Die Maleware Stuxnet wurde auf Industrieanlagen gefunden, auf denen das Leitsystem PCS7 oder die Scada-Software WinCC von Siemens installiert ist (Bild: Siemens)
Beim Computerwurm Stuxnet handelt es sich um einen Trojaner der in der Lage sei, Industrieanlagen auszuspähen und sogar in diese einzugreifen. Angaben von Siemens zufolge wurde die Malware auf einer Testanlage zu weitergehenden Untersuchungen isoliert. „Bislang analysierte Eigenschaften und das Verhalten der Malware in der Softwareumgebung dieser Testanlage lassen den Schluss zu, dass es sich nicht um die zufällige Entwicklung eines Hackers handeln kann, sondern vielmehr das Produkt eines Expertenteams sein muss, das neben IT-Kenntnissen auch über spezifisches Know How für Industrie-Steuerungen, über deren Einsatz in industriellen Produktionsprozessen sowie entsprechendes Engineering-Wissen verfügen muss“, heißt es bei Siemens.
Das Leitsystem PCS7 und die Scada-Software WinCC werden in Prozessanlagen in den unterschiedlichsten Branchen – darunter der Chemie und der Kraftwerksbranche – eingesetzt. In Berichten von Welt Online und Spiegel wird die Sicherheitsfirma Symantec zitiert, wonach sich 60 % der befallenen Anlagen im Iran befinden. Laut Siemens trifft dies nicht zu, demnach wurde ein Drittel der Vorfälle in Deutschland gefunden.
Statement des Leittechnik-Anbieters:
- Nach gegenwärtigem Kenntnisstand sind Industriesteuerungen von Siemens betroffen. Der Trojaner wird aktiv, wenn die WinCC oder PCS7-Software von Siemens installiert sind.
- Weitere Untersuchungen ergaben, dass der Virus theoretisch in einem sehr spezifischem Automatisierungsumfeld oder Anlagenkonfiguration neben der Weitergabe von Daten auch spezifische Prozesse und Abläufe beeinflussen kann. Dies bedeutet, dass die Malware unter bestimmten Randbedingungen in der Lage ist, die Prozessbearbeitung in der Steuerung zu beeinflussen. In Testversuchen und in der Praxis konnte dieses Verhalten bisher jedoch nicht nachgewiesen werden.
- Das Verhaltensmuster von Stuxnet deutet darauf hin, dass der Virus offenbar nur in Anlagen mit einer spezifischen Konfiguration aktiv wird. Er sucht gezielt nach einer bestimmen technischen Konstellation mit bestimmten Baugruppen, und bestimmten Programmmustern, die für einen spezifischen Produktionsprozess steht. Dieses Muster ist z.B. durch einen spezifischen Datenbaustein und zwei Codebausteine eingrenzbar.
- Dies lässt den Schluss zu, das Stuxnet offenbar auf einen speziellen Prozess oder eine Anlage zielt und nicht auf eine bestimmte Marke oder Prozesstechnik und nicht auf die Mehrheit der industriellen Anwendungen.
- Dies deckt sich auch mit der Zahl der Siemens bekannten Fälle, in denen zwar der Virus entdeckt wurde, aber nicht aktiv geworden war und entfernt werden konnte, ohne dass bis heute zu Schadensfällen kam.
- Bei den 15 bekannten Fällen war eine solche spezifische Anlage nicht dabei.
Aktuelle Informationen des Herstellers finden Sie hier.
