Kriegsgebiet für IT-Security

Als einer der weltweit erfolgreichsten Wirtschaftszweige wurde vor kurzem der Drogenhandel von den dunklen Geschäften in der Informationstechnologie abgelöst. Botnets, Datendiebstahl und Indentitätsklau haben Kokain und Heroin auf dem unrühmlichen Podest der gewinnträchtigsten Produkte abgelöst. Heute wird mit Cybercrime mehr Geld als im Drogenhandel umgesetzt. Alleine das Suchtverhalten ist im Drogenumfeld noch größer.

Die romantische Zeit, als Cybercrime noch in den Kinderschuhen respektive den Sportschuhen von programmierwütigen Schülern und Studenten steckte, ist längst vorbei. Anhand der Marktpreise für Kreditkartendaten lässt sich mittlerweile erkennen, welche Größe der Schwarzmarkt angenommen hat, berichtet Symantec-Experte Carsten Hoffmann. Lediglich ein bis zwei Euro lassen sich noch mit einer validen Kreditkartenidentität in den einschlägigen Marktplätzen, in den geheimen Foren unaufhörlich den Standort wechselnder Server, erzielen. Auch die Durchschnittspreise für unentdeckte Schwachstellen in Programmen wie Microsofts Internet Explorer gehen stark zurück. Der Markt ist gesättigt. Für Marktbeobachter wie Hoffmann ist dennoch das Ende der Fahnenstange nicht erreicht. Die Hackerszene hat eine neue Einkommensquelle entdeckt: die Industrie.

9/11 für Automatisierung

Am 13. Juli 2010 wurde der Iran von einer bislang nicht dagewesen Cyberattacke getroffen. Der Wurm Stuxnet suchte landesweit nach industriellen Steuersystemen und änderte den Code in diesen Systemen so, dass Angreifer von den Betreibern unbemerkt die Kontrolle übernehmen konnten. Stuxnet ist ein völlig neuartiger Computervirus – sowohl was seine Funktionsweise als auch was seine Entstehung betrifft. Er ist der erste Computervirus, der verheerende Schäden in der realen Welt verursachen kann. »Aufgrund seiner Komplexität und des finanziellen Aufwands sind nur wenige Gruppen in der Lage, diese Art von Bedrohung zu entwickeln. Stuxnet ist zudem der erste Cyberangriff, der gezielt industrielle Steuersysteme befällt«, berichtet Hoffmann.

Der Wurm besteht aus einem komplexen Computercode, dessen Entwicklung ein hohes Maß an Fachkenntnissen erfordert. In diesem neuen Bedrohungsszenario können Anlagen jeder Art betroffen werden, sei es in Produktionsstätten von Unternehmen, aber auch Kraftwerken. Der Virus griff im Iran kritische Infrastruktur an, die auf dem weltweit verbreiteten Siemens Steuerungssystem »S7-300« basiert. »Es kommt überall dort in Anlagen zum Einsatz, wo etwas geregelt wird – wo Ventile auf- und zugehen, Komponenten gedreht und bewegt werden«, erklärt Hoffmann. Dies könne von Backmischungen in einer Großbäckerei bis hin zu Zentrifugen für die Uranaufbereitung gehen. Letzteres, wird gemunkelt, könnte auch ein wesentliches Ziel bei Attacken im Juli gewesen sein. Manch einer vermutet sogar geheimdienstliche Aktivitäten hinter der Aktion. Alleine das Befallsrisiko von Anlagen in Fabriken sowie Rückmeldungen zu erfolgreichen Manipulationen könnten wertvollen Aufschluss über die Art der installierten Systeme geben. Im Falle des Iran, der verdächtigt wird, eine aggressivere Rolle im atomaren Wettrüsten einzunehmen, als er zugibt, ist Stuxnet möglicherweise ein wirksames Spionageinstrument.

Sicherheitsexperten gehen davon aus, dass fünf bis zehn Programmierer sechs Monate lang an dem Projekt gearbeitet haben. Ausgenützt wurden gleichzeitig mehrere Schwachstellen in Windowssystemen. „Dass vier Angriffspunkte gleichzeitig genutzt wurden, war noch nie da“, wirft Hoffmann ein. Darüber hinaus mussten die Angreifer auch über exakte Kenntnisse der industriellen Steuersysteme verfügen sowie Zugriff auf diese Systeme für Qualitätsprüfungen haben. Sogar gestohlene Echtheitszertifikate, sogenannte Signaturen, wurden dabei verwendet, um eine Validität der eingeschleusten Codes zu beweisen. Ein weiterer Hinweis darauf, dass es sich um ein professionell organisiertes und gut finanziertes Projekt handelte.

Quod erat demonstrandum

Lange war nicht klar, was Stuxnet eigentlich macht. Der Virus ging nach dem Einschleusen in die industriellen Systeme zunächst in einen Schläfermodus. Sicherheitsexperten simulierten die Anlagenumgebung mit gleichen Bauteilen im Labor, um das Verhalten des Schadcodes studieren zu können. Was sie herausfanden, war überraschend: Stuxnet wurde lediglich in einem einzigen Setting aktiv, wenn in einer Rotationsbewegung einer bestimmten Anlage eine vorgegebene Drehzahl erreicht wurde. Der Virus begann daraufhin, diese Drehzahl zu manipulieren, er veränderte sie etwas. Mehr passierte nicht. Stuxnet wurde nicht geschrieben, um Fabriken lahmzulegen oder Kraftwerke in die Luft zu jagen, sondern um einen Beweis zu erbringen: das unbemerkte Zugreifen auf Steuerungsanlagen in der Industrie und eine gezielte Sabotage ist möglich. Quod erat demonstrandum, wie die Mathematiker sagen – was zu beweisen war.

Stuxnet wurde weltweit verbreitet, nicht nur im Iran, doch wurde er lediglich an zwei Standorten scharf, fanden die Experten heraus. Zielgebiet der Attacke waren ein iranisches Unternehmen sowie eine Firma in Finnland. Dennoch, so vermutet Hoffmann, müsse man daraus nicht schließen, dass der Outbreak ausschließlich auf die Anlagen dieser beiden Firmen gerichtet war. Die Hacker hätten schließlich auch die Möglichkeit gehabt, gezielter und damit völlig unter der Wahrnehmungsschwelle vorzugehen. Im Stuxnet-Code war dagegen sogar eine Updatefunktion eingebaut, wie sie bei herkömmlicher Software – Betriebssysteme oder Applikationen – üblich ist. Spätestens beim ersten Updatevorgang, wenn eine solche Software eine Verbindung mit einem Server außerhalb einer Firewall aufnehmen möchte, geht im Normalfall ein Alarm im firmeneigenen IT-Security-Setting los.

Stuxnet war ein Testlauf für die Cybercrime-Branche, folgert Hoffmann. Bis zum 13. Juli waren Angriffe auf Industrieumgebungen lediglich eine theoretische Gefahr. Nun wurde mit diesem Proof-of-concept der Beweis erbracht, dass sich die Wirtschaft auch am Fabriksgelände warm anziehen muss. Denn: es müssen nicht immer gleich Kraftwerke, Stromnetze oder etwa Gleisanlagen sein, die nun besonders geschützt werden sollten. Für jedes Unternehmen sind die eigenen Produktionsprozesse kritische Infrastruktur. Wer seine Anlagen nicht schützt, macht sich angreifbar und damit erpressbar. Lukrative Aussichten für Kriminelle: Angegriffene Unternehmen werden möglicherweise eher eine geforderte Geldsumme überweisen, als Millionenschäden im Produktionsprozess in Kauf nehmen zu müssen. Die Büchse der Pandora ist geöffnet.

Bewusstsein für Gefahr

Einer Studie von Symantec zufolge sind Anbieter von kritischer Infrastruktur bereits seit längerem ein beliebtes Ziel von Cyberkriminellen. Insgesamt 53 Prozent von weltweit befragten Unternehmen unterschiedlichster Größe sahen sich bereits Cyberattacken ausgesetzt, die ein bestimmtes politisches Ziel verfolgten. Die betroffenen Firmen berichteten im Schnitt von zehn Übergriffen in den letzten fünf Jahren, die bislang vor allem Webplattformen und windows- oder linuxbasierte Server und Netzwerke betrafen. Weltweit zeigt sich die große Mehrheit der Studienteilnehmer überzeugt, dass die Häufigkeit solcher Angriffe zunehmen wird. Nur rund ein Drittel der Betreiber kritischer Infrastruktur fühlt sich auf Cyberangriffe aller Art vorbereitet. Als Bereiche mit dem größten Verbesserungspotenzial nannten die Teilnehmer der Studie Sicherheitstrainings, Endpoint-Security-Maßnahmen, Sicherheits-Audits sowie ein höheres Bewusstsein und eine bessere Kenntnis der Gefahrenlage seitens des Managements.

 

>> Höchste Sicherheit:

Die Anforderungen im Securitybereich werden aufgrund verschiedenartiger Attacken und der zunehmenden Verbreitung von Endgeräten, die an Netzwerke angeschlossen werden, immer komplexer. Die Netzwerksicherheit hat für Unternehmen oberste Priorität. IT-Dienstleister müssen eine hohe Expertise bei der Integration von Lösungen vorweisen, um auf diese Anforderung kundengerecht reagieren zu können.

Diamond Informatics mit Sitz in Wiener Neustadt ist das erste österreichische Unternehmen, das den höchsten Zertifizierungs- und Spezialisierungsgrad des Netzwerkherstellers Cisco erworben hat. Mit der vor kurzem erhaltenen »Master Security«-Spezialisierung steht den Diamond-Kunden nun eine hohe Sicherheitsexpertise im Bereich der Integration von Technologielösungen und der Umsetzung von Lifecycle Services zur Verfügung. Weltweit besitzen nur knapp ein Dutzend Unternehmen die heiß begehrte Zertifizierung.
»Mit der Master Security-Spezialisierung setzen wir uns gegenüber unserem Mitbewerb klar ab und verfolgen damit unsere strategische Weiterentwicklung«, sagt Hans-Peter Planer, General Manager der Diamond Informatics.

Um die Spezialisierung zu erhalten, musste Diamond Informatics umfangreiche Vertriebs-, Technik- und Servicekompetenzen beweisen. Damit wird sichergestellt, dass das IT-Unternehmen die vielfältigen Anforderungen der Kunden erfüllen kann. Abschließend wurde im August 2009 ein externes Audit durchgeführt. »Die Cisco Zertifizierung bestätigt unseren Kunden, dass wir mit den Anforderungen des Sicherheitsmarktes umgehen können«, so Planer.

 

>> Das angegriffene Industriesystem:

Angriffspunkt für die Stuxnet-Attacke vom vergangenen Juli war eine Steuerungssystem namens »SIMATIC S7-300«. Das System von Siemens wurde speziell für Lösungen in der Fertigungsindustrie konzipiert, etwa in der Automobil- oder Verpackungsindustrie. Schutz ist dennoch möglich: Neben Automatisierungsfunktionen lässt sich im Controller auch Sicherheitstechnik integrieren. Hinter industriellen Automatisierungslösungen wie dieser sind meist Windowssysteme in Betrieb. Diese wiederum sind angreifbar für »gängige« Schadcodes aus der Cybercrime-Szene.

Natürlich ist nicht alleine die Siemens-Lösung angreifbar für Schadcodes. Automatisierungsprodukte aller Hersteller müssen künftig bestmöglich vor Angriffen abgesichert werden.