Simatic WinCC

Trojaner bedroht Scada-Systeme von Siemens

Derzeit führt Siemens zusammen mit Sicherheitsexperten eine Analyse der aufgetretenen Malware durch, deren Aktivierung durch Betrachten der infizierten Inhalte erfolgt. Laut Siemens sind weltweit zwei Fälle bekannt, bei denen WinCC-Rechner befallen wurden, davon einer in Deutschland. Dabei infizierte das Virus die Engineering-Umgebung eines Systemintegrators. Produktionsanlagen sind bisher nicht betroffen (Stand: 23. Juli). Bis jetzt gibt es keine Hinweise dafür, dass sich das Virus auch auf die Anlagensteuerungen auswirkt.

Das Stuxnet-Virus nutzt eine Sicherheitslücke in Microsoft-Windows. Betroffen sind Betriebssysteme von XP an aufwärts. Die Malware erkennt sowohl WinCC- als auch PCS-7-Programme und deren Daten und kann mit Webseiten/Servern Kontakt aufnehmen und kommunizieren. Tests mit infizierten Rechnern zeigen, dass die Software in der Lage wäre, Daten wie Prozess- und Produktionsdaten bis hin zu Rezepturen zu versenden. Die Verbindungen werden momentan allerdings nicht aufgebaut, da die Kommunikationspartner/Zielserver inaktiv sind. Inwiefern das Virus in der Lage ist, Daten zu löschen oder Systemdateien zu verändern, wird untersucht.

Microsoft wird ein Update (Patch) anbieten, das die Sicherheitslücke an der USB-Schnittstelle schließt. Lieferanten von Virenscannern haben aktuelle Virensignaturen erstellt, mit denen ihre Tools den Virus erkennen und beseitigen können. Siemens hat auf ihrer Homepage ein Tool der Firma Trend-Micro zum Erkennen und Entfernen des Virus bereitgestellt. Zudem ist ein Simatic Security Update mit allen notwendigen Funktionen verfügbar.

Weiterführende Links:

• Siemens-Advisory zu Stuxnet (extern)