„Die Malware ist wahrscheinlich das Produkt eines Expertenteams“ Tino Hildebrand ist Leiter Marketing&Promotion Simatic HMI, bei der Siemens-Division Industry Automation (Bild: Siemens)
Beim Computerwurm Stuxnet handelt es sich um einen Trojaner der in der Lage sei, Industrieanlagen auszuspähen und sogar in diese einzugreifen. Allerdings wurde bislang keine konkrete Beeinflussung der Automatisierungslösung bekannt. Angaben von Siemens zufolge wurde die Malware auf einer Testanlage zu weitergehenden Untersuchungen isoliert. „Bislang analysierte Eigenschaften und das Verhalten der Malware in der Softwareumgebung dieser Testanlage lassen den Schluss zu, dass es sich nicht um die zufällige Entwicklung eines Hackers handeln kann, sondern vielmehr das Produkt eines Expertenteams sein muss, das neben IT-Kenntnissen auch über spezifisches Know-how für Industrie-Steuerungen, über deren Einsatz in industriellen Produktionsprozessen sowie entsprechendes Engineering-Wissen verfügen muss“, erklärt dazu Tino Hildebrand, Leiter Marketing undPromotion Simatic HMI bei Siemens (siehe Interview). Die Malware verbreitet sich über mobile Datenträger, etwa USB-Sticks, und Netzwerke.
Das Leitsystem PCS7 und die Scada-Software WinCC werden in Prozessanlagen in den unterschiedlichsten Branchen – darunter die Chemie und die Pharmaindustrie – eingesetzt. Ein Drittel der 15 bekannten Vorfälle wurde in Anlagen in Deutschland gefunden. Der Virus wird offenbar nur in Anlagen mit einer spezifischen Konfiguration aktiv und sucht gezielt nach einer bestimmen technischen Konstellation mit bestimmten Baugruppen und bestimmten Programmmustern, die für einen spezifischen Produktionsprozess steht. Der Systemhersteller empfiehlt neben Rechnern und Servern auch virtuelle Maschinen und embedded Systeme zu untersuchen und hat auf seinen Web-Seiten entsprechende Tools bereitgestellt. [AS]
infoDIRECT 1010CT622
Fragen an Tino Hildebrand, Leiter Marketing und Promotion Simatic HMI
„Befall der Anlage prüfen“
CT: Wie groß ist das Gefährdungspotenzial für Anlagen der
Chemie, in denen PCS7/WinCC eingesetzt wird?
Hildebrand: Durch Stuxnet sind potenziell alle Windows-Rechner mit Zugang über eine USB-Schnittstelle oder Netzwerkverbindung ohne Virenscanner gefährdet, auf denen das relevante Microsoft-Patch, das seit 8. August verfügbar ist, noch nicht installiert wurde oder die nicht über einen Schutz durch einen Virenscanner mit aktuellen Signaturen verfügen. Das gilt unabhängig für alle Anlagen, ob in der Chemie oder den Fertigungsindustrien. Seitdem Siemens am 15. Juli Informationen über die Existenz des Trojaners „Stuxnet“ erhalten hat, sind uns bisher weltweit 15 Fälle im industriellen Umfeld bekannt geworden. Er konnte in allen Fällen entfernt werden, ohne dass es bis heute zu Schadensfällen kam. Seit Anfang September ist kein weiterer Fall hinzugekommen, so dass wir davon ausgehen, dass das Gröbste überstanden ist. Die Antivirenhersteller hatten schnell reagiert, und auch Siemens stellt seinen Kunden bereits seit 22. Juli ein Tool zum Download zur Verfügung, das den Virus entdeckt und entfernt, ohne den Betrieb einer Anlage zu beeinflussen. Wir haben bisher mehr als 14?000 Downloads verzeichnet, ein Indiz dafür, dass unsere Kunden sich weltweit schnell und ernsthaft dem Thema angenommen haben.
CT: Welche „spezifische Konfiguration“ ist besonders gefährdet?
Hildebrand: Der Trojaner wird aktiv, wenn die WinCC- oder PCS7-Software von Siemens installiert ist und offenbar auch nur dann, wenn Anlagen mit einer spezifischen Konfiguration vorliegen. Unsere Untersuchungen haben ergeben, dass die Malware gezielt nach einer bestimmen technischen Konstellation mit bestimmten Baugruppen und bestimmten Programmmustern sucht. Dies lässt den Schluss zu, dass Stuxnet offenbar auf einen speziellen Prozess oder eine Anlage zielt. Um weitere Details analysieren zu können und um verlässliche Aussagen zur Wirkungsweise von Stuxnet zu gewinnen, müssten wir jedoch auf eine konkrete Anlage mit genau jener Konfiguration zurückgreifen können, nach der der Virus zu suchen scheint. Unter den bei Siemens bekannten Fällen war keine Anlage, die dieser Konfiguration entsprochen hat. Da wir derzeit keine verlässlichen Aussagen treffen können, raten wir jedem Kunden, die genannten Tools zu nutzen, die wir auf unseren Webseiten bereitstellen.
CT: Inwiefern könnte die Malware Stuxnet in das Verhalten des Prozesses eingreifen?
Hildebrand: Der Virus kann theoretisch in einer sehr spezifischen Anlagenkonfiguration nicht nur Daten weitergeben, sondern auch spezifische Prozesse und Abläufe manipulieren. Er ist unter bestimmten Randbedingungen etwa in der Lage, die Prozessbearbeitung in der Steuerung zu beeinflussen. In Testversuchen und in der Praxis konnte dieses Verhalten bisher jedoch nicht nachgewiesen werden. Die Malware bringt zum Beispiel eige?ne Bausteine (beispielsweise DB890, FC1865, 1874) mit, ver?sucht diese in die Zentralbaugruppe zu laden und in den Programmablauf einzubinden. Da wir die spezifische Anlage nicht kennen, können wir das bezweckte Verhalten nicht analysieren. Deshalb raten wir zum Einsatz der genannten Tools, um einen möglichen Rechnerbefall durch Stuxnet zu erkennen und gegebenenfalls dann die Malware zu entfernen.?
