Es riecht nach Industriespionage im großen Stil: Eine ausgeklügelte Schadsoftware bereitet derzeit Siemens Kopfschmerzen - und könnte bald auch für andere Computernutzer zum Problem werden.
Hacker versuchen offenbar über auf USB-Sticks versteckte Trojaner, sensible Produktionsdaten von Kunden mit Simatic-Steuerungssystemen zu ergattern. Das System steuert komplexeste Produktionsprozesse und kommt in den verschiedensten Industrien zum Einsatz, von der Automobilbranche bis hin zu Kraftwerken.
Damit Kunden die Produktionsprozesse auswerten und visualisieren können, hat Siemens die Microsoft-Software WinCC in sein System integriert, die auf dem Windows-Betriebssystem läuft. Genau diese Software ist offenbar Ziel der Attacke.
Ein unter dem Namen Stuxnet bekanntes Programm installiert sich beim Einstecken eines USB-Sticks auf dem PC, sucht dann offenbar gezielt nach der WinCC-Software für Siemens' SCADA-System und versucht, sich dort Zugang zu den Datenbanken zu verschaffen.
"In den Trojaner wurde sehr viel Arbeit gesteckt, er hat 5000 Funktionen, die wir noch nicht alle analysiert haben", erklärt IT-Sicherheitsexperte Frank Boldewin, der die Schadsoftware als einer der Ersten entdeckte.
Spion oder Zeitbombe?
Tatsächlich sieht alles nach einer höchst professionellen Vorgehensweise aus: Die Verwendung eines tragbaren Speichermediums ist aus Angreifersicht die Methode mit den meisten Erfolgsaussichten, da Produktionssysteme meist nicht an das Internet angeschlossen sind.
Die Windows-Lücke, durch die sich das Schadprogramm quetscht, war bislang noch nicht bekannt. Weil der Fehler bei der Verarbeitung von Verknüpfungen, den LNK-Dateien liegt, muss der Computernutzer nicht einmal Autostart aktivieren, um den Trojaner auszuführen - das Einstecken des USB-Sticks alleine reicht.
Stuxnet ist zudem mit einem Schlüssel der Hersteller RealTek und JMicron versehen - und wird deshalb von Windows bei der Installation des Spionagecodes als vertrauenswürdig eingestuft und von einigen Antivirenprogrammen nicht als Schadsoftware wahrgenommen - eine Praxis, die nun ihre Grenzen aufgezeigt bekommt..
Doch der Eindringling verhält sich seltsam: Wie Boldewin und ein Siemens-Sprecher bestätigen, sendet er derzeit keine Daten an einen möglichen Mutterserver - er kann in vom Internet abgekappten Produktionsumgebungen in der Regel auch nicht damit rechnen, Zugang zum Netz zu erhalten. Zudem, so heißt es, könne ein Datendieb mit den Informationen aus den Datenbanken nur etwas anfangen, wenn er ganz genau weiß, wie der Produktionsprozess aussieht.
Passwörter im Internetforum
Boldewin hält es deshalb auch für möglich, dass es sich um einen Sabotagevirus handelt. "Es kann sein, dass sich irgendwo in den Codes so etwas wie eine Zeitbombe befindet", sagt er, "die könnte dann sagen: Ab Dezember wird ein Code aktiviert, der das SCADA-System herunterfährt odre die Kommunikation der Computerschnittstellen verändert." Die Folgen für ein Produktionssystem wären unvorhersehbar. Allerdings warnt Boldewin auch vor verfrühten Schlussfolgerungen.
Die Lücke wird Berichten zufolge seit etwa einem Monat ausgenutzt, der Trojaner hatte sich nach Angaben des Anti-Viren-Unternehmens Kaspersky bereits Mitte Juli auf mehr als 16.000 Computern festgesetzt, die meisten davon in Indien und Südostasien. Der Konkurrent Symantec registriert derzeit 8000 bis 9000 versuchte Infektionen pro Tag.
Weil Stuxnet bislang offenbar nur auf WinCC-Rechner in von Siemens aufgesetzten Produktionssystemen zielt, ist er für Normalanwender bislang ungefährlich. Wie viele der betroffenen PCs tatsächlich an Siemens-Systemen hängen, ist nicht festzustellen. Der Konzern selbst betont, dass ihm bislang nur ein einziger Fall einer Infizierung des Simatic-Systems bekannt sei.
Wir sind unaufmerksam, neugierig und faul: Sieben Computer-Todsünden, die uns Viren und Ärger einbringen - und wie Sie wieder auf den Pfad der Tugend gelangen.
Doch IT-Experten machen Siemens schwere Vorwürfe: Stuxnet kann nur auf die Datenbanken zugreifen, weil die Passwörter für deren Zugang offenbar nicht nur weltweit identisch, sondern auch nicht mehr veränderbar sind. Nach einem Bericht von Wired.com waren sie sogar zwei Jahre in einem russischsprachigen Siemens-Forum zu lesen.
"Das Passwort ist irrelevant, weil es nur die Kommunikation der Computerschnittstellen innerhalb einer Produktionsanlage ermöglicht", reagiert wiederum ein Siemens-Sprecher gegenüber sueddeutsche.de auf die Vorwürfe. In der Regel seien die vorgegebenen Sicherheitsvorkehrungen dort so hoch, dass Stuxnet überhaupt nicht ins System gelangen könne.
Für Hochsicherheitstechnik wie Kraftwerke gilt bei Kernfunktionen sowieso ein Windows-Verbot, allerdings verwendet die Steuerungssoftware des Kernkraftwerks Krümmel zum Beispiel WinCC für die Reaktor-Belademaschine.
Der Versuch, über USB-Sticks Schadsoftware in große Unternehmen einzuschleusen, ist nicht neu: Häufig wird davon berichtet, dass in Parkhäusern oder im Eingangsbereich solche Speichermedien gezielt platziert werden, damit Mitarbeiter diese mitnehmen und aus Neugier in ihren Computer stecken.
Woher kam der digitale Schlüssel?
Beunruhigend ist, dass Stuxnet mit zertifizierten Schlüsseln arbeitet: Dies legt den Verdacht nahe, mutmaßt der IT-Dienst heise.de, dass in den Firmen selbst oder bei Zulieferern Mitarbeiter für die Zertifizierung schädlicher Programme bestochen würden oder sich die Hacker über einen Trojaner Zugriff auf die entsprechenden Programme schafften. Auch ein Einbruch ist nicht ausgeschlossen: Sowohl RealTek, als auch JMicron unterhalten im gleichen taiwanischen Gebäudekomplex Büros.
Siemens hat angekündigt, seinen Kunden bis Ende der Woche ein Update anzubieten, das die Lücke schließen soll. Stuxnet könne bereits jetzt mit herkömmlichen Virenschutzprogrammen erkannt werden - allerdings enthalten Trojaner oft auch Codes, die solche Software deaktivieren.
Auch Microsoft arbeitet mit Hochdruck an der Schließung der Lücke, ist diese doch inzwischen auch für Privatanwender potentiell gefährlich: Das Sicherheitsleck existiert in allen gängigen Windows-Versionen.
Derzeit kursieren im Netz bereits Angriffsskripte, mit deren Hilfe auch andere Programme als Stuxnet das Sicherheitsleck ausnutzen können - und dafür keinen USB-Stick brauchen, sondern ganz bequem das Internet nutzen können. Bis die entsprechenden Trojaner sich im Netz verbreiten, dürfte es nur eine Frage der Zeit sein.
Der industrielle Cyberkrieg hat begonnen
Microsoft hat deshalb eine Anleitung veröffentlicht, mit deren Hilfe sich Nutzer durch Ändern der Systemeinstellungen vorerst schützen können. Der Nachteil allerdings: Alle Symbole für Windows-Dateien werden damit zu einem weißen Blatt Papier, die Navigation durch die Bedienoberfläche verkompliziert sich.
Im Netz wird bereits vom zweiten historischen Hackerereignis des Jahres gesprochen, nachdem Google Anfang des Jahres aufgrund von Attacken aus China gegen Peking aufbegehrt hatte. "Das ist der erste Fall, in dem ein ausgetüftelter Virus Anwendungen in industriellen Kontrollsystemen ins Visier nimmt", sagte der Autor und Internet-Sicherheitsexperte Joe Weiss dem Branchenmagazin CNet.
"Die Zeit, in denen Trojaner jeden Morgen ein paar Spielstände von World of Warcraft klauen, ist vorbei", sagt auch IT-Experte Boldewin, "heute geht es längst um etwas anderes." Ob Sabotage, Geheimnisklau oder Erpressung - die Unternehmenswelt darf sich auf stürmische Zeiten in der digitalen Welt einstellen.
