Stuxnet-VirusEinfacher Einbruch ins Kernkraftwerk

Ein Computervirus hat einen iranischen Atommeiler befallen. Dass IT-Systeme weltweit immer ähnlicher werden, macht es den Hackern immer leichter. von Laura Höflinger

bushehr

Der von Russen gebaute Reaktor Bushehr in Iran   |  © IIPA via Getty Images

Diesen Juli erreichte Industriespionage eine neue Dimension. Mehrere Sicherheitsexperten gleichzeitig entdeckten ein Computerprogramm, das aufwändig geschrieben war und äußerst geschickt vorging. Weltweit befällt die Schad-Software Rechner in Produktionsanlagen; nun sogar das iranische Atomkraftwerk in Bushehr. Das Programm heißt Stuxnet, und seit es entdeckt wurde, rätseln Sicherheitsexperten, wer seine Macher sind und was sie vorhaben. Einig jedoch sind sich Experten wie Sandro Gaycken von der Universität Stuttgart über eins: „Es wird immer häufiger zu solchen Angriffen kommen.“ Dabei machten es die Firmen den Hackern sogar zunehmend leichter, weil sie bei der Wahl ihrer Sicherheitssysteme sparten und möglichst einfache Programme haben wollten. „Immer mehr Firmen greifen auf standardisierte Software zurück, statt eigene zu entwickeln“, sagt Rainer Glatz, Geschäftsführer des Fachverbands Informatik und Software beim Maschinenbauverband VDMA. Bei elektronischen Angriffen kann diese Entwicklung dann zum Sicherheitsleck führen.

Gängige Software zu kaufen, hat für Firmen zunächst viele Vorteile, wie auch Glatz bestätigt. Die Unternehmen bekommen ausgiebig geprüfte Programme und müssen neue Mitarbeiter seltener schulen, weil die Programme in vielen Fällen schon bekannt sind. Aber vor allem sind eingekaufte IT-Komponenten günstiger, als sie selbst zu entwickeln. Schließlich produziert und verkauft der Hersteller sie in großen Mengen. Doch bei allen Vorteilen: „Man muss auch die Risiken abwägen“, sagt Glatz.

Anzeige

Denn je verbreiteter eine Software ist, desto eher rückt sie ins Blickfeld von Hackern. Die müssen ein System nämlich zunächst kennen, bevor sie es knacken können. So spezifisch ein System ist, so speziell sind die Anforderungen an einen Einbrecher: Nur wenn sein digitaler Schlüssel ins Schloss passt, schafft er es auch hinein. „Je ähnlicher sich die Anlagen werden, desto einfacher ist es deshalb für einen Angreifer“, sagt Gaycken. Ist ein Virus oder Wurm dann einmal im Umlauf, können die Schädlinge gleich an mehreren Orten Schaden anrichten – vorausgesetzt die Systeme sind weitgehend identisch. Das Problem kennt man von Büro- und Privat-Rechnern, für Industrieanlagen galt das bisher nicht. „Man hat immer gehofft, dass so etwas nicht passiert“, sagt Glatz über Stuxnet, „nun gibt es vielleicht so etwas wie einen Aha-Effekt.“

Im Fall Stuxnet schlüpft der Wurm durch vier bisher unbekannte Lücken bei Windows ins System, dann sucht er nach bestimmten Bausteinen, wie sie nur in den Produkten von Siemens vorkommen. 15 Anlagen waren laut Siemens betroffen, zum Einsatz kommt die Siemens-Software bei mehreren Tausend. Darunter vertreten sind alle Branchen: Brauereien, Kläranlagen, Raffinieren oder Kraftwerke. Für die Sicherheit ihrer IT-Systeme verantwortlich sind die Betreiber. Versagt deren Schutz, kann ein Angreifer Maschinen beschädigen oder gar kontrollieren.

Ein weiteres Risiko sehen Glatz und Gaycken in der zunehmenden Vernetzung. Viele Firmen kontrollieren ihre Anlagen aus der Ferne, verbinden mehrere Produktionsstandorte miteinander, schließen die Maschinen sogar ans Internet an. Und nutzen auch dann Standards wie WLan oder gängige Internetprotokolle. Das ist äußerst praktisch, aber auch gefährlich. Denn es öffnet ein weiteres Einfallstor für Hacker. Gaycken fordert deshalb eine „Ent-Netzung“ per Gesetz für kritische Infrastrukturen wie Strom oder Verkehr. Aber auch dann: „Die absolute Sicherheit gibt es nicht“, sagt Glatz.

Stuxnet etwa nutzt nicht einmal das Netz. Der Angriff kommt von innen. Als Tatwaffe dient ein infizierter USB-Stick. Womöglich ein Mitarbeiter steckt ihn an einem Rechner ein, das Virus verbreitet sich daraufhin automatisch. „Die größte Sicherheitsschwachstelle ist immer noch der Mensch“, sagt Glatz. „Es gibt immer noch die Vorstellung Technik alleine bringt’s. Doch ohne ausreichendes Sicherheitsbewusstsein unter den Mitarbeitern, hilft auch die stärkste Firewall nicht.“ 

(Der Text erschien zuerst im Tagesspiegel.)

Zur Startseite
 
Leserkommentare
  1. Insgesamt ein guter Artikel - mir gefällt er, nur:

    Der Firewall-Kommentar am Ende passt nicht ins Bild - eine Firewall schützt nicht vor Viren!! Eine Firewall kann Kommunikation mit dem Internet unterbinden - daher einen Virus (sofern er sich nicht erfolgreich tarnt) von der Kommunikation mit der Außenwelt abhalten - aber nicht einen Virus davon abhalten auf einem Computer zu "landen".
    Dies geschieht eher über einen Browser - oder ist auch wie erwähnt über einen USB Stick möglich.

    Reaktionen auf diesen Kommentar anzeigen

    Eine Firewall ist mehr als das, was bunte Betriebssysteme aus Redmond dafür ausgeben. Leider hat sich im Volksmund der umgangssprachliche Begriff "Firewall" für eine Vorrichtung eingebürgert, der fachlich als Paketfilter bezeichnet wird. In der IT-Branche ist eine Firewall jedoch viel mehr als das. Eine Firewall ist grundsätzlich als ein Konzept zu verstehen, das den Einbruch in ein System verhindern soll. Dazu gehört eben nicht nur eine blinkende Kiste, die eingehenden Netzwerkverkehr anhand von starren Regeln filtert. Ein Firewall-Konzept besteht aus vielen Komponenten und hat die Aufgabe viel tiefergehende Analysen in einem Netzwerk durchzuführen. Dabei werden nicht nur auf niedrigster Ebene Pakete von außen angeschaut und Absender und Empfänger bewertet, sondern die Pakete werden auch geöffnet und im inneren, also inhaltlich Untersucht. Zu einem Firewall-Konzept gehört ein sog. IDS (intrusion detection system), das eben auch in der Lage ist, anhand heuristischer Methoden Schädlinge und Einbrecher zu erkennen, Administratoren zu alamieren und betroffene Bereiche des Netzwerks zu isolieren. Ein Schädling, der so über einen Browser oder USB-Stick kommt, hätte kaum eine Chance.

    Nur leider ist das vielen Unternehmen zu teuer, und dann reicht auch ein Paketfilter und viel Vertrauen in die Angestellten.

    Der Artikel ist mitnichten gut. Ich hatte vor ein paar Tagen über dieses Thema in der FAZ [1] gelesen. Hier im Artikel werden viele Dinge verkürzt und vereinfacht wiedergegeben, was dem Leser aber wichtige Informationen vorenthält.

    [1] http://tinyurl.com/2vk4tdr

    • padpad
    • 28. September 2010 11:28 Uhr

    Der Artikel verpasst zu erklären, dass es sich bei diesem Tool nicht um einen gewöhnlichen Hackerangriff sondern um ein hochentwickeltes Exploitkit handelt, dass Sicherheitexperten auf der ganzen Welt staunen lässt. Hier wurde Millionen investiert um ein derart effektives Tool zu bauen und um Spionage der verwendeten Systeme zu finanzieren. Nur mit genauen Kenntnissen der Vorort verwendeten Computersysteme ist es möglich ein derartigen Angriff zu starten. Hier waren keine 0815 Hacker am Start sondern vermutlich eine Institution, die nur eines im Sinn hatte, nämlich das vorhaben der Iraner zu verzögern oder gar ganz zu stoppen. Alleine schon die Tatsache, das 4 Zero Day Exploits verwendet wurden, die auf dem freien Markt sicher sechstellige Beträge einbringen, lässt vermuten das es sich nicht um einen gewöhnlichen Angriff handelt.

    Reaktionen auf diesen Kommentar anzeigen

    Dann raten wir mal, wer dahinter stecken könnte.
    Wenn hier Schwachstellen derart geschickt ausgenutzt werden, sollte man die Hersteller selbst verdächtigen.
    Vielleicht kann man sich solche Hintertürchen auf dem Markt kaufen? Also beim Hersteller kaufen.
    Ansonsten, vielleicht CIA, oder Israelis die Angst haben weggebombt zu werden, oder wirklich nur Nerds die sich mal was großes vorgenommen haben.

  2. Frau Höflinger, wenns so kinderleicht ist, warum können Sie dann die Zusammenhänge nicht fehlerfrei referieren?

  3. ...interessierte von informierten frisch auf die ohren:

    http://alternativlos.org/5/

    • mirko72
    • 28. September 2010 13:40 Uhr

    oder bauen sie ihr eigenes Auto oder Flugzeug. Software ist hochkomplexes Produkt. Aber die Monopolisierung macht Angriffe tendenziell einfacher aber prinzipiell ist es egal, welches System ich analysiere und breche. Das selber machen ist eine gute Idee nur weiss ich leider wie gut bzw. schlecht viele Programmierer sind, dann möchte ich dann doch ein Produkt von der Stange. Das führt dann aber zu der Einstellung die Sicherheit wird durch die Firewall garantiert. Ich brauche mich also um Sicherheit nicht weiter zu kümmern. Es gibt bei den meisten Softwareentwicklern kein Bewusstsein bzgl. der Sicherheit. Schlimm wird es erst bei Problemen wie dem EC-Karten Desaster. Das ist nicht nur ein Bug sondern das Versagen eines Produktionsprozesses incl. der Tests und der Kontrollen. Und dieser Bug ist kein Einzelfall, sondern er ist nur auf Grund seiner Auswirkungen bekannt geworden. Ich habe hoffentlich allen meinen Studenten Besseres beigebracht. Wenn ich könnte, würde ich dieses System meiden.

  4. Dann raten wir mal, wer dahinter stecken könnte.
    Wenn hier Schwachstellen derart geschickt ausgenutzt werden, sollte man die Hersteller selbst verdächtigen.
    Vielleicht kann man sich solche Hintertürchen auf dem Markt kaufen? Also beim Hersteller kaufen.
    Ansonsten, vielleicht CIA, oder Israelis die Angst haben weggebombt zu werden, oder wirklich nur Nerds die sich mal was großes vorgenommen haben.

  5. Der Artikel ist mitnichten gut. Ich hatte vor ein paar Tagen über dieses Thema in der FAZ [1] gelesen. Hier im Artikel werden viele Dinge verkürzt und vereinfacht wiedergegeben, was dem Leser aber wichtige Informationen vorenthält.

    [1] http://tinyurl.com/2vk4tdr

    Antwort auf "Guter Artikel:"

Bitte melden Sie sich an, um zu kommentieren

  • Schlagworte Kernkraftwerk | Siemens AG | Atomkraftwerk | Brauerei | Hacker | Schädling
Service