Categories: SicherheitUnternehmen

IT in der Produktion: die Lehren aus Stuxnet

Vor nicht allzu langer Zeit waren Produktionssysteme und Datennetze sauber voneinander getrennt. Während die Datennetze relativ bald mit großen Schritten einer Komplettstandardisierung entgegenstrebten, bestanden Produktionsumgebungen meist weiter aus einzelnen Inseln, die – wenn überhaupt -, mittels proprietärer Feldbusse kommunizierten und über am Gerät befindliche Steuerungen in speziellen Sprachen programmiert wurden.

Zunächst langsam, aber inzwischen immer schneller nähern sich die beiden Welten aneinander an. Mittlerweile sind sie dabei, zu verschmelzen: Selbstverständlich haben auch Maschinen heute digital programmierbare Steuerungen. Immer öfter lassen sich Steuerbefehle oder Kontrollroutinen übers Web und sogar von Mobilsystemen aus aktivieren.


Michael Hoos, Senior Director Technology Sales Organisation EMEA Centrals bei Symantec (links), und Enrico Puppe, Sicherheitsspezialist und Systemanalytiker produktionsnahe IT bei VW Nutzfahrzeuge, erklären Struktur und Auswirkungen des Stuxnet-Virus (Bild: Ariane Rüdiger).

Basis der Vernetzung ist zunehmend das an Sicherheitsfeatures nicht gerade reiche IP-Protokoll. Dazu beigetragen haben auch die erst kritisch beäugten, dann aber oft aus Kostengründen doch akzeptierten Bemühungen einiger Netzwerkhersteller um „Industrial Ethernet“ – also IP-Netze in Produktionsumgebungen.

Inzwischen überlegen viele Firmen, so Michael Hoos, Senior Director Technology Sales Organisation EMEA Centrals bei Symantec, Informations- und Datennetz komplett durchgängig zu machen. „Das bringt betrieblich große Vorteile“, bestätigt Enrico Puppe, Sicherheitsspezialist und Systemanalytiker produktionsnahe IT bei VW Nutzfahrzeuge, „allerdings auch große Risiken.“

Trickreicher Wurm mit perfekter Tarnung

Welche das sind, hat Stuxnet gezeigt. Denn wenn iranische Atomanlagen angreifbar sind, ist es eigentlich jedes System. Schließlich bestehen die meisten Steuerungen aus relativ hoch standardisierten Komponenten, die frei erhältlich sind. Diese Tatsache machte sich der Wurm zunutze, der als klassischer „Man in the Middle“ agiert.

Die Infektion erfolgt durch verseuchte USB-Sticks. Dann schummelt sich das Monster zwischen die Maschine und die steuernden Elemente, in diesem Fall die beliebten Siemens Step-7-Steuerungen. An dieser Stelle regulierte der Wurm einerseits die Betriebsparameter der iranischen Zentrifugen so, dass maximaler Schaden zu erwarten war, andererseits blockierte er aber die Messdaten aus den Zentrifugen, die dem Betriebspersonal die Fehlfunktion angezeigt hätte, und ersetzte sie durch Normalwerte.

Inzwischen wurde der Schädling bis aufs letzte Bit analysiert. Der Wurm ist so programmiert, dass er nur aktiv wird, wenn bestimmte Typen der Steuerung und eine Profibus-Karte vorhanden sind. Der Selbstinstallationsprozess des Schädlings ist mit allerlei doppelten Sicherungen ausgerüstet, die dafür sorgen, dass er auch wirklich nicht entdeckt und nur auf den gewünschten Systemen aktiv wird.

Aufgrund einiger dieser Kritrien hatte der deutsche Sicherheitsexperte Ralph Langner bereits im September vermutet, dass es sich bei dem Initiator um einen Nationalstaat handelt. „Der Angriff wurde von einem hoch qualifizierten Expertenteam zusammengestellt, das über spezielle Erfahrungen mit Kontrollsystemen verfügen muss.“

Vorläufer von Stuxnet geisterten schon im Sommer 2009 durchs Netz. „Doch was aus diesen Prototypen, die unter den 260 Millionen Varianten von Schadsoftware im Jahr 2009 nicht sonderlich auffielen, einmal werden wurde, konnte man damals noch nicht erkennen. Denn die entscheidenden, auf Steuerungen gerichteten Funktionen fehlten“, erklärt Symantec-Experte Haas.


Diese schematische Darstellung zeigt, wie aufwändig und kompliziert der Stuxnet-Wurm zu Werke geht (Grafik: Symantec).

Page: 1 2

ZDNet.de Redaktion

Recent Posts

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

4 Stunden ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

3 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

4 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago