Quellcode von Stuxnet bereits auf dem Schwarzmarkt

SPS: Die Aufregung um Stuxnet hat sich, zumindest in einer breiteren Öffentlichkeit, gelegt. Gibt es inzwischen genauere Erkenntnisse über Infektionsraten bzw. Schäden? Es ist ausgesprochen schwierig, die Anzahl der von Stuxnet betroffenen Unternehmen zu beziffern. Was wir sicher wissen, ist, dass die Anlagen im Iran betroffen waren; die Infektionen sind bestätigt. Bei denen passten die Bedingungen und die SPSen exakt zusammen. Natürlich gibt es viele Systeme, die Simatec WinCC oder Step7 einsetzen, aber in Kombination mit anderen Steuerungen, also nicht den in den iranischen Anlagen eingesetzten Typen S7-300 oder S7-400 oder mit anderen CPUs, nicht den 6ES7-315-2x oder 6ES7-417x. Diese Systeme können durchaus infiziert sein, aber das bekommt man nicht mit, weil sich die Infektion von dort aus nicht weiter ausbreitet und aufgrund der nicht passgenauen Hardware keine Schäden entstanden sind. Und solange die Systeme entsprechend der Spezifikation laufen, gibt es keine Veranlassung, nach Stuxnet zu suchen. Selbst wenn Infektionen entdeckt worden sind, dürfte kaum ein Unternehmen darüber berichten oder berichtet haben, um seinen Ruf nicht zu gefährden. SPS: Liegen bereits Erkenntnisse vor zur Gefährdung durch neue Stuxnet-Varianten? Der Quellcode von Stuxnet wird auf dem Schwarzmarkt angeboten. Das heißt, dass jeder Käufer mit entsprechenden Kenntnissen neue generische Varianten herstellen, neue, bisher nicht bekannte Schwachstellen für die Verbreitung nutzen und auch andere SPSen gezielt oder als Zufallstreffer angreifen kann. Neue Angriffe auf Scada-Umgebungen könnten im Unterschied zu Stuxnet beispielsweise darauf verzichten, den Schadcode exakt auf eine spezielle Hardware auszurichten, und stattdessen die SPS mit Müll programmieren, sodass sie abstürzt und die Produktionsumgebung unberechenbar wird oder einfach zum Stillstand kommt. Aufgrund der vielen technischen Möglichkeiten, die sich den Malware-Autoren bieten, lässt sich die Gefährdung nicht eingrenzen. SPS: Wie können sich die Unternehmen vor Stuxnet und möglichen neuen Varianten schützen, und wie lässt sich die Malware wieder von befallenen Systemen entfernen? Das ist nicht ganz einfach. Virenschutzlösungen können den Code von Steuerungen nicht scannen. Selbst wenn das möglich wäre, wäre der Code, der die Maschinen steuert, von Stuxnet oder der Variante überschrieben worden. Sofern jemand davon ausgeht, dass eine SPS befallen ist, hat er die Möglichkeit, Stuxnet zu entfernen, indem er den ursprünglichen Code wieder herstellt. Dies funktioniert, ist allerdings von SPS zu SPS und von Unternehmen zu Unternehmen unterschiedlich und nur dann für eine Neuprogrammierung greifbar, wenn die SPS-Programmierer den Code kopieren und speichern. Um die Infektionsgefahr zu verringern, sollte die gesamte Bandbreite an Lösungen genutzt werden, mit denen das Unternehmensnetz vor Malware geschützt wird: ordentlich patchen, die Nutzung von mobilen Massenspeichern und Anwendungen beschränken und überwachen und den Datenverkehr innerhalb des Netzwerkes scannen.