Von Johannes Kuhn

Mit einem ausgeklügelten Trojaner wollen Unbekannte in Datenbanken von Siemens-Systemen eindringen. Es könnte sich um Industriespionage oder sogar um einen Sabotageakt handeln.

Es riecht nach Industriespionage im großen Stil: Eine ausgeklügelte Schadsoftware bereitet derzeit Siemens Kopfschmerzen - und könnte bald auch für andere Computernutzer zum Problem werden.

Hacker versuchen offenbar über auf USB-Sticks versteckte Trojaner, sensible Produktionsdaten von Kunden mit Simatic-Steuerungssystemen zu ergattern. Das System steuert komplexeste Produktionsprozesse und kommt in den verschiedensten Industrien zum Einsatz, von der Automobilbranche bis hin zu Kraftwerken.

Damit Kunden die Produktionsprozesse auswerten und visualisieren können, hat Siemens die Microsoft-Software WinCC in sein System integriert, die auf dem Windows-Betriebssystem läuft. Genau diese Software ist offenbar Ziel der Attacke.

Ein unter dem Namen Stuxnet bekanntes Programm installiert sich beim Einstecken eines USB-Sticks auf dem PC, sucht dann offenbar gezielt nach der WinCC-Software für Siemens' SCADA-System und versucht, sich dort Zugang zu den Datenbanken zu verschaffen.

"In den Trojaner wurde sehr viel Arbeit gesteckt, er hat 5000 Funktionen, die wir noch nicht alle analysiert haben", erklärt IT-Sicherheitsexperte Frank Boldewin, der die Schadsoftware als einer der Ersten entdeckte.

Spion oder Zeitbombe?

Tatsächlich sieht alles nach einer höchst professionellen Vorgehensweise aus: Die Verwendung eines tragbaren Speichermediums ist aus Angreifersicht die Methode mit den meisten Erfolgsaussichten, da Produktionssysteme meist nicht an das Internet angeschlossen sind.

Die Windows-Lücke, durch die sich das Schadprogramm quetscht, war bislang noch nicht bekannt. Weil der Fehler bei der Verarbeitung von Verknüpfungen, den LNK-Dateien liegt, muss der Computernutzer nicht einmal Autostart aktivieren, um den Trojaner auszuführen - das Einstecken des USB-Sticks alleine reicht.

Stuxnet ist zudem mit einem Schlüssel der Hersteller RealTek und JMicron versehen - und wird deshalb von Windows bei der Installation des Spionagecodes als vertrauenswürdig eingestuft und von einigen Antivirenprogrammen nicht als Schadsoftware wahrgenommen - eine Praxis, die nun ihre Grenzen aufgezeigt bekommt..

Doch der Eindringling verhält sich seltsam: Wie Boldewin und ein Siemens-Sprecher bestätigen, sendet er derzeit keine Daten an einen möglichen Mutterserver - er kann in vom Internet abgekappten Produktionsumgebungen in der Regel auch nicht damit rechnen, Zugang zum Netz zu erhalten. Zudem, so heißt es, könne ein Datendieb mit den Informationen aus den Datenbanken nur etwas anfangen, wenn er ganz genau weiß, wie der Produktionsprozess aussieht.

Passwörter im Internetforum

Boldewin hält es deshalb auch für möglich, dass es sich um einen Sabotagevirus handelt. "Es kann sein, dass sich irgendwo in den Codes so etwas wie eine Zeitbombe befindet", sagt er, "die könnte dann sagen: Ab Dezember wird ein Code aktiviert, der das SCADA-System herunterfährt odre die Kommunikation der Computerschnittstellen verändert." Die Folgen für ein Produktionssystem wären unvorhersehbar. Allerdings warnt Boldewin auch vor verfrühten Schlussfolgerungen.

Die Lücke wird Berichten zufolge seit etwa einem Monat ausgenutzt, der Trojaner hatte sich nach Angaben des Anti-Viren-Unternehmens Kaspersky bereits Mitte Juli auf mehr als 16.000 Computern festgesetzt, die meisten davon in Indien und Südostasien. Der Konkurrent Symantec registriert derzeit 8000 bis 9000 versuchte Infektionen pro Tag.

Weil Stuxnet bislang offenbar nur auf WinCC-Rechner in von Siemens aufgesetzten Produktionssystemen zielt, ist er für Normalanwender bislang ungefährlich. Wie viele der betroffenen PCs tatsächlich an Siemens-Systemen hängen, ist nicht festzustellen. Der Konzern selbst betont, dass ihm bislang nur ein einziger Fall einer Infizierung des Simatic-Systems bekannt sei.