Ob Tausende Computer im Iran oder gar Millionen in China: Welches Ziel der neuartige und im gewissen Sinne innovative digitale Schädling Stuxnet hatte, bleibt weiter im Dunkeln. Klar ist bislang nur, der Trojaner sollte gezielt industrielle Anlagen stören. Welche Anlage genau? Das ist immer noch ebenso unbekannt wie die Urheber.
"Wer auch immer die Urheber von Stuxnet sind, es waren auf jeden Fall Profis und keine Durchschnittshacker. Dies zeigt die Qualität des Programmcodes und die tiefe Kenntnis, die man über die anzugreifende Anlage besitzen muss. Zudem muss die Entwicklung und Planung des Angriffs immens teuer gewesen sein",
erklärt der Sicherheitsforscher Frank Boldewin. Er und weitere Experten waren überrascht, wie komplex Stuxnet aufgebaut ist. Ungewohnt war auch der Infektionsweg. Der Trojaner verbreitete sich initial über die USB-Schnittstelle. Außerdem nutzte Stuxnet gleich vier verschiedene Sicherheitslücken im Betriebssystem Windows.
"Zu einem werden diese genutzt, um erstmals ein System zu infizieren, sowie zur weiteren Ausbreitung innerhalb des internen Netzwerkes, zum anderen, um sich höhere Rechte auf dem System zu verschaffen, falls notwendig. Als weiteren Verbreitungsweg infiziert Stuxnet bestimmte Projektdateien der Siemens SCADA Software. Außerdem verfügt er noch über eine eigene Peer-to-peer-Netzwerkfunktion. Darüber aktualisiert sich der Schädling stets auf die neuste Version, die im internen Netz verfügbar ist. Um unentdeckt im System zu bleiben nutzt Stuxnet eine Rootkit-Komponente. Damit diese von Sicherheitssoftware unerkannt bleibt und als vertrauenswürdig eingestuft wird, wurden die Rootkit Dateien mit gestohlenen Zertifikaten signiert."
Die hier beschriebene Angriffskomponente ist jedoch nur ein Teil von Stuxnet. Eigentliches Ziel waren nicht die Computer selbst, sondern die angeschlossenen eingebetteten Systeme, die speicherprogrammierbaren Steuerungen, im Fachjargon kurz PLC genannt. Sie kontrollieren Maschinen und industrielle Anlagen.
"Das eigentliche Herzstück des Trojaners ist allerdings der sogenannte PLC MC7 Assembler Code. Wenn Stuxnet nun ein Managementsystem der Anlage befällt, welches direkt mit den PLCs verbunden ist, überprüft der Trojaner zunächst, ob es sich um das gesuchte System handelt. Wenn die gesuchte Konstellation gefunden wurde, beginnt Stuxnet damit die Funktionsweise der PLCs zu stören und den Ablauf in der Anlage durcheinanderzubringen. Wichtig dabei ist noch zu wissen, dass der Trojaner den eingeschleusten Code ebenfalls tarnt, so dass der Schadcode in den PLCs nicht angezeigt wird und einfach gelöscht werden kann."
PLCs an sich waren nicht das Ziel von Stuxnet. Nur ein ganz bestimmtes Bauelement suchte der Schädling. Und dieses programmierte Stuxnet nur dann um, wenn auch bestimmte Software-Elemente vorhanden waren. Auf allen anderen Rechnern und Anlagen, die Stuxnet infiziert hat, tat der Trojaner rein gar nichts. Darf man also von Entwarnung sprechen? Nur bedingt, meint der Sicherheitsexperte für Industriesteueranlagen, Ralph Langner. Stuxnet sei eine Waffe mit einem Schuss gewesen. Den habe sie abgefeuert und sei nun nutzlos. Doch Gefahr bestehe weiterhin.
"Das Problem ist jetzt, was anschließend kommen wird, denn diese Waffe kann kopiert werden und sie wird kopiert werden. Was hier an Technik benutzt wurde, das lässt sich nicht geheim halten. Wir müssen davon ausgehen, dass Stuxnet bis ins allerletzte Bit analysiert werden wird und die Ergebnisse auch publiziert werden. Und dann ist es auch nur noch eine Frage der Zeit, bis wir diese Angriffstechniken auch in Hacker-Tools finden."
Ralph Langner befürchtet, der Angriffsvektor würde nun übernommen. Als Angriffsvektor bezeichnet man die Art des Angriffs, in diesem Fall also die Tatsache, dass direkt die Automatisierungstechnik angegriffen wurde. Damit sei die Büchse der Pandora geöffnet.
"Es ist jetzt wesentlich leichter möglich, nachdem diese Angriffsroutine nun mal publik ist, sie zu duplizieren. Das kennen wir ja aus dem Schadsoftware-Umfeld. Schauen Sie mal, wenn Sie heute die typischen Hacker sehen oder halt auch die Leute, die Schadsoftware erstellen, dann sollten Sie bitte nicht glauben, dass das irgendwelche Computergenies sind, sondern das sind zum Teil ja Schüler. Denken Sie an Herrn Jaschan, der den Sasser-Virus entwickelt hat. Das hat der praktisch im Kinderzimmer gemacht. Und das werden wir leider jetzt auch bei dem sehen, was nach Stuxnet kommt. Es ist zweifellos möglich und es wird passieren, dass diese Angriffstechniken verpackt werden in Toolkits, wie sie von Hackern und den Autoren von Schadsoftware seit Jahren verwendet werden."
Den Einwand, für die Angriffe sei neben der Technik ja auch noch großes Fachwissen der Steueranlagen notwendig, entkräftet der Experte. Er erwartet nicht gezielte Sabotage, sondern Vandalismus.
"Wir werden beispielsweise sogenannte Denial-of-Service-Angriffe erleben, die völlig ungezielt sind und wo ich absolut null Insiderwissen haben muss. Und das können Sie sich so vorstellen, dass dann Schadcode eingebracht wird in solche Industriesteuerungen, die dann plötzlich irgendwann beispielsweise nachts um zwölf alle stehen bleiben. Dazu brauchen Sie kein Insiderwissen und das ist das große Problem, das wir momentan haben."
Ralph Langner hofft jedoch, die Unternehmen hätten ihre Lehren aus Stuxnet gezogen und würden nun ihre Anlagen sicher machen. Stuxnet an sich ist mehr oder weniger Geschichte. Doch eines hat der Trojaner gezeigt: Digitale Angriffe haben eine neue Qualität erreicht. Manch einer spricht gar vom Beginn des Cyberwars.
"Wer auch immer die Urheber von Stuxnet sind, es waren auf jeden Fall Profis und keine Durchschnittshacker. Dies zeigt die Qualität des Programmcodes und die tiefe Kenntnis, die man über die anzugreifende Anlage besitzen muss. Zudem muss die Entwicklung und Planung des Angriffs immens teuer gewesen sein",
erklärt der Sicherheitsforscher Frank Boldewin. Er und weitere Experten waren überrascht, wie komplex Stuxnet aufgebaut ist. Ungewohnt war auch der Infektionsweg. Der Trojaner verbreitete sich initial über die USB-Schnittstelle. Außerdem nutzte Stuxnet gleich vier verschiedene Sicherheitslücken im Betriebssystem Windows.
"Zu einem werden diese genutzt, um erstmals ein System zu infizieren, sowie zur weiteren Ausbreitung innerhalb des internen Netzwerkes, zum anderen, um sich höhere Rechte auf dem System zu verschaffen, falls notwendig. Als weiteren Verbreitungsweg infiziert Stuxnet bestimmte Projektdateien der Siemens SCADA Software. Außerdem verfügt er noch über eine eigene Peer-to-peer-Netzwerkfunktion. Darüber aktualisiert sich der Schädling stets auf die neuste Version, die im internen Netz verfügbar ist. Um unentdeckt im System zu bleiben nutzt Stuxnet eine Rootkit-Komponente. Damit diese von Sicherheitssoftware unerkannt bleibt und als vertrauenswürdig eingestuft wird, wurden die Rootkit Dateien mit gestohlenen Zertifikaten signiert."
Die hier beschriebene Angriffskomponente ist jedoch nur ein Teil von Stuxnet. Eigentliches Ziel waren nicht die Computer selbst, sondern die angeschlossenen eingebetteten Systeme, die speicherprogrammierbaren Steuerungen, im Fachjargon kurz PLC genannt. Sie kontrollieren Maschinen und industrielle Anlagen.
"Das eigentliche Herzstück des Trojaners ist allerdings der sogenannte PLC MC7 Assembler Code. Wenn Stuxnet nun ein Managementsystem der Anlage befällt, welches direkt mit den PLCs verbunden ist, überprüft der Trojaner zunächst, ob es sich um das gesuchte System handelt. Wenn die gesuchte Konstellation gefunden wurde, beginnt Stuxnet damit die Funktionsweise der PLCs zu stören und den Ablauf in der Anlage durcheinanderzubringen. Wichtig dabei ist noch zu wissen, dass der Trojaner den eingeschleusten Code ebenfalls tarnt, so dass der Schadcode in den PLCs nicht angezeigt wird und einfach gelöscht werden kann."
PLCs an sich waren nicht das Ziel von Stuxnet. Nur ein ganz bestimmtes Bauelement suchte der Schädling. Und dieses programmierte Stuxnet nur dann um, wenn auch bestimmte Software-Elemente vorhanden waren. Auf allen anderen Rechnern und Anlagen, die Stuxnet infiziert hat, tat der Trojaner rein gar nichts. Darf man also von Entwarnung sprechen? Nur bedingt, meint der Sicherheitsexperte für Industriesteueranlagen, Ralph Langner. Stuxnet sei eine Waffe mit einem Schuss gewesen. Den habe sie abgefeuert und sei nun nutzlos. Doch Gefahr bestehe weiterhin.
"Das Problem ist jetzt, was anschließend kommen wird, denn diese Waffe kann kopiert werden und sie wird kopiert werden. Was hier an Technik benutzt wurde, das lässt sich nicht geheim halten. Wir müssen davon ausgehen, dass Stuxnet bis ins allerletzte Bit analysiert werden wird und die Ergebnisse auch publiziert werden. Und dann ist es auch nur noch eine Frage der Zeit, bis wir diese Angriffstechniken auch in Hacker-Tools finden."
Ralph Langner befürchtet, der Angriffsvektor würde nun übernommen. Als Angriffsvektor bezeichnet man die Art des Angriffs, in diesem Fall also die Tatsache, dass direkt die Automatisierungstechnik angegriffen wurde. Damit sei die Büchse der Pandora geöffnet.
"Es ist jetzt wesentlich leichter möglich, nachdem diese Angriffsroutine nun mal publik ist, sie zu duplizieren. Das kennen wir ja aus dem Schadsoftware-Umfeld. Schauen Sie mal, wenn Sie heute die typischen Hacker sehen oder halt auch die Leute, die Schadsoftware erstellen, dann sollten Sie bitte nicht glauben, dass das irgendwelche Computergenies sind, sondern das sind zum Teil ja Schüler. Denken Sie an Herrn Jaschan, der den Sasser-Virus entwickelt hat. Das hat der praktisch im Kinderzimmer gemacht. Und das werden wir leider jetzt auch bei dem sehen, was nach Stuxnet kommt. Es ist zweifellos möglich und es wird passieren, dass diese Angriffstechniken verpackt werden in Toolkits, wie sie von Hackern und den Autoren von Schadsoftware seit Jahren verwendet werden."
Den Einwand, für die Angriffe sei neben der Technik ja auch noch großes Fachwissen der Steueranlagen notwendig, entkräftet der Experte. Er erwartet nicht gezielte Sabotage, sondern Vandalismus.
"Wir werden beispielsweise sogenannte Denial-of-Service-Angriffe erleben, die völlig ungezielt sind und wo ich absolut null Insiderwissen haben muss. Und das können Sie sich so vorstellen, dass dann Schadcode eingebracht wird in solche Industriesteuerungen, die dann plötzlich irgendwann beispielsweise nachts um zwölf alle stehen bleiben. Dazu brauchen Sie kein Insiderwissen und das ist das große Problem, das wir momentan haben."
Ralph Langner hofft jedoch, die Unternehmen hätten ihre Lehren aus Stuxnet gezogen und würden nun ihre Anlagen sicher machen. Stuxnet an sich ist mehr oder weniger Geschichte. Doch eines hat der Trojaner gezeigt: Digitale Angriffe haben eine neue Qualität erreicht. Manch einer spricht gar vom Beginn des Cyberwars.