IT-Sicherheit 01.10.2010, 19:49 Uhr

Produktionsanlagen sind nicht mehr sicher

Experten äußern sich sehr besorgt. Die am 13. Juli 2010 bekannt gewordene Schadsoftware Stuxnet markiert eine Wende in der Sicherheit industrieller Produktionsnetze. Erstmals wird Schadsoftware gezielt gegen Automatisierungs- und Leittechnik eingesetzt. Darüber hinaus ist sie in der Lage, in Produktionsprozesse einzugreifen und sie zu verändern.

Im Zusammenhang mit der Verbreitung des Softwareschädlings namens Stuxnet (s. VDI nachrichten 36/10, S. 13) wurde viel über das vermeintliche Angriffsziel iranische Atomanlagen spekuliert. Dabei ist aus dem Blick geraten, welche Schwachstellen in der Sicherheit industrieller Netze damit weltweit offengelegt wurden.

Die Art, wie Stuxnet agiert, hat Sicherheitsexperten alarmiert. „Wir haben definitiv noch nie so etwas gesehen“, sagt Liam O’Murchu, Sicherheitsexperte von Symantec Security Response. „Die Tatsache, dass er physische Maschinen steuern kann, wie sie arbeiten, ist sehr besorgniserregend.“

Ralph Langner, Geschäftsführer eines Hamburger Beratungsunternehmens für sichere Industrienetze, sieht die Bedrohung der deutschen Industrie durch Nachahmungstaten und Hacker-Toolkits gravierend erhöht. Melissa Hathaway, die ehemalige Koordinatorin für Cybersicherheit der US-Regierung, äußert in der New York Times: „Wir haben vielleicht 90 Tage, um das Problem zu lösen, bevor Hacker es benutzen werden.“

Details der Stuxnet-Attacke lassen erahnen, womit Betreiber von Produktionsanlagen künftig rechnen müssen. Die Infektion erfolgt über vier zuvor unbekannte Sicherheitslücken in Windows. Sicherheitslücken im Betriebssystem Windows sind ein grundlegendes Problem. Der aktuelle IBM-Sicherheitsreport „X-Force 2010 Mid-Year Trend and Risk Report“ berichtet, dass am Ende des ersten Halbjahres 71 % der Lücken mit der Gefahrenstufe „hoch“ und „kritisch“ ungepatcht waren. Eine Schadsoftware wie Stuxnet kann in einer künftigen Variante über jede andere Lücke in Windows einfallen, so dass auch Systeme mit aktuellem Sicherheitspatch ungeschützt sind. Auch konventionelle Antivirus-Software ist prinzipiell gegen „Zero Day Vulnerabilities“ machtlos, da es noch keine Signaturen für die Schadsoftware gibt.

Stuxnet ist außerdem mit einer gültigen, digitalen Unterschrift von Realtek bzw. JMicron versehen und agiert so als legitimierter Windows-Systemtreiber und wird damit auch unter dem sicherheitstechnisch verbesserten Windows 7 ohne Warnung im System gestartet.

Viele Betreiber von Industrieanlagen fühlen sich sicher, weil ihre Systeme nicht mit dem Internet vernetzt sind. Das Problem: Stuxnet verbreitet sich in Produktionsanlagen über USB-Sticks und über gemeinsam genutzte Verzeichnisse. Laut des aktuellen „International Security Barometer“ von Panda Security gelangten bereits in 30 % der durch Malware betroffenen Firmen die Schädlinge über USB-Sticks und externe Festplatten in die IT-Systeme. „Die Gefährdung im Automatisierungsumfeld ist besonders hoch, weil hier mit USB-Sticks sehr viel und sehr sorglos gearbeitet wird. Ähnliches gilt für die genannten Verzeichnisse. Sie sind generell offen für Zugriffe, um Projektierungsdateien, Reports oder Konfigurationsdaten schnell von einem System auf ein anderes zu kopieren“, analysiert Ralph Langner.

Das Ziel von Stuxnet ist die Manipulation von Step-7-Programmen auf Europas marktführender SPS (Speicherprogrammierbare Steuerung), der Siemens Simatic S7. Stuxnet dringt in WinCC (Windows Control Center) und das Prozessorleitsystem Simatic PCS7, indem es nur Insidern bekannte Lücken wie voreingestellte Passwörter gezielt ausnutzt. Dabei verbindet sich Stuxnet mit dem voreingestellten Passwort zum MSSQL-Server und sucht nach IP-Adressen von anderen WinCC-Systemen.

Zusätzlich installiert sich Stuxnet zwischen das Engineering-Tool Simatic Manager und die von Siemens verwendeten Treiberbibliothek, über die Speicherzugriffe auf die verbundenen SPSen stattfinden. Der SPS-Zugriff über diese DLL hat für Stuxnet den Vorteil, dass auch SPSen infiziert werden können, die nicht per Netzwerk, sondern per Profibus oder per Multi Point Interface (MPI) angeschlossen sind. Die Schadsoftware ist in der Lage, auf den verbundenen SPSen beliebige manipulierte Step-7-Funktionsaufrufe einzufügen. Die Manipulationen sind anschließend nicht mehr feststellbar, da die Malware die Lese-/Schreib-Zugriffe verändert.

Das österreichische CERT (Computer Emergency Response Team) betont, dass auch Windows-PCs ohne Verbindung zu einer Simatic-Steuerung durch Stuxnet infiziert sein können. Dort wird kein Schadcode ausgeführt, sondern diese PCs dienen dann der Weiterverbreitung .

Schadsoftware, die sich über Sicherheitslücken in Windows verbreitet, kann durch die klassischen Schutzmaßnahmen aus der Office-IT nicht verhindert werden. Außerdem ist das Einspielen der jetzt verfügbaren Sicherheitsupdates aus Sicht vieler Anlagenbetreiber problematisch, weil sie Nachteile für die Funktion, Stabilität und Qualität sorgfältig abgestimmter Prozesse befürchten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Unternehmen, die das Windows Control Center (WinCC) im Einsatz haben, Hilfe an. Die BSI-Handlungsempfehlungen zur Überprüfung von Industrieanlagen, aber auch ein von Siemens zur Verfügung gestelltes Tool zur Überprüfung der WinCC-Software können unter den unten stehenden Adressen angefordert werden. MARTIN ORTGIES/pek

Ein Beitrag von:

  • Martin Ortgies

  • Peter Kellerhoff

    Peter Kellerhoff

    Redakteur VDI nachrichten
    Fachthemen: Automobil, Nutzfahrzeuge, Schiff, Bahn, Verkehr, Mobilität, E-Mobilität, Software, Cloud, Internet, KI

Themen im Artikel

Stellenangebote im Bereich Softwareentwicklung

Blickfeld GmbH-Firmenlogo
Blickfeld GmbH Full Stack Software Engineer (m/f/d) point cloud München
Blickfeld GmbH-Firmenlogo
Blickfeld GmbH Embedded Software Engineer (m/f/d) LiDAR sensor München
Blickfeld GmbH-Firmenlogo
Blickfeld GmbH Field Application Engineer (m/f/d) Smart City München
Airbus-Firmenlogo
Airbus 3D IS Application Developer for Configuration & Documentation Management Systems (m/f/d) Manching
Airbus-Firmenlogo
Airbus FCAS2021: Information System Solution Architect (d/m/f) (Open) Manching
in-tech GmbH-Firmenlogo
in-tech GmbH Entwicklungsingenieur / Systemingenieur MBSE (m/w/d) Leipzig, Ingolstadt
in-tech GmbH-Firmenlogo
in-tech GmbH Softwareentwickler C++ im Automotive Umfeld (m/w/d) verschiedene Standorte
Capgemini -Digital Engineering and Manufacturing Services-Firmenlogo
Capgemini -Digital Engineering and Manufacturing Services DevOps Engineer (w/m/d) München
Rohde & Schwarz-Firmenlogo
Rohde & Schwarz Software-Entwicklungsingenieur (m/w/d) Vektorielle Netzwerkanalyse München
Uniper SE-Firmenlogo
Uniper SE Working student Perfomance Team Gas Turbine Fleet (m/f/d) Düsseldorf

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.