Jeder, der mit Scada-Systemen oder industriellen Steuerungssystemen (ICS) arbeitet, weiß um den Druck zur Steigerung der Produktivität und Kostensenkung durch Netzwerkintegration. So ist die Nutzung von Echtzeitdaten aus der Fertigung durch das Management in den meisten Branchen längst zum Standard geworden. Ebenso ermöglicht der Remote-Support inzwischen internetbasierten Zugriff auf viele Steuerungssysteme. Parallel haben sich die Steuerungssysteme selbst verändert. Proprietäre Netze werden von Ethernet-Technik abgelöst, Leitstände werden von Windows-PCs gesteuert, PDF Reader und Web Browser sind im gesamten Werk installiert. Auf diese Weise können Unternehmen agile, kosteneffiziente Geschäftsabläufe implementieren. Leider gibt es auch Nachteile: Viele der Schwachstellen, die die Sicherheit von Bürosystemen im Unternehmen bedrohen, sind auch auf ICS-Systeme übertragbar.
Bedrohung der neuen Art
Vor der Entdeckung von Stuxnet wurden Cyber-Angriffe auf Automatisierungssysteme überwiegend als theoretisches Problem betrachtet. Das Schadprogamm hat aber völlig neue Rahmenbedingungen geschaffen: für Betreiber von Industrieanlagen, für Anbieter von Automatisierungssystemen und sogar für Regierungen. Stuxnet wurde speziell auf die Automatisierungsprodukte eines Herstellers ausgerichtet. Der Wurm konnte eigene Verarbeitungsinformationen herunterladen, die SPS-Logik ändern und die vorgenommenen Veränderungen verstecken. Zur Verbreitung nutzte Stuxnet bislang unbekannte Schwachstellen und war so komplex, dass moderne Sicherheitstechnik kein Hindernis darstellte.Heute weiß man: Ziel von Stuxnet waren iranische Urananreicherungszentrifugen. Der Wurm sollte die Steuerung und damit die Drehzahl der Zentrifugen manipulieren. Das führte dazu, dass sich die Geräte allmählich selbst zerstörten. Auch wenn der Wurm ein spezifisches Ziel hatte, gab es dennoch Begleitschäden. Bei einigen Firmen in den USA wurden Steuerungen von Stuxnet - wahrscheinlich eher zufällig - neu konfiguriert. Das führte zu erheblichem Arbeitsmehraufwand und Anlagenausfällen. Glücklicherweise waren die Probleme bald behoben: Software-Patches und Virenschutzsignaturen konnten Stuxnet ausmerzen. Doch war Stuxnet nur ein Vorbote. Die Folgen von Stuxnet zeigen sich erst im Nachhinein. Durch die breite Berichterstattung entdecken Hacker und Cyber-Kriminelle Scada- und ICS-Produkte als attraktive Ziele. So kam es auch hier zu einer Offenlegung von Sicherheitslücken: 2011 gab das auf Kontrollsysteme spezialisierte US-amerikanische ICS-CERT 104 Warnungen für Scada- und ICS-Produkte von 39 Anbietern heraus. Vor Stuxnet waren nur fünf ICS-Sicherheitslücken insgesamt gemeldet worden. Besorgniserregend ist, dass für 40 Prozent dieser Schwachstellen Angriffscodes in Umlauf gebracht wurde.
Die Macht des Wurms
Die Kriminellen kannten die Schwachstellen und verfügten über die nötige Software, um sie zu nutzen. Stuxnet hat gezeigt, welche Macht ein gezielt entwickelter ICS-Wurm hat: Firmengeheimnisse stehlen, Anlagen zerstören oder geschäftskritische Systeme ausschalten. Auch wenn Stuxnet aus politischen Beweggründen entwickelt worden war, ist die potenzielle Bedrohung für alle Seiten offensichtlich. Es war also nur eine Frage der Zeit, bis die verwendeten Stuxnet-Verfahren für neue Angriffe genutzt würden. Im Februar 2011 wurde eine neue Attacke gegen Industrieanlagen gemeldet. Der Bericht „Global Energy Cyber Attacks: Night Dragon“ beschreibt, wie Hacker sensible Daten wie Bietvorgänge für Ölfelder oder Betriebsdaten der Scada-Systeme von Energie- und Erdölunternehmen stehlen konnten. Anfang Oktober 2011 meldeten mehrere Quellen die Entdeckung eines neuen Trojaners namens Duqu. Er verwendet umfangreiche Teile des Quellcodes von Stuxnet, greift SPS-Systeme jedoch anscheinend nicht direkt an, sondern stiehlt Daten. Ende Oktober meldete Symantec Einzelheiten eines zweiten Angriffs auf 25 Unternehmen, die Chemikalien und moderne Werkstoffe herstellen. Symantec nannte diese Angriffe Nitro-Attacken und berichtete: „Ziel dieser Angriffe scheint Industriespionage zu sein sowie das Sammeln geistigen Eigentums.“
Eindringen lässt sich nicht verhindern
Viele Sicherheitsexperten sehen die einzige Lösung in der Rückkehr zu komplett isolierten Automationssystemen. Das ist heutzutage nicht mehr realisierbar. Die moderne Industrie benötigt einen ständigen Zufluss elektronischer Informationen von außen, um funktionieren zu können. Ist die Situation hoffnungslos? Nein, aber die Sicherheitsverfahren müssen erheblich verbessert werden. Zunächst muss die Industrie akzeptieren, dass ein vollständiger Schutz von ICS-Systemen vor Schadcodes unmöglich ist. Aufgrund steigender Zugangsmöglichkeiten muss über die Lebensdauer eines Systems mit erfolgreichen Attacken gerechnet werden. Zudem sollten folgende Maßnahmen ergriffen werden:
�?� Alle Möglichkeiten für das Eindringen von Schadprogrammen berücksichtigen und Strategien für jede einzelne Möglichkeit bereithalten �?� ICS-Netzwerke unterteilen, um die Folgen im Ernstfall zu begrenzen �?� Spezielle Firewalls einsetzen, die eine Deep Packet Inspection von ICS-Protokollen durchführen können �?� Den Fokus auf die Sicherung geschäftskritischer Systeme legen, insbesondere von Safety Integrated Systems �?� Sicherheitsbewertungen in die regelmäßigen Wartungsprozesse einbeziehen �?� Maßnahmen zur Verbesserung der Sicherheitskultur im Management und Technik-Team umsetzenDie Implementierung dieser Punkte verbessert den Stand von ICS- und Scada-Systemen und trägt dazu bei, diese vor Cyber-Spionage zu schützen. Vor allem sind diese �?nderungen dringend. Wenn Unternehmen abwarten, bis der nächste Wurm kommt, kann alles zu spät sein.