IT in der Produktion: die Lehren aus Stuxnet

Stuxnet nutzt mehrere bekannte, aber bis dahin nicht reparierte Windows-Sicherheitslücken aus. Dazu gehört zum Beispiel eine schlampige Überprüfung der Icons von Verknüpfungsdateien (LNK-Fehler) durch die Windows-Shell oder eine Lücke im Printer-Spooler, mittels derer sich alle am Drucker hängenden Geräte infizieren lassen. Der Wurm gaukelt außerdem mit Hilfe gestohlener echter Zertifikate Legalität vor und umgeht so Sicherheitsmechanismen.

Wahrscheinlich haben zwei Gruppen von Programmierern daran gearbeitet. Die New York Times vermutet gut begründet, dass es sich um eine amerikanische und eine israelische Gruppe gehandelt hat, kann aber keine unwiderlegbaren Beweise beibringen. Wer immer der Urheber von Stuxnet war, nahm erhebliche und kaum berechenbare Kollateralschäden in Kauf. Denn im Iran befanden sich letztlich nur 60 Prozent der infizierten Systeme.

Der Rest der Wurm-Kopien geisterte durch die Welt und hätte überall da landen können, wo ein infizierter USB-Stick angesteckt wurde oder wird. Am stärksten betroffen waren Indien, Indonesien und Aserbaidschan. Aber auch in den USA, Russland und Großbritannien wurden Infektionen aufgezeichnet.

Die Schlussfolgerungen aus der Attacke reichen weit: Maschinenbauer müssen nun ihre Politik überdenken. „Wer heute auf einer Maschine beispielsweise einen Virenscanner oder überhaupt Drittsoftware installiert, verliert Support und Gewährleistung“, berichtet Puppe. Das könne nicht so bleiben.

Nun arbeitet die Branche an Zertifizierungsmechanismen. Ziel ist es, dass auf Kompatibilität geprüfte Programme dann auf das Produktionsequipment aufgespielt werden dürfen, ohne die Rechtsposition des Eigners zu verschlechtern. Bis das endlich geschieht, handeln Unternehmen auf eigene Faust. So dürfen Drittanbieter, etwa von Wartungsfirmen, bei VW mittlerweile nur noch umständlich zertifizierte USB-Sticks an die von ihnen gepflegten Maschinen anstecken.