Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Ein Jahr nach Stuxnet: Keine Entwarnung

"Unterschätze nie deinen Gegner"

Ein Jahr nach dem Auftauchen der ersten Spuren von Stuxnet im Juni 2010 ist es ruhig geworden um den 'Automatisierungsvirus'. Nicht zuletzt angesichts neuer Meldungen über Sicherheitslücken in S7-Steuerungen sieht Professor Udo Helmbrecht aber noch keinen Anlass zur Entwarnung: Der Executive Director der Europäischen Sicherheitsagentur für Netzwerk- und Informationssicherheit Enisa gibt Einblicke in die Bedrohungslage und verrät, warum Scada-Schadsoftware dennoch für die Industrie kein Grund ist, auf Automatisierungsschnittstellen oder Cloud-Dienste zu verzichten.



Bild: ENISA

IT&Production: Als erste Schadsoftware für Scada-Steuerungen hat Stuxnet im Jahr 2010 für Aufregung gesorgt. Die Sicherheitslücken, über die sich der Virus verbreitet hat, sind gestopft. Doch gerade kursieren Meldungen über neue Sicherheitslücken in S7-Steuerungen von Siemens. Droht nun Gefahr durch angepasste Stuxnet-Versionen?

Udo Helmbrecht: Das ist eine schwierige Frage. Generell beheben natürlich sowohl Betriebssystemanbieter als auch Steuerungshersteller Schwachstellen, spätestens wenn die Bedrohung so hohen Bekanntheitsgrad erreicht wie Stuxnet. Der Wurm hat ursprünglich die Programmiersoftware für Steuerungen von Siemens angegriffen, und das Unternehmen hat hier sehr viel investiert, um Sicherheitslücken zu schließen. Von dieser Seite her besteht also eine gewisse Sicherheit. Das Problem ist aber, dass Kriminelle Varianten der Schadsoftware entwickeln können, die andere Schwachstellen ausnutzen. Inzwischen sind weitere Lücken bekannt geworden, die diesmal S7-Steuerungen betreffen. Sicherheitsunternehmen und Hersteller sind also weiterhin gefragt, dieser Gefahr etwa mit Virensignaturen, Mustererkennung und Patchmanagement zu begegnen. Ein Risikofaktor liegt auch bei Anwender-Unternehmen: Jede Software muss aktuell gehalten werden, sonst hilft die beste Absicherung, das beste Patchmanagement auf Anbieterseite nichts.

IT&Production: Wie hoch schätzen Sie das Risiko neuer Stuxnet-Varianten ein? Ein kompletter ‚Nachbau‘ gilt angesichts der aufwändigen Vorbereitung und Programmierung derzeit ja als eher unwahrscheinlich …

Helmbrecht: Hier bewegen wir uns im sehr spekulativen Bereich. Mann kann natürlich immer auch komplexe Schadsoftware mit entsprechendem Aufwand erstellen, da ist vieles denkbar. Andererseits wurde die Software bereits erstellt, und damit ist es zumindest für den Verursacher sicherlich einfacher als bei einer Neuprogrammierung, neue Varianten zu erstellen oder zu verkaufen. Es ist also ein realistisches Risiko, insbesondere, da sich die Software breits in kriminellen Händen befindet. Aus Sicherheitsperspektive muss die Maxime daher lauten: Unterschätze nie deinen Gegner. Wir müssen davon ausgehen, dass Kriminelle die Stuxnet-Mechanismen erneut nutzen können, wir wissen aber nicht, wann oder in welcher Form. Für Enisa geht es dabei zuerst darum, diesem Risiko im Bereich der Internet-Sicherheit zu begegnen, auch im Zusammenspiel mit anderen Organisationen wie dem deutschen Bundesamt für Sicherheit in der Informationstechnik und Sicherheitsunternehmen.

IT&Production: Als Ziel des ursprünglichen Stuxnet-Codes wurde die Sabotage iranischer Zentrifugen vermutet. Sind weitere Verwendungszwecke der Software, etwa für Industriespionage, denkbar?

Helmbrecht: Zuerst muss man sich dazu die Frage stellen, mit welchem Ziel Angreifer solche Schadsoftware entwickeln. Bekannt ist immer noch lediglich, dass die Software für Scada-Systeme entwickelt wurde, speziell für die Steuerung von Uranzentrifugen iranischer Hersteller. In die Entwicklung der Schadprogramme und das Aufspüren von Schwachstellen für das erfolgreiche Eindringen wurde in der Tat sehr viel Aufwand, Geld und Know-how gesteckt, das kann bis zu sechs Monate gedauert haben. Über den Einsatz etwa von Root Kits in Scada-Software und Fertigungssteuerung ist das Potenzial für andere Einsatzzwecke auf jeden Fall da. Generell gilt hier aber das gleiche wie für Angriffe auf Office-Systeme: Cyberkriminalität ist ein Geschäft, der Aufwand muss sich vom Ergebnis her rechnen. Das gleiche gilt für die Adaption oder Neuentwicklung für andere Steuerungen: Hier wird sich der Aufwand nur für weit verbreitete Systeme lohnen.

IT&Production: Welche Unternehmen sind durch potenzielle Varianten oder zukünftige Angriffe auf die Automatisierungsebene besonders gefährdet?

Helmbrecht: Auch hierbei geht es vor allem um die Frage, wie sich mit Angriffen auf Unternehmen Geld machen lässt. Als Betrieb muss ich mich daher fragen: Wo liegt mein wichtigstes Geschäftsfeld, wo liegen Unternehmensrisiken und Schwachstellen, wo liegen die Werte für einen potenziellen Angreifer? Kriminelle können viel in einen aufwändigen Code investieren, wenn sie damit nachher viel Geld verdienen können. Deutschland lebt als innovativer Standort vom Export, daher ist hier neben Sabotage sicherlich der Diebstahl geistigen Eigentums eine Gefahr. Denkbare Szenarien umfassen aber auch Denial-of-service-Attacken (DOS), die IT-Systeme durch Überlastung beeinträchtigen oder stilllegen, um Geld von Industriebetrieben zu erpressen.

IT&Production: Für den unternehmerischen Erfolg gewinnen Standard-Schnittstellen und integrierte Systeme an Bedeutung, sei es für die Anbindung produktionsnaher IT oder für die Fernwartung. Das bedeutet aber im Gegenzug, dass sich die Automatisierung stärker zu anderen Systemen hin öffnet. Erhöht sich so das Risiko von Angriffen?

Helmbrecht: Der Einsatz von Standards und die Integration von Produktionssteuerungen in angrenzende Systeme ist notwendig, damit Betriebe effizient kommunizieren und produzieren können. Am Ende funktioniert unser Wirtschaftssystem ohne Integration nicht optimal. Schon der Einsatz von TCP/IP birgt natürlich erst einmal Risiken. Schließlich wurde der Standard im freien wissenschaftlichen Austausch entwickelt. Da hat niemand die ‚Sicherheitsbrille‘ aufgesetzt, da ursprünglich nicht mit der heute hohen Verbreitung und dem breiten Einsatzbereich gerechnet wurde. Andererseits zeigt sich hier auch, dass nachträglich Sicherheitsmechanismen wie etwa das HTTPS-Protokoll aufgebaut werden. Bei Standardisierungsbestrebungen wie OPC UA hingegen wird von Anfang an die Sicherheit mit aufgebaut. Dieses Konzept, auch ‚IT-Security by Design‘ genannt, sollte heutzutage bei jeder Neuentwicklung im IT-Bereich im Vordergrund stehen.

IT&Production: Das Internet spielt etwa durch Cloud-Dienste und Mietsoftware auch für produzierende Betriebe eine steigende Rolle. Wie bewerten Sie die Sicherheit solcher Online-Lösungen?

Helmbrecht: Die große Chance im Cloud Computing liegt in mehr Sicherheit durch Professionalisierung. Ein Ingenieurbüro beispielsweise wird keinen eigenen Administrator haben. Hier bietet der Weg in die Cloud höhere Sicherheit, denn große Unternehmen und Cloud-Anbieter unterhalten Abteilungen und Management für die IT-Sicherheit, Mittelstand und Kleinbetriebe können vielfach nicht den gleichen Support für ihre PC-Umgebung leisten. Das Endgerät gilt es aber immer noch entsprechend zu sichern. Wenn wir einen Blick auf der Verteilung von Stuxnet werfen, zeigt sich, dass der Virus überwiegend über USB-Sticks und Wartungslaptops in die Werkhalle gelangt. Ob geplant oder aus Versehen: Der Techniker geht in die Werkhalle, schließt sein Mobilgerät an Steuerungen an und kann so als Multiplikator für Schadsoftware wirken. Das gilt auch im umgekehrten Fall – Schadsoftware kann von einer Steuerung via Wartungsgerät ins Internet gelangen. Wer seinen Anwendungen im eigenen Unternehmen pflegt, muss also auch für die Sicherheit von Gerät, Software und Netzwerk sorgen. Ein Tipp am Rande: Man kann unter Windows den Autostart für USB-Geräte abschalten, das unterbindet schon einmal eine Infektion beim Einstecken eines USB-Stick.

IT&Production: Im Office-Bereich ist IT-Sicherheit schon lange ein Thema. Was verändert sich für Automatisierungsanbieter und Fertiger mit dem Auftreten von Stuxnet?

Helmbrecht: Dass SPS grundsätzlich angreifbar sind, war jahrelang vor dem Auftreten von Stuxnet bekannt. Das Besondere an dieser Schadsoftware ist, dass es zum ersten Mal funktioniert hat. Generell haben wir in den letzten zehn Jahren eine ganze Menge erreicht, wenn es um das Thema IT-Sicherheit geht, sowohl bei Herstellern als auch auf politischer Ebene. Risiken werden inzwischen sehr bewusst wahrgenommen, was auch das Medienecho auf die S7-Sicherheitslücke zeigt. Auch die Sicherheit bei Betriebssystemen hat sich deutlich verbessert. Natürlich läuft das Sicherheitsmanagement bei großen, bekannten Unternehmen professionalisierter ab als bei vielen Nischenanbietern. Generell lässt sich diese Entwicklung mit der im Automobilbau vergleichen: Hier haben wir hundert Jahre gebraucht, um den heutigen Sicherheitsstandard etwa bei Airbags zu erreichen. Wir sind beim Thema IT-Sicherheit zwar noch nicht da, wo wir im Automobilbau heute stehen. Aber wir sind auf einem guten Weg, auch wenn sich IT-Security by Design noch nicht überall durchgesetzt hat.

IT&Production: Welche Tipps geben Sie Produktionsunternehmen mit auf den Weg, um die Anfälligkeit ihres Betriebes gegenüber Schadsoftware zu verringern?

Helmbrecht: Als ersten Schritt sollte jeder Betrieb eine IT-Infrastrukturanalyse durchführen. Hilfestellung dazu liefert etwa das Bundesamt für Sicherheit in der Informationstechnik unter dem Stichwort ‚BSI-Grundschutz‘. Auf europäischer Seite stellt Enisa in englischer Sprache den Leitfaden ‚European Risk Assessment‘ zur Verfügung. Anschließend gilt es zu prüfen, welche primären Systeme für die Fertigung kritisch sind. Dabei muss auch geklärt weden, welche Datenverbindungen zu anderen Systemen bestehen, um dann festzulegen, wie diese im Einzelfall sicherheitstechnisch ausgestattet werden sollen. Während in der Kernkraft eine komplette Abschottung der Primärsysteme benötigt wird, kann das im Produktionsbetrieb je nach Branche schon anders aussehen. Zuletzt benötigt jeder Betrieb eine Politik, wie er mit Laptops, USB-Sticks und Mobilgeräten umgeht. Abseits strategischer Ansätze sollten Unternehmen vor allem dafür sorgen, dass sich ihre IT-Systeme auf dem aktuellen technischen Stand befinden. Das gilt für Windows-Installation genauso wie für Scada-Software. (mec)


Das könnte Sie auch interessieren:

Im Juli lagen die Auftragseingänge in der deutschen Elektroindustrie um 1,9% unter ihrem Vorjahreswert. Die Inlandsbestellungen gaben um 1% nach, die Auslandsbestellungen um 2,5%.‣ weiterlesen

Mit der Inbetriebnahme eines IBM Q System One wollen IBM und die Fraunhofer-Gesellschaft das Thema Quantencomputing für die Industrie vorantreiben. Durch die Kooperation entsteht zudem ein neues Kompetenzzentrum für Quantentechnologie.‣ weiterlesen

Das neue Siemens Opcenter der Softwaresparte des Münchener Technologieunternehmens bringt zahlreiche Anwendungen wie Camstar, Simatik IT und Preactor in einer einheitlichem Umgebung und Benutzerführung zusammen. René Wolf von Siemens Digital Industries Software schildert, was die Kunden davon haben - und was sich funktional getan hat.‣ weiterlesen

Der Schärfspezialist Vollmer stellt auf der Emo Hannover seine Digitalinitiative V@dison in den Mittelpunkt. In Halle 6, Stand F66 finden Besucher das neu entwickelte IoT-Gateway des Herstellers. Schleif- und Erodiermaschinen lassen sich damit plattformunabhängig in IoT-Umgebungen einbinden.‣ weiterlesen

Die Landschaft für Endgeräte zur mobilen Datenerfassung hat sich im letzten Jahrzehnt fast genauso rasant entwickelt wie im Consumer-Bereich. In der Lagerlogistik oder der Produktion zählen neben Stapler-Terminals gerade mobile Handhelds zu den gängigsten Gerätetypen. Um aber das passende Gerät für das eigene Unternehmen zu identifizieren, lohnt der Blick auf die mobilen Prozesse, die Integration in die Unternehmens-IT und vor allem die Arbeitsumgebung der Mitarbeiter.‣ weiterlesen

In Wertanalyseprojekten erfolgt eine Bewertung an vielen Stellen des Arbeitsplans. Die VDI-Richtlinienreihe 2808 hilft, reproduzierbare Ergebnisse durch strukturierte Vorgehensweisen zu erzielen und diese Ergebnisse kundenorientiert darzustellen.‣ weiterlesen

Auf der diesjährigen Emo präsentiert die HSi GmbH ihre Softwarelösungen zur automatisierten Planzeit- und Kostenermittlung, Arbeitsplanerstellung sowie Auftragssteuerung. Am Stand C20 in Halle 9 werden auch Erweiterungen des Systems zu sehen sein, etwa bei der Zeitübergabe an SAP: Werden im Stufeneditor NC-Grundzeiten in den Rüst- und Spannbausteinen eingegeben, erfolgt die Summierung dieser Zeiten parallel zu den Hauptzeiten (th), Nebenzeiten (tn) und Grundrüstzeiten (trg).‣ weiterlesen

Obwohl das MQTT-Protokoll bereits seit etwa zwei Jahrzehnten existiert, ist es durch sein Konzept bestens für moderne IIoT-Anwendungen geeignet. Vor allem für solche, die sich auf eine aktive Benachrichtigung stützen. Also dort, wo Geräte nur bei Bedarf Daten bereitstellen und nicht regelmäßig, wie bei der passiven Benachrichtigung. Doch wie lässt sich der Erfolg von MQTT im IIoT erklären, und was sollte man vor dem Einsatz des Übertragungsprotokolls wissen?‣ weiterlesen

Auf der Emo zeigt TDM Systems (Halle 9, Stand F24) erstmals den TDM WebCatalog einer breiten Öffentlichkeit. Ab August steht die Cloud-Anwendung nach Registierung den Anwendern von TDM Global Line 2019 und TDM 2019 (und höher) zur Verfügung.‣ weiterlesen

DMG Mori wird auf der Emo in Halle 2, Stand A21 über 30 digitale Innovationen zeigen. Darunten sind neue Celos APPs, Werkzeuge zum Monitoring, der Produktionsplanung und -steuerung sowie webbasierte Instandhaltungstools.‣ weiterlesen

Nachdem Produzenten schon ihre Waschmaschinen, Kühlschränke und Rollläden IoT-fähig ausliefern, wollen viele auch im eigenen Werk von der Vernetzung profitieren. Anhand eines beispielhaften Projektes klärt dieser Beitrag, wie das schnell und günstig gelingen kann.‣ weiterlesen

Anzeige
Anzeige
Anzeige