Medien präsent geworden.\“ Allen diesen Problemfällen gemeinsam sei die zu enge Verknüpfung der Windowswelt mit vitalen Automationsfunktionen. Die eigentliche Bedrohung lautet Proliferation Der große Aufwand, der für die Entwicklung von Stuxnet erforderlich war und die Tatsache, dass von Stuxnet (fast) keinerlei Schaden auszugehen scheint, lässt die Vermutung zu, dass es sich dabei um eine digitale Angriffswaffe handelt, die genau auf ein Ziel gerichtet war. Die eigentliche Bedrohung geht von der Verbreitung des Schadcodes und dessen Anwendung in anderen Zusammenhängen aus. Im (militärischen) Fachjargon nennt man das Proliferation. Kurz gesagt: die gleiche Waffe könnte auch für Angriffe auf andere Ziele verwendet werden, so dass auch Automatisierungssysteme anderer Hersteller bedroht sind. Langner Communications befürchtet aufgrund der aktuellen Nachrichtenlage im Iran eine gravierende Erhöhung der Bedrohung durch Cyber-Angriffe für die deutsche Industrie durch Nachahmungstaten und Hacker-Toolkits. Zitat von der Webseite: \“Langner Communications empfiehlt den hoch automatisierten Unternehmen der deutschen Industrie, hierfür UMGEHEND Strategien zu entwickeln, ausgehend von der Unternehmensführung.\“ Erste Ansätze hierzu finden sich auf der englischen Homepage von Langner (www.langner.com. Entschärfen Ein infiziertes System ist übrigens ebenso leicht zu erkennen wie zu entschärfen. Nach Angaben der Langner Comunication-Websiten muss lediglich die Datei s7otbxdx.dll gelöscht und die Datei s7otbxsx.dll in s7otbxdx.dll umbenannt werden. Damit ist der digitale Sprengkopf entschärft. Über einen wirksamen Schutz vor einer Wiederinfektion gibt es wiedersprüchliche Meldungen. Hierzu werden wir Sie auch in unserem Automation Newsletter auf dem Laufenden halten. Anmeldung unter www.sps-magazin.de.staging.tedo.dev. Fazit Stuxnet zeigt deutlich, dass es mit der Sicherheit in der Automatisierungstechnik nicht weit her ist. Die Einführung offener Plattformen hat ihren Preis, der jetzt eingefordert wird. Es ist jetzt schon klar, dass uns das Thema in Zukunft intensiv beschäftigen wird. www.bsi.bund.de www.langner.com