Newsletter Abonnieren
Newsletter

Ein Jahr nach Stuxnet: Keine Entwarnung

„Unterschätze nie deinen Gegner“

Ein Jahr nach dem Auftauchen der ersten Spuren von Stuxnet im Juni 2010 ist es ruhig geworden um den ‚Automatisierungsvirus‘. Nicht zuletzt angesichts neuer Meldungen über Sicherheitslücken in S7-Steuerungen sieht Professor Udo Helmbrecht aber noch keinen Anlass zur Entwarnung: Der Executive Director der Europäischen Sicherheitsagentur für Netzwerk- und Informationssicherheit Enisa gibt Einblicke in die Bedrohungslage und verrät, warum Scada-Schadsoftware dennoch für die Industrie kein Grund ist, auf Automatisierungsschnittstellen oder Cloud-Dienste zu verzichten.



Bild: ENISA

IT&Production: Als erste Schadsoftware für Scada-Steuerungen hat Stuxnet im Jahr 2010 für Aufregung gesorgt. Die Sicherheitslücken, über die sich der Virus verbreitet hat, sind gestopft. Doch gerade kursieren Meldungen über neue Sicherheitslücken in S7-Steuerungen von Siemens. Droht nun Gefahr durch angepasste Stuxnet-Versionen?

Udo Helmbrecht: Das ist eine schwierige Frage. Generell beheben natürlich sowohl Betriebssystemanbieter als auch Steuerungshersteller Schwachstellen, spätestens wenn die Bedrohung so hohen Bekanntheitsgrad erreicht wie Stuxnet. Der Wurm hat ursprünglich die Programmiersoftware für Steuerungen von Siemens angegriffen, und das Unternehmen hat hier sehr viel investiert, um Sicherheitslücken zu schließen. Von dieser Seite her besteht also eine gewisse Sicherheit. Das Problem ist aber, dass Kriminelle Varianten der Schadsoftware entwickeln können, die andere Schwachstellen ausnutzen. Inzwischen sind weitere Lücken bekannt geworden, die diesmal S7-Steuerungen betreffen. Sicherheitsunternehmen und Hersteller sind also weiterhin gefragt, dieser Gefahr etwa mit Virensignaturen, Mustererkennung und Patchmanagement zu begegnen. Ein Risikofaktor liegt auch bei Anwender-Unternehmen: Jede Software muss aktuell gehalten werden, sonst hilft die beste Absicherung, das beste Patchmanagement auf Anbieterseite nichts.

IT&Production: Wie hoch schätzen Sie das Risiko neuer Stuxnet-Varianten ein? Ein kompletter ‚Nachbau‘ gilt angesichts der aufwändigen Vorbereitung und Programmierung derzeit ja als eher unwahrscheinlich …

Helmbrecht: Hier bewegen wir uns im sehr spekulativen Bereich. Mann kann natürlich immer auch komplexe Schadsoftware mit entsprechendem Aufwand erstellen, da ist vieles denkbar. Andererseits wurde die Software bereits erstellt, und damit ist es zumindest für den Verursacher sicherlich einfacher als bei einer Neuprogrammierung, neue Varianten zu erstellen oder zu verkaufen. Es ist also ein realistisches Risiko, insbesondere, da sich die Software breits in kriminellen Händen befindet. Aus Sicherheitsperspektive muss die Maxime daher lauten: Unterschätze nie deinen Gegner. Wir müssen davon ausgehen, dass Kriminelle die Stuxnet-Mechanismen erneut nutzen können, wir wissen aber nicht, wann oder in welcher Form. Für Enisa geht es dabei zuerst darum, diesem Risiko im Bereich der Internet-Sicherheit zu begegnen, auch im Zusammenspiel mit anderen Organisationen wie dem deutschen Bundesamt für Sicherheit in der Informationstechnik und Sicherheitsunternehmen.

IT&Production: Als Ziel des ursprünglichen Stuxnet-Codes wurde die Sabotage iranischer Zentrifugen vermutet. Sind weitere Verwendungszwecke der Software, etwa für Industriespionage, denkbar?

Helmbrecht: Zuerst muss man sich dazu die Frage stellen, mit welchem Ziel Angreifer solche Schadsoftware entwickeln. Bekannt ist immer noch lediglich, dass die Software für Scada-Systeme entwickelt wurde, speziell für die Steuerung von Uranzentrifugen iranischer Hersteller. In die Entwicklung der Schadprogramme und das Aufspüren von Schwachstellen für das erfolgreiche Eindringen wurde in der Tat sehr viel Aufwand, Geld und Know-how gesteckt, das kann bis zu sechs Monate gedauert haben. Über den Einsatz etwa von Root Kits in Scada-Software und Fertigungssteuerung ist das Potenzial für andere Einsatzzwecke auf jeden Fall da. Generell gilt hier aber das gleiche wie für Angriffe auf Office-Systeme: Cyberkriminalität ist ein Geschäft, der Aufwand muss sich vom Ergebnis her rechnen. Das gleiche gilt für die Adaption oder Neuentwicklung für andere Steuerungen: Hier wird sich der Aufwand nur für weit verbreitete Systeme lohnen.

IT&Production: Welche Unternehmen sind durch potenzielle Varianten oder zukünftige Angriffe auf die Automatisierungsebene besonders gefährdet?

Helmbrecht: Auch hierbei geht es vor allem um die Frage, wie sich mit Angriffen auf Unternehmen Geld machen lässt. Als Betrieb muss ich mich daher fragen: Wo liegt mein wichtigstes Geschäftsfeld, wo liegen Unternehmensrisiken und Schwachstellen, wo liegen die Werte für einen potenziellen Angreifer? Kriminelle können viel in einen aufwändigen Code investieren, wenn sie damit nachher viel Geld verdienen können. Deutschland lebt als innovativer Standort vom Export, daher ist hier neben Sabotage sicherlich der Diebstahl geistigen Eigentums eine Gefahr. Denkbare Szenarien umfassen aber auch Denial-of-service-Attacken (DOS), die IT-Systeme durch Überlastung beeinträchtigen oder stilllegen, um Geld von Industriebetrieben zu erpressen.

IT&Production: Für den unternehmerischen Erfolg gewinnen Standard-Schnittstellen und integrierte Systeme an Bedeutung, sei es für die Anbindung produktionsnaher IT oder für die Fernwartung. Das bedeutet aber im Gegenzug, dass sich die Automatisierung stärker zu anderen Systemen hin öffnet. Erhöht sich so das Risiko von Angriffen?

Helmbrecht: Der Einsatz von Standards und die Integration von Produktionssteuerungen in angrenzende Systeme ist notwendig, damit Betriebe effizient kommunizieren und produzieren können. Am Ende funktioniert unser Wirtschaftssystem ohne Integration nicht optimal. Schon der Einsatz von TCP/IP birgt natürlich erst einmal Risiken. Schließlich wurde der Standard im freien wissenschaftlichen Austausch entwickelt. Da hat niemand die ‚Sicherheitsbrille‘ aufgesetzt, da ursprünglich nicht mit der heute hohen Verbreitung und dem breiten Einsatzbereich gerechnet wurde. Andererseits zeigt sich hier auch, dass nachträglich Sicherheitsmechanismen wie etwa das HTTPS-Protokoll aufgebaut werden. Bei Standardisierungsbestrebungen wie OPC UA hingegen wird von Anfang an die Sicherheit mit aufgebaut. Dieses Konzept, auch ‚IT-Security by Design‘ genannt, sollte heutzutage bei jeder Neuentwicklung im IT-Bereich im Vordergrund stehen.

IT&Production: Das Internet spielt etwa durch Cloud-Dienste und Mietsoftware auch für produzierende Betriebe eine steigende Rolle. Wie bewerten Sie die Sicherheit solcher Online-Lösungen?

Helmbrecht: Die große Chance im Cloud Computing liegt in mehr Sicherheit durch Professionalisierung. Ein Ingenieurbüro beispielsweise wird keinen eigenen Administrator haben. Hier bietet der Weg in die Cloud höhere Sicherheit, denn große Unternehmen und Cloud-Anbieter unterhalten Abteilungen und Management für die IT-Sicherheit, Mittelstand und Kleinbetriebe können vielfach nicht den gleichen Support für ihre PC-Umgebung leisten. Das Endgerät gilt es aber immer noch entsprechend zu sichern. Wenn wir einen Blick auf der Verteilung von Stuxnet werfen, zeigt sich, dass der Virus überwiegend über USB-Sticks und Wartungslaptops in die Werkhalle gelangt. Ob geplant oder aus Versehen: Der Techniker geht in die Werkhalle, schließt sein Mobilgerät an Steuerungen an und kann so als Multiplikator für Schadsoftware wirken. Das gilt auch im umgekehrten Fall – Schadsoftware kann von einer Steuerung via Wartungsgerät ins Internet gelangen. Wer seinen Anwendungen im eigenen Unternehmen pflegt, muss also auch für die Sicherheit von Gerät, Software und Netzwerk sorgen. Ein Tipp am Rande: Man kann unter Windows den Autostart für USB-Geräte abschalten, das unterbindet schon einmal eine Infektion beim Einstecken eines USB-Stick.

IT&Production: Im Office-Bereich ist IT-Sicherheit schon lange ein Thema. Was verändert sich für Automatisierungsanbieter und Fertiger mit dem Auftreten von Stuxnet?

Helmbrecht: Dass SPS grundsätzlich angreifbar sind, war jahrelang vor dem Auftreten von Stuxnet bekannt. Das Besondere an dieser Schadsoftware ist, dass es zum ersten Mal funktioniert hat. Generell haben wir in den letzten zehn Jahren eine ganze Menge erreicht, wenn es um das Thema IT-Sicherheit geht, sowohl bei Herstellern als auch auf politischer Ebene. Risiken werden inzwischen sehr bewusst wahrgenommen, was auch das Medienecho auf die S7-Sicherheitslücke zeigt. Auch die Sicherheit bei Betriebssystemen hat sich deutlich verbessert. Natürlich läuft das Sicherheitsmanagement bei großen, bekannten Unternehmen professionalisierter ab als bei vielen Nischenanbietern. Generell lässt sich diese Entwicklung mit der im Automobilbau vergleichen: Hier haben wir hundert Jahre gebraucht, um den heutigen Sicherheitsstandard etwa bei Airbags zu erreichen. Wir sind beim Thema IT-Sicherheit zwar noch nicht da, wo wir im Automobilbau heute stehen. Aber wir sind auf einem guten Weg, auch wenn sich IT-Security by Design noch nicht überall durchgesetzt hat.

IT&Production: Welche Tipps geben Sie Produktionsunternehmen mit auf den Weg, um die Anfälligkeit ihres Betriebes gegenüber Schadsoftware zu verringern?

Helmbrecht: Als ersten Schritt sollte jeder Betrieb eine IT-Infrastrukturanalyse durchführen. Hilfestellung dazu liefert etwa das Bundesamt für Sicherheit in der Informationstechnik unter dem Stichwort ‚BSI-Grundschutz‘. Auf europäischer Seite stellt Enisa in englischer Sprache den Leitfaden ‚European Risk Assessment‘ zur Verfügung. Anschließend gilt es zu prüfen, welche primären Systeme für die Fertigung kritisch sind. Dabei muss auch geklärt weden, welche Datenverbindungen zu anderen Systemen bestehen, um dann festzulegen, wie diese im Einzelfall sicherheitstechnisch ausgestattet werden sollen. Während in der Kernkraft eine komplette Abschottung der Primärsysteme benötigt wird, kann das im Produktionsbetrieb je nach Branche schon anders aussehen. Zuletzt benötigt jeder Betrieb eine Politik, wie er mit Laptops, USB-Sticks und Mobilgeräten umgeht. Abseits strategischer Ansätze sollten Unternehmen vor allem dafür sorgen, dass sich ihre IT-Systeme auf dem aktuellen technischen Stand befinden. Das gilt für Windows-Installation genauso wie für Scada-Software. (mec)

News

News

das könnte sie auch interessieren