IT in der Produktion: die Lehren aus Stuxnet

Vor nicht allzu langer Zeit waren Produktionssysteme und Datennetze sauber voneinander getrennt. Während die Datennetze relativ bald mit großen Schritten einer Komplettstandardisierung entgegenstrebten, bestanden Produktionsumgebungen meist weiter aus einzelnen Inseln, die – wenn überhaupt -, mittels proprietärer Feldbusse kommunizierten und über am Gerät befindliche Steuerungen in speziellen Sprachen programmiert wurden.

Zunächst langsam, aber inzwischen immer schneller nähern sich die beiden Welten aneinander an. Mittlerweile sind sie dabei, zu verschmelzen: Selbstverständlich haben auch Maschinen heute digital programmierbare Steuerungen. Immer öfter lassen sich Steuerbefehle oder Kontrollroutinen übers Web und sogar von Mobilsystemen aus aktivieren.

Basis der Vernetzung ist zunehmend das an Sicherheitsfeatures nicht gerade reiche IP-Protokoll. Dazu beigetragen haben auch die erst kritisch beäugten, dann aber oft aus Kostengründen doch akzeptierten Bemühungen einiger Netzwerkhersteller um „Industrial Ethernet“ – also IP-Netze in Produktionsumgebungen.

Inzwischen überlegen viele Firmen, so Michael Hoos, Senior Director Technology Sales Organisation EMEA Centrals bei Symantec, Informations- und Datennetz komplett durchgängig zu machen. „Das bringt betrieblich große Vorteile“, bestätigt Enrico Puppe, Sicherheitsspezialist und Systemanalytiker produktionsnahe IT bei VW Nutzfahrzeuge, „allerdings auch große Risiken.“

Trickreicher Wurm mit perfekter Tarnung

Welche das sind, hat Stuxnet gezeigt. Denn wenn iranische Atomanlagen angreifbar sind, ist es eigentlich jedes System. Schließlich bestehen die meisten Steuerungen aus relativ hoch standardisierten Komponenten, die frei erhältlich sind. Diese Tatsache machte sich der Wurm zunutze, der als klassischer „Man in the Middle“ agiert.

Die Infektion erfolgt durch verseuchte USB-Sticks. Dann schummelt sich das Monster zwischen die Maschine und die steuernden Elemente, in diesem Fall die beliebten Siemens Step-7-Steuerungen. An dieser Stelle regulierte der Wurm einerseits die Betriebsparameter der iranischen Zentrifugen so, dass maximaler Schaden zu erwarten war, andererseits blockierte er aber die Messdaten aus den Zentrifugen, die dem Betriebspersonal die Fehlfunktion angezeigt hätte, und ersetzte sie durch Normalwerte.

Inzwischen wurde der Schädling bis aufs letzte Bit analysiert. Der Wurm ist so programmiert, dass er nur aktiv wird, wenn bestimmte Typen der Steuerung und eine Profibus-Karte vorhanden sind. Der Selbstinstallationsprozess des Schädlings ist mit allerlei doppelten Sicherungen ausgerüstet, die dafür sorgen, dass er auch wirklich nicht entdeckt und nur auf den gewünschten Systemen aktiv wird.

Aufgrund einiger dieser Kritrien hatte der deutsche Sicherheitsexperte Ralph Langner bereits im September vermutet, dass es sich bei dem Initiator um einen Nationalstaat handelt. „Der Angriff wurde von einem hoch qualifizierten Expertenteam zusammengestellt, das über spezielle Erfahrungen mit Kontrollsystemen verfügen muss.“

Vorläufer von Stuxnet geisterten schon im Sommer 2009 durchs Netz. „Doch was aus diesen Prototypen, die unter den 260 Millionen Varianten von Schadsoftware im Jahr 2009 nicht sonderlich auffielen, einmal werden wurde, konnte man damals noch nicht erkennen. Denn die entscheidenden, auf Steuerungen gerichteten Funktionen fehlten“, erklärt Symantec-Experte Haas.