Stuxnet - Angriff auf kritische Infrastrukturen

Salve All,

im Sommer 2010 wurde ein Computerwurm entdeckt, welcher der Fachwelt durch seine Komplexität und seine rätselhaften Funktionen auffiel. Die Malware wurde unter dem Namen Stuxnet kurze Zeit später weltbekannt. Da wir heute über mehr als 50 Millionen Malware-Dateien verfügen, lohnt es sich, Stuxnet einer genaueren Betrachtung zu unterziehen. Denn Stuxnet ist eines der seltenen Malware-Beispiele in der Geschichte des Computers, das neue Maßstäbe setzt, was die Gefahr und die Wirkung von Malware betrifft. Er vereint die einfachen Dinge, wie das Infizieren von Computersystemen mit den komplexen Dingen, wie gezielte Manipulation bestimmter Steuerungscomputer, wirkungsvolle Sabotage von Fertigungsprozessen bis in Bereiche des gezielten Cyberkriegs gegen Staaten und Institutionen. Er stellt damit eine ganz neue Qualität der Bedrohung durch Malware dar, denn erstmals wurden Konzepte in der Praxis umgesetzt, von denen bisher nur in theoretischen Überlegungen die Rede war.

Funktionsweise

Da Stuxnet ein Wurm ist, der sich vor allem über USB-Sticks weiterverbreitet, schauen wir uns zuerst die Definition eines Computerwurms an.

Ein Wurm ist ein Computerprogramm oder Skript mit der Eigenschaft, sich selbst zu vervielfältigen, nachdem er ausgeführt wurde. Im Gegensatz zum Computervirus verbreitet sich der Wurm, ohne fremde Dateien oder Bootsektoren mit seinem Code zu infizieren. Würmer verbreiten sich über Netzwerke oder über Wechselmedien wie USB-Sticks.
(Quelle: Wikipedia)

Auffällig ist, dass Stuxnet vier verschiedene Sicherheitslücken in Windows ausnutzt, die bis dahin in der Fachwelt nicht bekannt waren (sogenannte Zero-Day Vulnerability). Dabei werden Windows Computer infiziert, auf denen ein Siemens Softwarepaket zum Programmieren von Steuerungen vorhanden ist. Anschließend überprüft Stuxnet ob eine SIMATIC Steuerung an den Computer angeschlossen ist und manipuliert die Industriesteuerung durch das Einfügen von Schadcode in die Programmroutinen. Dabei werden fehlerhafte Parameter an die Steuerung übergeben, korrekte Parameter aber auf dem Computerdisplay angezeigt. So ist für die Bedienungsmannschaft die Manipulation der Parameter nicht erkennbar.



Der Wurm kann auch bereits desinfizierte Windows-Systeme neu befallen. Dazu legt Stuxnet infizierte Dateien getarnt auf dem System ab, die durch Verschlüsselung vor einer Entdeckung geschützt sind.

Nach einer Veröffentlichung von Symantec sind weltweit ca. 100 000 Computer mit Stuxnet infiziert und davon befinden sich ca. 60% im Iran. Es wird spekuliert, dass Stuxnet die iranischen Urananreicherungsanlage in Natanz und das iranische Atomkraftwerk Bushehr als primäres Ziel hat. Darüber hinaus wird nicht ausgeschlossen, daß Stuxnet ebenfalls das nordkoreanische Atomprogramm infiziert hat.

Bei einer solchen Verbreitungsbasis muss davon ausgegangen werden, dass auch private Computersysteme der Mitarbeiter infiziert sind, was die Gefahr einer Reinfizierung erheblich steigert. Selbst wenn die betroffenen Produktivsysteme erfolgreich von Stuxnet befreit wurden, reicht ein infizierter USB-Stick eines Mitarbeiters aus, um eine Reinfizierung in Gang zu setzten. Eine entsprechende Information an alle Mitarbeiter muss deshalb zeitnah und umfassend erfolgen.

Gegenmaßnahmen

Als wichtigste Gegenmaßnahme ist eine aktuelle Antiviren-Software nicht nur auf den Produktivsystemen sondern auch auf den privaten Computern der Mitarbeiter zu nennen. Entsprechende Lizenzen die es den Mitarbeitern erlauben, das im Unternehmen verwendete Antiviren-Programm auch auf dem privaten Computer zu installieren, haben einige Hersteller von Antiviren-Software im Angebot.

Zwar sollte es eine ganz klare Unternehmensrichtlinie geben, in der das Mitbringen von privaten oder gefundenen USB-Sticks (bzw. Datenträger allgemein) verboten ist, die Erfahrung lehrt aber auch, dass es es immer wieder Mitarbeiter gibt die solche Richtlinien nicht anwenden. Als technische Maßnahmen müssen deshalb automatisierte Funktionen wie z.B. Autorun oder Autoplay in den eingesetzten Betriebssystemen standardmäßig deaktiviert werden.

Bei so komplexen Schadprogrammen wie Stuxnet muss aber auch klar gesagt werden, dass es keinen 100% igen Schutz gegen eine Infektion geben kann. Trotzdem sollte das Risiko durch entsprechende Maßnahmen in der Praxis entsprechend reduziert werden.

Angriff auf kritische Infrastrukturen

Stuxnet stellt einen professionellen Angriff auf kritische Infrastrukturen dar. Auch wenn der Angriff nur das sehr eingeschränkte Feld der iranischen Nuklearforschung betrifft, so kann er als Role Model für zukünftige Angriffe auf kritische Infrastrukturen gewertet werden.

Der Wurm greift gezielt SIMATIC PCS 7 Steuerungen der Firma Siemens an, um diese zu manipulieren. Diese Steuerungen sind weltweit sehr weit verbreitet. Auch wenn die tatsächliche Manipulation, die Stuxnet vornimmt (Manipulation der Drehzahl von Hochfrequenzspindeln), nur wenige nukleartechnische Bereiche betrifft, so kann der Wurm mit entsprechenden Modifikationen alle Bereiche von kritischen Infrastrukturen treffen, in denen SIMATIC Steuerungen eingesetzt werden. Im vorliegenden Fall soll die Qualität des aufbereiteten Nuklearmaterials durch erratische Frequenzänderungen der Zentrifugen abgesenkt werden.

Bleiben wir also zuerst bei dem Kraftwerksbereich und gehen dann fast nahtlos über in den Bereich des Stromnetzes. Bisher ist man davon ausgegangen, dass Steuerungssysteme für Produktion und Infrastruktur Insellösungen darstellen, die nur schwer angreifbar sind, weil sie in aller Regel nicht mit dem Internet vernetzt sind. Hier hat Stuxnet in der Praxis demonstriert, dass selbst so spezielle Systeme wie ein Siemens Regel- und Steuerungssystem nicht nur mit Erfolg gezielt angegriffen werden können, sondern die gezielte Art des Angriffs lange unentdeckt bleibt. Dadurch kann erheblicher Schaden angerichtet werden und durch die Komplexität der Malware benötigen Fachleute erheblich länger, um die Funktion der Malware zu verstehen als dies bei einfacher Malware der Fall wäre. Auf Stuxnet bezogen zeigen die Indizien der letzten Monate, dass das iranische Atomprogramm erheblichen Schaden genommen hat und um Jahre zurückgeworfen wurde. Das entspricht durchaus einem militärischen Erstschlag, nur ohne Bomben, menschliche Verluste und das Risiko einer militärischen Auseinandersetzung. Der Angriff erfolgte heimlich, wird erst spät entdeckt und ist abstreitbar. Damit ist er vom militärischen Standpunkt aus gesehen ein großer Erfolg – und das wird sicherlich zu Nachahmungen führen.

Eine weitere Schadfunktion in Stuxnet betrifft die Steuerung von Kraftwerksturbinen. Auch hier versucht Stuxnet einzugreifen, was zu Schäden an den Kraftwerksturbinen führen könnte. Stuxnet verhindert die Anzeige der aktuellen Betriebswerte und gibt statt dessen falsche Standardwerte aus.
Im Schadensfall wird so ein Kraftwerk für längere Zeit unbrauchbar. Abhängig vom entstandenen Schaden an den Kraftwerksturbinen kann eine Ersatzteilbeschaffung und Reparatur sich über Wochen hinziehen.

Was die Analyse von Stuxnet anbelangt, haben viele Experten weltweit über Wochen hinweg die Funktionen von Stuxnet analysiert und dann ein Gesamtbild aus vielen kleinen Mosaiksteinchen zusammengesetzt um Stuxnet in seiner ganzen Tragweite beurteilen zu können. Die Analysearbeit war erheblich, was dazu führte, dass man in den ersten Wochen nach Entdeckung von Stuxnet nicht das ganze Schadenspotential von Stuxnet erkennen konnte. So mussten erst Fachleute für die Programmierung von Industriesteuerungen hinzugezogen werden, damit der entsprechende Programmcode von Stuxnet mit seinen Funktionen verstanden werden konnte. Was zunächst als einfache Malware erschien, erwies sich letztlich als von Profis unter erheblichem Aufwand programmierter Wurm zur gezielten Sabotage von Nuklearanlagen.

Wenn Stuxnet als Beispiel für den gezielten (und wohl auch erfolgreichen) Angriff auf kritische Infrastr ukturen dienen kann, so ist davon auszugehen, dass in Zukunft die professionell durchgeführten Angriffe zunehmen werden. Die Vorteile liegen auf der Hand. Bis heute kann nur spekuliert werden, wer hinter der Programmierung von und dem Angriff mit Stuxnet steht. Eine Beweisführung ist faktisch nicht möglich. Selbst über das Ziel des Malware-Angriffs gibt es nur wenige Indizien, die kaum zählen würden, wären sie von iranischer Seite nicht teilweise bestätigt worden.

Probleme in der Praxis

Mit Stuxnet werden neue Spielregeln aufgestellt, deren Probleme in der Praxis noch kaum überschaubar sind. Im Rahmen eines Risikomanagements stellt sich grundsätzlich die Frage, wie solche Risiken minimiert werden können. Problematisch ist hier der gezielte Angriff, denn es ist wahrscheinlich, dass eine solche Malware zuerst großen Schaden anrichtet, bevor sie über Antiviren-Software entdeckt werden kann. Das Schadpotential ist damit ungleich höher als bei "herkömmlicher" Malware, fabriziert vom jugendlichen Hacker an der Ecke.

Da gezielt Fertigungsprozesse angegriffen werden, mit dem Ziel das Resultat des Fertigungsprozesses zu verhindern, stellt sich die Frage, wer für den entstandenen Schaden aufkommt. Muss ein betroffenes Unternehmen dies selbst tun oder kann es im Rahmen einer Risikominimierung sich gegen mögliche Schäden versichern? Ist eine Versicherung gegen solche Schäden möglich, sind die Kosten für eine solche Versicherung zu berücksichtigen. Sind diese erheblich, müssten die Kosten über den Produktpreis an den Kunden weitergegeben werden, was die Marktstellung des Unternehmens mitunter schwächt.

Noch problematischer wäre statt der Verhinderung eines Fertigungsprozesses die Manipulation eines Fertigungsprozesses, sodass dessen Ergebnis nicht der gewohnten Qualität entspricht. Hier würde es nicht nur zu kostspieligen Rückrufaktionen für die betroffenen Produkte kommen, es entstünde auch ein Imageschaden für den Hersteller. Kämen in Folge einer mangelhaften Produktqualität Personen zu Schaden, könnte es zu Schadensersatzforderungen gegenüber dem Hersteller kommen.

Nehmen wir an, eine Malware wie Stuxnet hat Produktionssysteme erfolgreich befallen und manipuliert, ist aber noch nicht entdeckt worden. Interessant könnte es dann werden, wenn die mangelhafte Qualität eines Produkts zwar mit technischen Mitteln in einem Labor nachgewiesen werden kann, der Hersteller aber ebenfalls im Rahmen seines Qualitätsmanagements durch Parameterprotokolle nachweisen kann, dass seine Fertigungsprozesse (vermeintlich) in Ordnung sind. Vergessen Sie nicht, Stuxnet manipuliert gezielt Fertigungsparameter, ohne dass diese Änderung vom Bedienpersonal des Fertigungsprozess erkannt werden könnte oder in einem Nachweisprozess zur Qualitätssicherung gespeichert wird.

Im Rahmen von Haftungsfragen stellt sich das Problem, mit welchen angemessenen technischen Mitteln kann ein solcher Angriff verhindert oder die Auswirkungen eines Angriffs abgeschwächt werden?

Stuxnet war vom technischen Standpunkt aus gesehen sicherlich ein Highlight der letzten Jahre für Malware-Forscher. Die Probleme, die Stuxnet dabei aufwirft, demonstrieren nicht nur überdeutlich, wie kritisch und wie angreifbar unsere technischen Infrastrukturen geworden sind. Es zeigt sich zudem, dass der Bedrohung in der Praxis kaum ein vernünftiger Lösungsansatz entgegengesetzt werden kann. Dies macht es in Zukunft wahrscheinlich und leicht, gezielte Angriffe auf kritische Infrastrukturen aus der Anonymität heraus erfolgreich durchzuführen. Deshalb muss im Rahmen eines Risikomanagements von einem höheren Grundrisiko ausgegangen werden als noch vor sechs Monaten. Entsprechend müssen auch die Parameteränderungen im Risikomanagement berücksichtigt werden. Erschwerend kommt hinzu, dass die Erschaffer von Stuxnet mutmaßlich in staatlichem Auftrag gehandelt haben und mit entsprechend umfangreichen Ressourcen ausgestattet waren. Dies wird die Risikominimierung in Zukunft nicht einfacher machen.

Best regards,

Howard