IT-Sicherheit 01.10.2010, 19:49 Uhr

Produktionsanlagen sind nicht mehr sicher

Experten äußern sich sehr besorgt. Die am 13. Juli 2010 bekannt gewordene Schadsoftware Stuxnet markiert eine Wende in der Sicherheit industrieller Produktionsnetze. Erstmals wird Schadsoftware gezielt gegen Automatisierungs- und Leittechnik eingesetzt. Darüber hinaus ist sie in der Lage, in Produktionsprozesse einzugreifen und sie zu verändern.

Im Zusammenhang mit der Verbreitung des Softwareschädlings namens Stuxnet (s. VDI nachrichten 36/10, S. 13) wurde viel über das vermeintliche Angriffsziel iranische Atomanlagen spekuliert. Dabei ist aus dem Blick geraten, welche Schwachstellen in der Sicherheit industrieller Netze damit weltweit offengelegt wurden.

Die Art, wie Stuxnet agiert, hat Sicherheitsexperten alarmiert. „Wir haben definitiv noch nie so etwas gesehen“, sagt Liam O’Murchu, Sicherheitsexperte von Symantec Security Response. „Die Tatsache, dass er physische Maschinen steuern kann, wie sie arbeiten, ist sehr besorgniserregend.“

Ralph Langner, Geschäftsführer eines Hamburger Beratungsunternehmens für sichere Industrienetze, sieht die Bedrohung der deutschen Industrie durch Nachahmungstaten und Hacker-Toolkits gravierend erhöht. Melissa Hathaway, die ehemalige Koordinatorin für Cybersicherheit der US-Regierung, äußert in der New York Times: „Wir haben vielleicht 90 Tage, um das Problem zu lösen, bevor Hacker es benutzen werden.“

Details der Stuxnet-Attacke lassen erahnen, womit Betreiber von Produktionsanlagen künftig rechnen müssen. Die Infektion erfolgt über vier zuvor unbekannte Sicherheitslücken in Windows. Sicherheitslücken im Betriebssystem Windows sind ein grundlegendes Problem. Der aktuelle IBM-Sicherheitsreport „X-Force 2010 Mid-Year Trend and Risk Report“ berichtet, dass am Ende des ersten Halbjahres 71 % der Lücken mit der Gefahrenstufe „hoch“ und „kritisch“ ungepatcht waren. Eine Schadsoftware wie Stuxnet kann in einer künftigen Variante über jede andere Lücke in Windows einfallen, so dass auch Systeme mit aktuellem Sicherheitspatch ungeschützt sind. Auch konventionelle Antivirus-Software ist prinzipiell gegen „Zero Day Vulnerabilities“ machtlos, da es noch keine Signaturen für die Schadsoftware gibt.

Stuxnet ist außerdem mit einer gültigen, digitalen Unterschrift von Realtek bzw. JMicron versehen und agiert so als legitimierter Windows-Systemtreiber und wird damit auch unter dem sicherheitstechnisch verbesserten Windows 7 ohne Warnung im System gestartet.

Viele Betreiber von Industrieanlagen fühlen sich sicher, weil ihre Systeme nicht mit dem Internet vernetzt sind. Das Problem: Stuxnet verbreitet sich in Produktionsanlagen über USB-Sticks und über gemeinsam genutzte Verzeichnisse. Laut des aktuellen „International Security Barometer“ von Panda Security gelangten bereits in 30 % der durch Malware betroffenen Firmen die Schädlinge über USB-Sticks und externe Festplatten in die IT-Systeme. „Die Gefährdung im Automatisierungsumfeld ist besonders hoch, weil hier mit USB-Sticks sehr viel und sehr sorglos gearbeitet wird. Ähnliches gilt für die genannten Verzeichnisse. Sie sind generell offen für Zugriffe, um Projektierungsdateien, Reports oder Konfigurationsdaten schnell von einem System auf ein anderes zu kopieren“, analysiert Ralph Langner.

Das Ziel von Stuxnet ist die Manipulation von Step-7-Programmen auf Europas marktführender SPS (Speicherprogrammierbare Steuerung), der Siemens Simatic S7. Stuxnet dringt in WinCC (Windows Control Center) und das Prozessorleitsystem Simatic PCS7, indem es nur Insidern bekannte Lücken wie voreingestellte Passwörter gezielt ausnutzt. Dabei verbindet sich Stuxnet mit dem voreingestellten Passwort zum MSSQL-Server und sucht nach IP-Adressen von anderen WinCC-Systemen.

Zusätzlich installiert sich Stuxnet zwischen das Engineering-Tool Simatic Manager und die von Siemens verwendeten Treiberbibliothek, über die Speicherzugriffe auf die verbundenen SPSen stattfinden. Der SPS-Zugriff über diese DLL hat für Stuxnet den Vorteil, dass auch SPSen infiziert werden können, die nicht per Netzwerk, sondern per Profibus oder per Multi Point Interface (MPI) angeschlossen sind. Die Schadsoftware ist in der Lage, auf den verbundenen SPSen beliebige manipulierte Step-7-Funktionsaufrufe einzufügen. Die Manipulationen sind anschließend nicht mehr feststellbar, da die Malware die Lese-/Schreib-Zugriffe verändert.

Das österreichische CERT (Computer Emergency Response Team) betont, dass auch Windows-PCs ohne Verbindung zu einer Simatic-Steuerung durch Stuxnet infiziert sein können. Dort wird kein Schadcode ausgeführt, sondern diese PCs dienen dann der Weiterverbreitung .

Schadsoftware, die sich über Sicherheitslücken in Windows verbreitet, kann durch die klassischen Schutzmaßnahmen aus der Office-IT nicht verhindert werden. Außerdem ist das Einspielen der jetzt verfügbaren Sicherheitsupdates aus Sicht vieler Anlagenbetreiber problematisch, weil sie Nachteile für die Funktion, Stabilität und Qualität sorgfältig abgestimmter Prozesse befürchten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Unternehmen, die das Windows Control Center (WinCC) im Einsatz haben, Hilfe an. Die BSI-Handlungsempfehlungen zur Überprüfung von Industrieanlagen, aber auch ein von Siemens zur Verfügung gestelltes Tool zur Überprüfung der WinCC-Software können unter den unten stehenden Adressen angefordert werden. MARTIN ORTGIES/pek

Ein Beitrag von:

  • Martin Ortgies

  • Peter Kellerhoff

    Peter Kellerhoff

    Redakteur VDI nachrichten
    Fachthemen: Automobil, Nutzfahrzeuge, Schiff, Bahn, Verkehr, Mobilität, E-Mobilität, Software, Cloud, Internet, KI

Themen im Artikel

Stellenangebote im Bereich Softwareentwicklung

Dynamic Engineering GmbH-Firmenlogo
Dynamic Engineering GmbH Software Entwickler (m/w/d) Embedded Systeme München
Hexagon DEU02 GmbH-Firmenlogo
Hexagon DEU02 GmbH Software-Projekt- und Anwendungsingenieur (m/w/d) Köln
WAFIOS AG-Firmenlogo
WAFIOS AG Elektro- und Softwareentwickler (m/w/d) Reutlingen
KWS Berlin GmbH-Firmenlogo
KWS Berlin GmbH SPS-Entwickler / Softwareentwickler für Steuerungssysteme (m/w/d) Einbeck
RTB GmbH & Co. KG-Firmenlogo
RTB GmbH & Co. KG Senior-Entwicklungs-Ingenieur/in Embedded-Software (m/w/d) Bad Lippspringe, Kamen
SKF GmbH-Firmenlogo
SKF GmbH Fertigungsingenieur (m/w/d) Betriebstechnik (OT) / Digitalisierung Schweinfurt
B. Braun Melsungen AG-Firmenlogo
B. Braun Melsungen AG Applikationsingenieur (w/m/d) MES Melsungen
Excellence AG-Firmenlogo
Excellence AG Embedded Software Entwickler C/C++ (m/w/d) Düsseldorf
Torqeedo GmbH-Firmenlogo
Torqeedo GmbH Entwicklungsingenieur Embedded Software (m/w/d) für elektrische Antriebssysteme Gilching
Ford-Werke GmbH-Firmenlogo
Ford-Werke GmbH Connectivity System Engineer (d/f/m) Köln, Home-Office

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.