Willkommen im Cyberkrieg

Frank Rieger hat anschaulich und ausführlich mit einer interessanten Indizienkette in der FAZ erklärt, dass man mit dem sogenannten Stuxnet-Virus gerade wohl den ersten richtigen digitalen Angriff gesehen hat und das Ziel wahrscheinlich die iranischen Atomanlagen waren: Der digitale Erstschlag ist erfolgt.

Fieberhaft arbeiten die besten Sicherheitsexperten der Welt an der Analyse eines völlig neuartigen Computervirus. Jetzt legen erste Indizien einen erstaunlichen Verdacht nahe: Offenbar hat die digitale Waffe das iranische Atomprogramm sabotiert. Wenn das zutrifft, kann von nun an keine Industrieanlage der Welt mehr als sicher gelten.

Wer den Artikel nicht lesen möchte, wird aber dadurch aber trotzdem etwas unruhig:

Die von den deutschen Energieversorgern dieser Tage vorgebrachten Beteuerungen, ihre Atomkraftwerke könnten auf keinen Fall durch einen Angriff in der Art von stuxnet manipuliert und mit möglicherweise katastrophalen Folgen konfrontiert werden, erscheinen angesichts der Qualität und Durchschlagskraft dieses Trojaners wie das Pfeifen im Walde. Die Kriterien zur Beurteilung der Sicherheit von Atomanlagen können sich zukünftig jedenfalls nicht mehr nur auf die Dicke von Betonhüllen und Tests der Elektrik beschränken.

In seinem Blog erzählt er die Geschichte nochmal in englisch und etwas mehr IT-Sprache.

18 Ergänzungen

  1. Blöde Frage dazu:

    Welcher Hirni schließt den kritische Infrastruktur wie Atomkraftwerke an ein öffentlich erreichbares Netz?!?

    Die Dinger gehören auch bzgl. der IT hermetisch abgeschirmt!

  2. @Geralt:

    Wie im Artikel erläutert wird (und nicht nur in diesem), verbreitet sich stuxnet vor allem via USB-Stick. Die einzige Handlung, die der User dafür durchführen muss, ist es, denn Stick an einen Computer mit Windows zu stecken. Alles andere erledigt sich dann von selbst…
    Insofern nützt es auch nichts, wenn die Infrastruktur an überhaupt kein Netz angeschlossen wäre, solange sich nur jemand findet, der a) dumm genug ist, USB-Stick ohne Kontrolle und mit zu viel Vertrauen anzuschließen oder b) dies mit Absicht tut, weil er eben jene Folgen bewirken will.

    1. Stimmt, er verbreitet sich wohl vor allem über USB-Sticks. Tut mir leid, ich hätte den Artikel richtig lesen müssen vor dem Kommentieren hier O:-)

      An der grundsätzlichen Aussage ändert sich aber nichts: Warum können da überhaupt externe Geräte angeschlossen werden?

  3. Ein interessanter Artikel, aber zum Teil nicht nachvollziehbar. Vor allem der Bezug von stuxnet auf das iranische Atomprogramm erscheint mir sehr spekulativ zu sein. So wie ich das verstanden habe, ist die Verknüpfung „stuxnet scheint es auf Industrieanlagen abgesehen zu haben“ und „er sollte Anfang 2009 aufhören, einige Monate später war die Urananreicherung im Iran reduziert“.
    Zusätzlich äußert in den Leserkommentaren jemand den Einwand („Ein schlechter Artikel der mit vielen Fehlern behaftet ist!“ von Ralf Sträter (Ralf1969)), dass die beschriebene Vorgehensweise bei Urananlagen nicht funktioniere, da höhere Sicherheitsansprüche an die Bauteile gestellt werden und sowas nicht möglich ist. Leider kann ich als auf diesem Gebiet Unwissender das nicht einschätzen, in wie weit der Kommentar stimmt.

    Auf jeden Fall bin ich mir sicher, wäre das „im Internet“ veröffentlicht worden, wäre überall nur „das Internet und seine Verschwörungstheorien“ belächelt worden. So wirklich seriös erscheint mir dieser Artikel aber auch nicht unbedingt, das scheint eher wie so viele technischen Themen in Printmedien (Fachzeitschriften ausgenommen) eher eine Art Halbwissen zu sein. Hauptsache, man hat mal was gesagt und den Leuten Angst gemacht.

    Ach ja: Dass sich kein Computersystem 100% schützen lässt, sollte wohl hier jedem klar sein.

  4. Mir fällt dazu wenig anderes ein als:

    Wenn der Iran zuläßt, daß die Reaktor-Regelsysteme mit dem InterNet verbunden sind, oder daß Mitarbeiter USB Sticks oder andere Datenträger mit in die entsprechenden Gebäude nehmen können .. und die Computer dort, welche mit den Regelsystemen verbunden sind, überhaupt zugängliche USB Ports etc. haben … dann haben sie es nicht anders verdient.

  5. Die Kriterien zur Beurteilung der Sicherheit von Atomanlagen können sich zukünftig jedenfalls nicht mehr nur auf die Dicke von Betonhüllen und Tests der Elektrik beschränken.

    Welche Softwaretests für Atomkraftwerke durchgeführt werden, ist dem Autor wohl entgangen. Ziemlich leeres Geschwafel.

  6. @4. Jens: was ist denn nicht nachvollziehbar? du hast das nur falsch verstanden, er sollte anfang 2009 aufhören sich zu reproduzieren und dann seine wirkung entfalten, nicht komplett seine aktivitäten einstellen. ;)

    5. Valynor: nix mit dem internet verbunden, im artikel steht, dass einige informationen zur erstellung von stuxnet von agenten oder aussteigern beschafft worden sein müssen, und auf eben diesem wege werden sie auch in die systeme gekommen sein – in dieser grössenordnung denkend, werden auch die „höheren sicherheitsansprüche die an die bauteile von urananlagen gestellt werden“ umgangen werden können, da ja extra auf diese bauteile abgestimmt. but who knows. ;)

  7. … die Schlussfolgerung von Frank Rieger mit den iranischen Atomanlagen ist natürlich nur eine Vermutung … und doch sprechen eiinge Indizien durchaus für ein solches Ziel. Trotzdem bleiben noch viele offene Fragen. Für die technisch Versierten unter uns empfehle ich den Artikel vom Symantec-Mitarbeiter Nicolas Falliere

    http://www.symantec.com/connect/blogs/exploring-stuxnet-s-plc-infection-process

    Er gibt einige Hintergrundinfos aus deren Analyse. Ein Whitepaper zu stuxnet wird am 29. September auf der Virus Bulletin Conference in Vancover veröffentlicht.

    Der Wurm zielt auf Steuerungen die in sehr vielen Industrieanlagen eingesetzt wird … von der Lackierstraße über Presswerke, Chemieanlage bis hin zu Atomkraftwerken und der erwähnten Urananreicherungen. Jeder, der mit solchen SPS-Steuerungen zu tun hat weiss, dass die Nutzung von USB-Sticks für Backups oder zum Einspielen von Updates oft ein notwendiges Übel ist. Mit einem einfachen „unsere Anlagen sind natürlich sicher“ kann sich derzeit keiner aus der Verantwortung stehlen. Kein Atomkraftwerksbetreiber, kein Chemiekonzern, keine Ölraffinerie und kein Pharmaunternehmen ist per se vor solch einem Angriff sicher.

  8. @Geralt: Du musst die Leitstands-Rechner und die SPS-Steuerungen ja irgendwie konfigurieren und die Steuerungsprogramme aufspielen. Dazu muss man notgedrungen die gegebenenfalls sogar hermetisch abgeriegelten Rechner und Steuerungen mit Programmiergeräten (heutzutage zur Programmierung der betroffenen Siemens-S7-SPS Steuerungen laufen diese ebenfalls unter Windows) verbinden oder eben die Daten via USB-Stick aufspielen.
    Wichtig ist ja auch zu verstehen, dass die Entwickler von stuxnet sich mehrerer Verbreitungsmechanismen bedient haben. So sorgten sie auch dafür, dass ein infizierter Rechner innerhalb eines hermetisch abgeriegelten Netzwerks andere Rechner unbemerkt befallen konnte. Sogar die Peer2Peer-Verbreitung von aktualisierter Versionen des Trojaners wurden implementiert.
    Bisher hätte man das eher für einen guten Cyber-Krimi von William Gibson gehalten …

  9. mein bruder macht momentan eine ausbildung zum it-kaufmann in einem großen kkw.

    was ich so mitbekommen habe, hat das komplette kraftwerk keine direkte verbindung in öffentliche netze, sondern alles was externe kommunikation braucht wie emails, kommt aus einem zentralen RWE-rechenzentrum.

    dazu sind die rechner in den reaktor-steueranlagen physikalisch vom rest des kraftwerks getrennt.

  10. Lieber Markus,
    zeugt es nur in meinen Augen von schlechtem Stil, wenn Du bei Knowledge brings Fear unter einem in Englisch gehaltenen Beitrag Deinen (ungekürzten) Trackback setzt? Für das bisschen Verlinken und Wiederkäuen? Irritierend und etwas enttäuschend.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.