Das von Innominate entwickelte Integrity-Monitoring hätte laut Rössel Stuxnet-Infektionen sofort entdeckt und Anwender umgehend alarmiert.

Herr Rössel, bislang werden Security-Maßnahmen gerne als lästig und übertriebener Aufwand angesehen. Hat Stuxnet die Branche wachgerüttelt?

Rössel: Der Effekt ist schon zu beobachten. Stuxnet hat Betreibern gezeigt, dass gezielte Malware-Angriffe auf industrielle Anlagen und kritische Infrastrukturen keine Sciencefiction sind. Auch Steuerungsanbieter, die vom Stuxnet-Wurm nicht unmittelbar betroffen waren, haben Grund zur Sorge. Viele ihrer Produkte weisen ähnliche Verwundbarkeiten auf, wie sie der Stuxnet-Wurm genutzt hat.

Der Wurm greift gezielt eine bestimmte Anlagenkategorie an. Konnte die inzwischen näher eingegrenzt oder sogar lokalisiert werden?

Rössel: Bei der Verbreitung auf Windows-PCs ist der Wurm nicht wählerisch. Erst beim Versuch über die infizierten PCs auch Steuerungen zu manipulieren, scheint er ein genau definiertes Ziel im Visier zu haben. Bislang vermutet die Security-Community, dass Stuxnet vorrangig Anlagen des iranischen Atomprogramms treffen sollte. Mir sind auch Aussagen bekannt, wonach in den USA – möglicherweise unbeabsichtigt – Anlagen durch Stuxnet infiziert und auch beschädigt wurden.

Der Wurm kann sich praktisch frei zwischen Rechnern und Steuerungen bewegen. Wie schwierig ist es für Anwender, den Wurm restlos aus einer Anlage oder gar einem Fertigungsstandort zu eliminieren?

Rössel: Bestehende Infektionen von PCs lassen sich mit aktuellen Virenscannern identifizieren und bereinigen. Größere Mengen tatsächlich oder potenziell infizierter Steuerungen zu überprüfen und durch Einspielen „sauberer“ Projekt-Backups zu bereinigen, bedarf allerdings einer konzertierten Aktion. Beispielswiese müssen unbefugte Projektierungszugriffe auf die Steuerungen durch Netzwerktrennung oder mithilfe von Firewalls unterbunden werden.

Wie groß ist die Gefahr, dass Stuxnet-Mutationen auftauchen, die nicht so genau zwischen Freund und Feind unterscheiden oder die Steuerungen anderer Hersteller attackieren? Lässt sich der Wurm leicht nachbauen?

Rössel: Diese Gefahr ist sehr real. Stuxnet ist für jeden über das Internet erhältlich und liefert die Blaupause für einen erfolgreichen Angriff. Bei einer identischen Nutzung der Verbreitungsmechanismen ist die Wirksamkeit zwar durch die aktuellen Security-Updates abgeschwächt, Mutationen würden aber immer noch auf viele ungeschützte Systeme treffen.

Lieferanten verbieten Anwendern teilweise eine Firewall oder einen Virenschutz auf ihren Maschinen- und Anlagen zu installieren. Ist das nicht fahrlässig?

Rössel: Was die lokale Installation zusätzlicher Security-Software auf den Embedded-PCs einer Maschine betrifft, sind solche Verbote nachvollziehbar. Solche Komponenten haben mitunter bei einem Angriff oder sogar von sich aus unerwünschte Nebenwirkungen auf die Verfügbarkeit einer Maschine. Ohnehin gewinnen aufgrund der generellen Probleme mit Antiviren-Software und der rechtzeitigen Bereitstellung von Virensignaturen alternative Verfahren im industriellen Umfeld an Bedeutung.

Welche Abwehrmaßnahmen schlagen Sie vor?

Rössel: Das Institut für industrielle IT der Hochschule Ostwestfalen-Lippe konnte in einem Test verifizieren, dass das von Innominate entwickelte mGuard Integrity-Monitoring eine Infektion mit Stuxnet bereits am Tag Null als unerwartete Manipulation erkannt hätte – lange vor allen Antivirus-Produkten. Dieses Verfahren braucht keine ständige Aktualisierung von Signaturen und keine Software-Installation.

Zudem ist die in diesen Geräten enthaltene Firewall mit Benutzer-Authentisierung ein sehr wirkungsvolles Mittel, um Manipulationen an Steuerungen durch unbefugte Projektierungszugriffe und auch das Versenden ausspionierter Daten an Control&Command-Server im Internet zu unterbinden. Während Technologien wie Whitelisting oder Intrusion-Prevention eher kommenden Generationen von Automatisierungsgeräten vorbehalten sein werden, eignen sich Integrity-Monitoring und Firewalls auch zur Nachrüstung.