Dipl.-Inform. Carsten Eilers

und die Betreiber eines britischen Kernkraftwerks haben Gerüchte über eine Infektion mit dem Wurm als Ursache eines Ausfalls zurückgewiesen. Es gibt dort demnach keine Siemens-SCADA-Systeme in Sicherheitsrelevanten Bereichen, Details über die Gründe des Ausfalls wurden mit Verweis auf gesetzliche Regelungen nicht veröffentlicht. Eine Sprecherin wird mit

"There is absolutely no link between the cause of Heysham 1's trip yesterday and any 'cyber security' issues".

zitiert. Das kann man glauben oder nicht, zumindest die Aussage mit dem 'cyber security' hätte ich an deren Stelle aber nicht gemacht. Falls doch ein Computerproblem vorliegt, wäre die nämlich falsch.

Schweigen im Walde allerorten

Ich bezweifle übrigens sehr, dass das wirkliche Wurm-Ziel jemals bekannt wird. Das Opfer, egal wer auch immer es ist, wird die Infektion niemals zugeben, und der Verursacher erst recht nicht. Und falls Stuxnet weitere SCADA-Systeme manipulieren sollte, werden die betroffenen Betreiber auch alles tun, um das zu vertuschen. Wer würde schon freiwillig zugeben, dass seine Produktionssteuerung von einem Schädling manipuliert wurde?

Zwei aktualisierte Paper mit technischen Details

Immerhin gibt es ein paar weitere technische Informationen: Symantec hat sein "Stuxnet Dossier" (PDF) auf Version 1.2 aktualisiert, ESET sein Whitepaper "Stuxnet under the microscope" (PDF) ist ebenfalls bei Version 1.2 angelangt. U.a. gibt es neue Informationen über die bisher ungepatchte Privilegien-Eskalations-Schwachstelle im Task Scheduler, die auch am kommenden Patchday nicht behoben wird. Dann werden nur zwei Bulletins für Microsoft Office und eins für das Microsoft Forefront Unified Access Gateway veröffentlicht.

GoogleltSHODANt, so werdet ihr finden

Wer bisher der Hoffnung war, dass nicht besonders viele Steuerungen kritischer Systeme aus dem Internet erreichbar sind, kann sich mit Hilfe der "Computer Search Engine" SHODAN vom Gegenteil überzeugen. Die sucht nach über das Internet erreichbaren Computern, Routern etc. und erkennt auch bestimmte Software. Unter anderen eben auch SCADA-Systeme. Entzückend. Wann wohl die ersten Skript-Kiddies Default-Passwörter verwenden, um mal mit ein paar richtig großen Maschinen zu spielen? Das macht bestimmt mehr Spass als Experimente mit Chemiekästen oder Spielzeug-Dampfmaschinen.

Angriffe auf SCADA-Systeme - gefährlich oder nicht?

Zum Glück sind Angriffe auf SCADA-Systeme wohl laut einem Experten zumindest im großen Maßstab nicht so einfach, von den Kontrollsystemen unabhängige Sicherheitsmaßnahmen sollen Auswirkungen von Störungen und damit auch Angriffen auf die Produktionsprozesse verhindern. Hoffentlich. Denn oft ist es ja so, dass immer dann, wenn Experten etwas für nicht möglich halten, irgend ein "Idiot" kommt und das Gegenteil beweist. Außerdem dürfte es den Betroffenen ziemlich egal sein, wenn z.B. landesweit die Stromversorgung weitgehend funktioniert, während sie selbst ohne Strom dasitzen, weil das lokale Kraftwerk oder die lokale Verteilung nach einem Hackerangriff ausgefallen sind.

Zudem stellt sich immer die Frage, was ein Angreifer erreichen will und ob die vorhandenen Sicherheitsfunktionen auf so einen Angriff überhaupt ausgelegt sind. Will der Angreifer ein Werk der Konkurrenz lahm legen? Ein Unternehmen erpressen? Einfach nur mal gucken, was passiert? Je nachdem, was für ein System angegriffen wird und was der Angreifer erreichen will, dürften der für den Angriff nötige Aufwand unterschiedlich hoch und die Auswirkungen auf die gesteuerten Prozesse unterschiedlich stark sein. Und ob das dann Auswirkungen auf die Umwelt hat oder nur die jeweilige Produktion oder Anlage betrifft, steht auch wieder auf einem anderen Blatt. Aber eigentlich brauchen wir uns darüber gar keine Gedanken machen: Prozessteuerungen dürfen vor allem nicht aus dem Internet erreichbar sein, Punkt, aus, fertig. Diskussionsbedarf: Null. Danach müssen die Betreiber nur noch dafür sorgen, dass niemand auf anderen Wegen Schadsoftware einschleppt, im Fall von Stuxnet war es wahrscheinlich ein USB-Stick. Und dafür braucht man keine SCADA-Sicherheitsexperten, dafür reichen solide Kenntnisse in Netzwerksicherheit aus. Wenn keine Schadsoftware auf die SCADA-Systeme gelangen kann, können die SCADA-Entwickler so viele Schwachstellen einbauen und feste Default-Passwörter verwenden wie sie wollen. Wenn sie aber ihre Systeme mit lokalen Netzen verbinden wollen, müssen sie nach den darin geltenden Regeln spielen. Und dann sind Schwachstellen und Default-Passwörter nicht akzeptabel.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Stuxnet - Ein paar Fakten

Standpunkt: Stuxnet - Wer will da wem an die Produktion?

Standpunkt: Stuxnet - Der erste Schritt zum Cyberwar?

Standpunkt: Stuxnet - Ein Überblick über die Entwicklung

Standpunkt: Stuxnet: Kaum neue Fakten, ein neues Gerücht

Standpunkt: Stuxnet - Stand der Dinge

Standpunkt: Der Wink mit dem Stuxnet

Standpunkt: Neues zu Stuxnet, Android-Trojanern, USB-Keyloggern und Facebook

Standpunkt: Conficker ist wieder da. Und was macht Stuxnet?

Das RAT, das aus dem Stuxnet kam

Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!

Standpunkt: Neues zu SSL und Duqu

Standpunkt: Wie gefährlich ist die Duqu-0-Day-Schwachstelle?

Standpunkt: Neues zu Duqu