für die IT
Die Stuxnet-Attacke hat gezeigt: Auch Industrieanlagen und Infrastrukturen können Ziel von Hackerangriffen sein. Siemens entwickelt Strategien gegen die neue Bedrohung aus dem Internet. Beispielsweise kommen Sicherheits-Updates künftig noch schneller zum Kunden.
Sicheres Programmieren: Johann Fichtner und sein Team schließen bereits bei der Programmierung von Software Sicherheitslücken aus.
- Text Größe
- Share
- Print this page
15. Juli 2010: Bei Siemens gehen Informationen über einen neuen Computervirus ein, einen so genannten Trojaner. Er befällt anscheinend nur Windows-Rechner und versucht aktiv zu werden, wenn er dort eine bestimmte Simatic-Automatisierungssoftware von Siemens vorfindet. Schon eine Woche später veröffentlicht Siemens ein Programm, das den Trojaner entfernt, ab Anfang August schließt auch Microsoft die Sicherheitslücken in seinem Windows- Betriebssystem, die das Einfallstor waren. Bis Ende 2010 haben 24 Siemens-Kunden aus der weltweiten Industrie von einer Infektion mit dem Trojaner berichtet. In sämtlichen Fällen konnte das Schadprogramm entfernt werden. Zu Auswirkungen auf die Automatisierungslösungen kam es nicht.
Dennoch sind IT-Fachleute alarmiert. „Zum ersten Mal hat eine Schadsoftware direkt Produktionsprozesse angegriffen“, sagt Johann Fichtner, Leiter von Siemens CERT (Cyber Emergency Readiness Team), wo Experten die Geschäftsbereiche in Sachen Hacking-Abwehr beraten. Stuxnet war wohl von Profis mit enormem Aufwand in monatelanger Arbeit programmiert worden. Spekulationen gehen dahin, dass der Trojaner möglicherweise ausschließlich auf die Zerstörung von Zentrifugen in der Urananreicherungsanlage in Natans im Iran ausgerichtet war. Ob das stimmt, wissen nur wenige Eingeweihte auf der Welt. Spinnt man aber solche Szenarien weiter, sind vielfältige Bedrohungen denkbar. Trojaner, die Schadprogramme einschleusen, könnten ganze Infrastrukturen lahm legen, etwa indem sie Prozesse in Kraftwerken, Produktionslinien oder Verkehrsleitsystemen stören.
Für Fichtner kam der Stuxnet-Angriff nicht wirklich überraschend, denn die Möglichkeit solcher Attacken war im Labor bereits seit längerem nachgewiesen worden. Doch bislang hatten viele gehofft, dass die Firewalls – die „Brandmauern“ – zwischen öffentlichem und internem Netz alle Angriffe aus dem Internet abblocken würden. Wobei allerdings die Stuxnet-Schadsoftware nicht nur aus dem Internet kam – sie verbreitete sich auch durch bloßes Einstecken eines infizierten USB-Sticks. „Solche Angriffe könnten im Prinzip Millionen Anlagen bedrohen“, warnt Fichtner. Wobei es Unterschiede gebe: So kann die Motivation der Angreifer vielfältig sein – etwa, um sensible Daten auszuspähen oder Anlagenbetriebe zu stören. Ob versuchte Datenmanipulation, Viren oder Trojaner: die Industrie muss sich auf alles einstellen, das schon aus der IT-Welt bekannt ist.
Einblicke in Produktionsdaten. Im Allgemeinen spielen gleich mehrere Trends in der Industrieautomatisierung Hackern in die Hände. Die strikte Trennung zwischen der Bürowelt und der Industriewelt, in der Maschinen und Anlagen von Spezialsoftware gesteuert werden, löst sich immer mehr auf – sowohl physikalisch als auch softwaretechnisch. Zum einen wollen Betreiber ihre Anlagen aus der Ferne steuern und überwachen, zum anderen verlangen Geschäftseinheiten Einblicke in Produktionsdaten, etwa um nahtlose Kostenkalkulationen zu machen. Damit sind immer mehr Anlagen mit dem Internet verbunden und werden mittelbar von gängigen Bürobetriebssystemen gesteuert. Die Experten stecken in einem Dilemma. „Die Kunden fordern offene Standards, auf die wir unsere Anwendungen aufbauen sollen und diese Wünsche müssen wir natürlich erfüllen“, sagt Georg Trummer, verantwortlich für IT-Security-Belange in der Automatisierungstechnik bei Siemens. „Auf der anderen Seite fangen wir uns damit auch die Sicherheitsprobleme ein, die jeder PC-Nutzer kennt.“
Eine weitere Entwicklung, die eine Zunahme solcher Attacken in der Zukunft befürchten lässt: Die Angriffe werden immer gezielter. Frühere Virenattacken glichen Schüssen mit Schrotflinten – man zielte auf möglichst viele Computer im Internet, und hoffte, irgendwo eine Sicherheitslücke zu treffen. Heute gehen die Kriminellen geschickter vor. Sie senden die Schadsoftware nur an wenige Empfänger in sicherheitskritischen Funktionen, häufig zum Zweck der Industriespionage. Dadurch bleiben Viren und Trojaner lange unentdeckt und können viel Schaden anrichten, bevor sie den gängigen Virenscan-Programmen ins Netz gehen.
Büro- und Industrie-IT wachsen zusammen – dieser Trend ist unumkehrbar. Leider wächst aber oft nicht in gleichem Maße das Bewusstsein für Bedrohungen und die erforderlichen Gegenmaßnahmen. Nach der Stuxnet-Attacke analysierten Siemens-Experten die befallenen Anlagen, darunter eine in Ostasien. „Wir haben nicht nur Stuxnet gefunden, sondern auch zahlreiche andere Viren und Trojaner“, sagt Georg Trummer – ein Zeichen, dass die Sicherheitsvorkehrungen nicht ausreichend waren. In einer anderen sicherheitskritischen Anlage fanden die Fachleute eine Telefonleitung, über die man sich per Modem einwählen konnte. Manche Unternehmen lehnen auch die Möglichkeiten ab, mit Passwörtern den IT-Zugang zur Anlage zu kontrollieren. Trummer: „So etwas darf nicht passieren.“
Stete Alarmbereitschaft. Doch auch die eigene Mannschaft muss Siemens in Sachen IT-Sicherheit in Alarmbereitschaft halten. So hat das CERT-Team hunderte Software-Entwickler bei Siemens im sicheren Programmieren geschult, etwa um bestimmte Programmierpraktiken zu verbieten, die Einfallstore für Hacker sein könnten. Die CERT-Experten legen Wert auf die strikte Trennung von Programmcode und Daten. So gelingt es Hackern bei naiv programmierter Software mitunter, die Passwortabfrage auszuhebeln. Solche Fehler sollen durch die Schulungen vermieden werden.
Eine weitere Maßnahme sind Updates. Das Problem dabei: Die Betreiber von Industrieanlagen haben eine generelle Abneigung gegen Updates, weil sie fürchten, dass es zu Störungen des Betriebs kommen könnte. So gibt es zwar jede Menge Windows-Updates, aber nur wenige finden den Weg in jene PCs, die in Industrieanlagen Dienst tun, und wenn, dann nur mit Monaten, manchmal sogar Jahren Verzögerung. „Wir müssen eine Lösung finden, damit Sicherheits-Updates künftig schneller eingeführt werden“, sagt Johann Fichtner. Inzwischen werden die CERT-Experten immerhin häufig schon in der Entwicklungsphase zu Rate gezogen, nicht erst wenn es brennt.
Die Herausforderungen an die Sicherheitsexperten werden weiter steigen, wenn komplexe vernetzte Systeme wie das Smart Grid Wirklichkeit werden. Erst die kollektive Intelligenz macht das intelligente dezentrale Stromnetz der Zukunft so leistungsfähig, wie es sein soll – doch dies setzt ein gewisses Vertrauen der Beteiligten voraus. Völlig neue Risiken sind denkbar. Ein einfaches Beispiel: Wer eine Photovoltaikanlage auf dem Dach hat und seinen intelligenten Stromzähler manipuliert, könnte mehr Stromeinspeisung abrechnen, als er tatsächlich erbracht hat. Das erfordert eine intelligente Betrugserkennung. Das Smart Grid sei wie ein Organismus, dem man ein Immunsystem verschaffen müsse, meint Johann Fichtner. „Der menschliche Körper vertraut schließlich auch nicht allem, was im Blut mitschwimmt.“