IT in der Produktion: die Lehren aus Stuxnet

Mit seinem Angriff auf iranische Atomzentrifugen hat Stuxnet nach Meinung von Experten eine neue Ära eingeleitet: Nun ist gewiss, dass potenziell jede Produktionsanlage digital ge- oder zerstört werden kann. Aber wer das tut, nimmt erhebliche Kollateralschäden in Kauf.

Vor nicht allzu langer Zeit waren Produktionssysteme und Datennetze sauber voneinander getrennt. Während die Datennetze relativ bald mit großen Schritten einer Komplettstandardisierung entgegenstrebten, bestanden Produktionsumgebungen meist weiter aus einzelnen Inseln, die – wenn überhaupt -, mittels proprietärer Feldbusse kommunizierten und über am Gerät befindliche Steuerungen in speziellen Sprachen programmiert wurden.

Zunächst langsam, aber inzwischen immer schneller nähern sich die beiden Welten aneinander an. Mittlerweile sind sie dabei, zu verschmelzen: Selbstverständlich haben auch Maschinen heute digital programmierbare Steuerungen. Immer öfter lassen sich Steuerbefehle oder Kontrollroutinen übers Web und sogar von Mobilsystemen aus aktivieren.

Michael Hoos, Senior Director Technology Sales Organisation EMEA Centrals bei Symantec, und Enrico Puppe, Sicherheitsspezialist und Systemanalytiker produktionsnahe IT bei VW Nutzfahrzeuge, erklären Struktur und Auswirkungen des Stuxnet-Virus (Bild: Ariane Rüdiger).
Michael Hoos, Senior Director Technology Sales Organisation EMEA Centrals bei Symantec (links), und Enrico Puppe, Sicherheitsspezialist und Systemanalytiker produktionsnahe IT bei VW Nutzfahrzeuge, erklären Struktur und Auswirkungen des Stuxnet-Virus (Bild: Ariane Rüdiger).

Basis der Vernetzung ist zunehmend das an Sicherheitsfeatures nicht gerade reiche IP-Protokoll. Dazu beigetragen haben auch die erst kritisch beäugten, dann aber oft aus Kostengründen doch akzeptierten Bemühungen einiger Netzwerkhersteller um “Industrial Ethernet” – also IP-Netze in Produktionsumgebungen.

Inzwischen überlegen viele Firmen, so Michael Hoos, Senior Director Technology Sales Organisation EMEA Centrals bei Symantec, Informations- und Datennetz komplett durchgängig zu machen. “Das bringt betrieblich große Vorteile”, bestätigt Enrico Puppe, Sicherheitsspezialist und Systemanalytiker produktionsnahe IT bei VW Nutzfahrzeuge, “allerdings auch große Risiken.”

Trickreicher Wurm mit perfekter Tarnung

Welche das sind, hat Stuxnet gezeigt. Denn wenn iranische Atomanlagen angreifbar sind, ist es eigentlich jedes System. Schließlich bestehen die meisten Steuerungen aus relativ hoch standardisierten Komponenten, die frei erhältlich sind. Diese Tatsache machte sich der Wurm zunutze, der als klassischer “Man in the Middle” agiert.

Die Infektion erfolgt durch verseuchte USB-Sticks. Dann schummelt sich das Monster zwischen die Maschine und die steuernden Elemente, in diesem Fall die beliebten Siemens Step-7-Steuerungen. An dieser Stelle regulierte der Wurm einerseits die Betriebsparameter der iranischen Zentrifugen so, dass maximaler Schaden zu erwarten war, andererseits blockierte er aber die Messdaten aus den Zentrifugen, die dem Betriebspersonal die Fehlfunktion angezeigt hätte, und ersetzte sie durch Normalwerte.

Inzwischen wurde der Schädling bis aufs letzte Bit analysiert. Der Wurm ist so programmiert, dass er nur aktiv wird, wenn bestimmte Typen der Steuerung und eine Profibus-Karte vorhanden sind. Der Selbstinstallationsprozess des Schädlings ist mit allerlei doppelten Sicherungen ausgerüstet, die dafür sorgen, dass er auch wirklich nicht entdeckt und nur auf den gewünschten Systemen aktiv wird.

Aufgrund einiger dieser Kritrien hatte der deutsche Sicherheitsexperte Ralph Langner bereits im September vermutet, dass es sich bei dem Initiator um einen Nationalstaat handelt. “Der Angriff wurde von einem hoch qualifizierten Expertenteam zusammengestellt, das über spezielle Erfahrungen mit Kontrollsystemen verfügen muss.”

Vorläufer von Stuxnet geisterten schon im Sommer 2009 durchs Netz. “Doch was aus diesen Prototypen, die unter den 260 Millionen Varianten von Schadsoftware im Jahr 2009 nicht sonderlich auffielen, einmal werden wurde, konnte man damals noch nicht erkennen. Denn die entscheidenden, auf Steuerungen gerichteten Funktionen fehlten”, erklärt Symantec-Experte Haas.

Diese schematische Darstellung zeigt, wie aufwändig und kompliziert der Stuxnet-Wurm zu Werke geht (Grafik: Symantec).
Diese schematische Darstellung zeigt, wie aufwändig und kompliziert der Stuxnet-Wurm zu Werke geht (Grafik: Symantec).

Neueste Kommentare 

Eine Kommentar zu IT in der Produktion: die Lehren aus Stuxnet

  • Am 31. August 2012 um 01:33 von Karajan

    Wir von der ondeso GmbH setzten genau hier an. Es reicht nicht nur sein System mit einem Virenscanner zu schützen es muss eine Gesamtlösung her. Die Ziele solcher Angriffe sind mittlerweile nicht auf einzelne Staaten und Systeme beschränkt. Stuxnet ist hierbei nur eine von vielen Bedrohungen. Ein Mitarbeiter der seine Pause verlängern will oder seine Kollegen mit einem USB Stick von zuhause unterhalten will, kann ebenso teuer werden. Manchmal wandern die Daten auch ohne Virus durch das Werkstor und die Konkurrenz ist plötzlich in der Lage qualitativ aufzuholen oder hat gleich das Rezept für eigene Entwicklungen.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *