Anzeige
Anzeige
Beitrag drucken

Ein Jahr nach Stuxnet: Keine Entwarnung

"Unterschätze nie deinen Gegner"

Ein Jahr nach dem Auftauchen der ersten Spuren von Stuxnet im Juni 2010 ist es ruhig geworden um den 'Automatisierungsvirus'. Nicht zuletzt angesichts neuer Meldungen über Sicherheitslücken in S7-Steuerungen sieht Professor Udo Helmbrecht aber noch keinen Anlass zur Entwarnung: Der Executive Director der Europäischen Sicherheitsagentur für Netzwerk- und Informationssicherheit Enisa gibt Einblicke in die Bedrohungslage und verrät, warum Scada-Schadsoftware dennoch für die Industrie kein Grund ist, auf Automatisierungsschnittstellen oder Cloud-Dienste zu verzichten.



Bild: ENISA

IT&Production: Als erste Schadsoftware für Scada-Steuerungen hat Stuxnet im Jahr 2010 für Aufregung gesorgt. Die Sicherheitslücken, über die sich der Virus verbreitet hat, sind gestopft. Doch gerade kursieren Meldungen über neue Sicherheitslücken in S7-Steuerungen von Siemens. Droht nun Gefahr durch angepasste Stuxnet-Versionen?

Udo Helmbrecht: Das ist eine schwierige Frage. Generell beheben natürlich sowohl Betriebssystemanbieter als auch Steuerungshersteller Schwachstellen, spätestens wenn die Bedrohung so hohen Bekanntheitsgrad erreicht wie Stuxnet. Der Wurm hat ursprünglich die Programmiersoftware für Steuerungen von Siemens angegriffen, und das Unternehmen hat hier sehr viel investiert, um Sicherheitslücken zu schließen. Von dieser Seite her besteht also eine gewisse Sicherheit. Das Problem ist aber, dass Kriminelle Varianten der Schadsoftware entwickeln können, die andere Schwachstellen ausnutzen. Inzwischen sind weitere Lücken bekannt geworden, die diesmal S7-Steuerungen betreffen. Sicherheitsunternehmen und Hersteller sind also weiterhin gefragt, dieser Gefahr etwa mit Virensignaturen, Mustererkennung und Patchmanagement zu begegnen. Ein Risikofaktor liegt auch bei Anwender-Unternehmen: Jede Software muss aktuell gehalten werden, sonst hilft die beste Absicherung, das beste Patchmanagement auf Anbieterseite nichts.

IT&Production: Wie hoch schätzen Sie das Risiko neuer Stuxnet-Varianten ein? Ein kompletter ‚Nachbau‘ gilt angesichts der aufwändigen Vorbereitung und Programmierung derzeit ja als eher unwahrscheinlich …

Helmbrecht: Hier bewegen wir uns im sehr spekulativen Bereich. Mann kann natürlich immer auch komplexe Schadsoftware mit entsprechendem Aufwand erstellen, da ist vieles denkbar. Andererseits wurde die Software bereits erstellt, und damit ist es zumindest für den Verursacher sicherlich einfacher als bei einer Neuprogrammierung, neue Varianten zu erstellen oder zu verkaufen. Es ist also ein realistisches Risiko, insbesondere, da sich die Software breits in kriminellen Händen befindet. Aus Sicherheitsperspektive muss die Maxime daher lauten: Unterschätze nie deinen Gegner. Wir müssen davon ausgehen, dass Kriminelle die Stuxnet-Mechanismen erneut nutzen können, wir wissen aber nicht, wann oder in welcher Form. Für Enisa geht es dabei zuerst darum, diesem Risiko im Bereich der Internet-Sicherheit zu begegnen, auch im Zusammenspiel mit anderen Organisationen wie dem deutschen Bundesamt für Sicherheit in der Informationstechnik und Sicherheitsunternehmen.

IT&Production: Als Ziel des ursprünglichen Stuxnet-Codes wurde die Sabotage iranischer Zentrifugen vermutet. Sind weitere Verwendungszwecke der Software, etwa für Industriespionage, denkbar?

Helmbrecht: Zuerst muss man sich dazu die Frage stellen, mit welchem Ziel Angreifer solche Schadsoftware entwickeln. Bekannt ist immer noch lediglich, dass die Software für Scada-Systeme entwickelt wurde, speziell für die Steuerung von Uranzentrifugen iranischer Hersteller. In die Entwicklung der Schadprogramme und das Aufspüren von Schwachstellen für das erfolgreiche Eindringen wurde in der Tat sehr viel Aufwand, Geld und Know-how gesteckt, das kann bis zu sechs Monate gedauert haben. Über den Einsatz etwa von Root Kits in Scada-Software und Fertigungssteuerung ist das Potenzial für andere Einsatzzwecke auf jeden Fall da. Generell gilt hier aber das gleiche wie für Angriffe auf Office-Systeme: Cyberkriminalität ist ein Geschäft, der Aufwand muss sich vom Ergebnis her rechnen. Das gleiche gilt für die Adaption oder Neuentwicklung für andere Steuerungen: Hier wird sich der Aufwand nur für weit verbreitete Systeme lohnen.

IT&Production: Welche Unternehmen sind durch potenzielle Varianten oder zukünftige Angriffe auf die Automatisierungsebene besonders gefährdet?

Helmbrecht: Auch hierbei geht es vor allem um die Frage, wie sich mit Angriffen auf Unternehmen Geld machen lässt. Als Betrieb muss ich mich daher fragen: Wo liegt mein wichtigstes Geschäftsfeld, wo liegen Unternehmensrisiken und Schwachstellen, wo liegen die Werte für einen potenziellen Angreifer? Kriminelle können viel in einen aufwändigen Code investieren, wenn sie damit nachher viel Geld verdienen können. Deutschland lebt als innovativer Standort vom Export, daher ist hier neben Sabotage sicherlich der Diebstahl geistigen Eigentums eine Gefahr. Denkbare Szenarien umfassen aber auch Denial-of-service-Attacken (DOS), die IT-Systeme durch Überlastung beeinträchtigen oder stilllegen, um Geld von Industriebetrieben zu erpressen.

IT&Production: Für den unternehmerischen Erfolg gewinnen Standard-Schnittstellen und integrierte Systeme an Bedeutung, sei es für die Anbindung produktionsnaher IT oder für die Fernwartung. Das bedeutet aber im Gegenzug, dass sich die Automatisierung stärker zu anderen Systemen hin öffnet. Erhöht sich so das Risiko von Angriffen?

Helmbrecht: Der Einsatz von Standards und die Integration von Produktionssteuerungen in angrenzende Systeme ist notwendig, damit Betriebe effizient kommunizieren und produzieren können. Am Ende funktioniert unser Wirtschaftssystem ohne Integration nicht optimal. Schon der Einsatz von TCP/IP birgt natürlich erst einmal Risiken. Schließlich wurde der Standard im freien wissenschaftlichen Austausch entwickelt. Da hat niemand die ‚Sicherheitsbrille‘ aufgesetzt, da ursprünglich nicht mit der heute hohen Verbreitung und dem breiten Einsatzbereich gerechnet wurde. Andererseits zeigt sich hier auch, dass nachträglich Sicherheitsmechanismen wie etwa das HTTPS-Protokoll aufgebaut werden. Bei Standardisierungsbestrebungen wie OPC UA hingegen wird von Anfang an die Sicherheit mit aufgebaut. Dieses Konzept, auch ‚IT-Security by Design‘ genannt, sollte heutzutage bei jeder Neuentwicklung im IT-Bereich im Vordergrund stehen.

IT&Production: Das Internet spielt etwa durch Cloud-Dienste und Mietsoftware auch für produzierende Betriebe eine steigende Rolle. Wie bewerten Sie die Sicherheit solcher Online-Lösungen?

Helmbrecht: Die große Chance im Cloud Computing liegt in mehr Sicherheit durch Professionalisierung. Ein Ingenieurbüro beispielsweise wird keinen eigenen Administrator haben. Hier bietet der Weg in die Cloud höhere Sicherheit, denn große Unternehmen und Cloud-Anbieter unterhalten Abteilungen und Management für die IT-Sicherheit, Mittelstand und Kleinbetriebe können vielfach nicht den gleichen Support für ihre PC-Umgebung leisten. Das Endgerät gilt es aber immer noch entsprechend zu sichern. Wenn wir einen Blick auf der Verteilung von Stuxnet werfen, zeigt sich, dass der Virus überwiegend über USB-Sticks und Wartungslaptops in die Werkhalle gelangt. Ob geplant oder aus Versehen: Der Techniker geht in die Werkhalle, schließt sein Mobilgerät an Steuerungen an und kann so als Multiplikator für Schadsoftware wirken. Das gilt auch im umgekehrten Fall – Schadsoftware kann von einer Steuerung via Wartungsgerät ins Internet gelangen. Wer seinen Anwendungen im eigenen Unternehmen pflegt, muss also auch für die Sicherheit von Gerät, Software und Netzwerk sorgen. Ein Tipp am Rande: Man kann unter Windows den Autostart für USB-Geräte abschalten, das unterbindet schon einmal eine Infektion beim Einstecken eines USB-Stick.

IT&Production: Im Office-Bereich ist IT-Sicherheit schon lange ein Thema. Was verändert sich für Automatisierungsanbieter und Fertiger mit dem Auftreten von Stuxnet?

Helmbrecht: Dass SPS grundsätzlich angreifbar sind, war jahrelang vor dem Auftreten von Stuxnet bekannt. Das Besondere an dieser Schadsoftware ist, dass es zum ersten Mal funktioniert hat. Generell haben wir in den letzten zehn Jahren eine ganze Menge erreicht, wenn es um das Thema IT-Sicherheit geht, sowohl bei Herstellern als auch auf politischer Ebene. Risiken werden inzwischen sehr bewusst wahrgenommen, was auch das Medienecho auf die S7-Sicherheitslücke zeigt. Auch die Sicherheit bei Betriebssystemen hat sich deutlich verbessert. Natürlich läuft das Sicherheitsmanagement bei großen, bekannten Unternehmen professionalisierter ab als bei vielen Nischenanbietern. Generell lässt sich diese Entwicklung mit der im Automobilbau vergleichen: Hier haben wir hundert Jahre gebraucht, um den heutigen Sicherheitsstandard etwa bei Airbags zu erreichen. Wir sind beim Thema IT-Sicherheit zwar noch nicht da, wo wir im Automobilbau heute stehen. Aber wir sind auf einem guten Weg, auch wenn sich IT-Security by Design noch nicht überall durchgesetzt hat.

IT&Production: Welche Tipps geben Sie Produktionsunternehmen mit auf den Weg, um die Anfälligkeit ihres Betriebes gegenüber Schadsoftware zu verringern?

Helmbrecht: Als ersten Schritt sollte jeder Betrieb eine IT-Infrastrukturanalyse durchführen. Hilfestellung dazu liefert etwa das Bundesamt für Sicherheit in der Informationstechnik unter dem Stichwort ‚BSI-Grundschutz‘. Auf europäischer Seite stellt Enisa in englischer Sprache den Leitfaden ‚European Risk Assessment‘ zur Verfügung. Anschließend gilt es zu prüfen, welche primären Systeme für die Fertigung kritisch sind. Dabei muss auch geklärt weden, welche Datenverbindungen zu anderen Systemen bestehen, um dann festzulegen, wie diese im Einzelfall sicherheitstechnisch ausgestattet werden sollen. Während in der Kernkraft eine komplette Abschottung der Primärsysteme benötigt wird, kann das im Produktionsbetrieb je nach Branche schon anders aussehen. Zuletzt benötigt jeder Betrieb eine Politik, wie er mit Laptops, USB-Sticks und Mobilgeräten umgeht. Abseits strategischer Ansätze sollten Unternehmen vor allem dafür sorgen, dass sich ihre IT-Systeme auf dem aktuellen technischen Stand befinden. Das gilt für Windows-Installation genauso wie für Scada-Software. (mec)


Das könnte Sie auch interessieren:

Andreas Riepen übernimmt die Position des Regional Vice President Sales für die DACH-Region beim IT-Unternehmen Riverbed.‣ weiterlesen

Manufacturing Execution Systems (MES) sollen meist Shop und Top Floor miteinander verbinden und sie beeinflussen Fertigungsprozesse direkt. Implementierungen sind daher oft riskant, unternehmenskritisch und kostspielig. Cloud-Lösungen für die Werkhalle können viele dieser Effekte abfedern.‣ weiterlesen

Wie der IT-Security-Anbieter Kaspersky berichtet, wurden Unternehmen weltweit über zielgerichtete Phishing-Mails angegriffen, bei denen die Angreifer das Mimikatz-Programm nutzten. Kaspersky hat diese Angriffe analysiert.‣ weiterlesen

Heute suchen meist aufwendige Kamerasysteme nach Teilen im Werkstückträger, die der Roboter greifen kann. Mit der Smart-Task-Funktionalität Load Mapping des Sensorherstellers Sick lässt sich die Belegung von Werkstückträgern während der Zuführung in die Montagezelle erfassen und als digitales Sensorsignal an die Robotersteuerung ausgeben.‣ weiterlesen

Nach über 75 Jahren im Sensorgeschäft sollen künftig auch digitale Lösungen das Portfolio von Sick prägen. Christoph Müller, Senior Vice President für den Industrial Integration Space bei Sick, schildert, was Apps und Sensorik zusammen leisten und warum die Probleme der Anwender immer weniger die Automatisierungstechnik selbst betreffen.‣ weiterlesen

In einer 5. Blitzumfrage des VDMA zeigt sich, dass sich die Lieferketten der deutschen Maschinenbauer nach und nach erholen. Die Branche hat jedoich weiterhin mit Auftragseinbußen zu kämpfen.‣ weiterlesen

Mit Process Mining ermitteln Unternehmen, in welchen Prozessen Sand im Getriebe ist. Da die Methode zwingend datenbasierte Prozesse zur Analyse und Visualisierung voraussetzt, ist dieser Ansatz zwar im ERP-Umfeld zuhause, lässt sich aber hervorragend auf MES-unterstützte Produktionen anwenden.‣ weiterlesen

Immer häufiger werden industrielle Anwendungsfälle mit maßgeschneiderter Technik erprobt. Sven Pannewitz und Tobias Thelemann, Produktmanager bei Reichelt Elektronik, verweisen auf die Beliebtheit von Open-Source-Hardware in solchen Lösungen.‣ weiterlesen

Gesetzlichen Bestimmungen zufolge müssen Hersteller Unterlagen wie CE-Konformitätserklärungen, Atex-Zertifikate oder Werkstoffzeugnisse erstellen. Die Anwendung der im April erschienenen Richtlinie VDI 2770 Blatt 1 soll Prozessabläufe bei der Übergabe von Herstellerinformationen vereinfachen, indem sie einheitlich strukturiert bereitgestellt werden.‣ weiterlesen

Brigitte Falk verantwortet beim Industrie-4.0-Spezialisten Forcam die interne IT sowie das digitale Marketing zur Leadgenerierung. Als CIO/COO berichtet sie an Geschäftsführer (Co-CEO) Oliver Hoffmann.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige