Bundesheer

• bundesheer.at
• karriere.bundesheer.at
• bmlv.gv.at

Startseite - Service - TRUPPENDIENST - Folge 320, Ausgabe 2/2011

STUXNET - Ein Cyber War Angriffsprogramm?

Die im Sommer 2010 bekannt gewordene Schadsoftware STUXNET könnte ein Angriffstool zur Sabotierung von großen Industrieanlagen im Rahmen eines mit Cybermitteln ausgetragen Konfliktes sein.

Staaten hängen von ihren strategischen Infrastrukturen ab. Im Informationszeitalter hängen diese strategischen Infrastrukturen entwickelter Länder von der Informations- und Kommunikationstechnologie (IKT) ab.

Strategische Infrastrukturen und Cyber War

Ein nachhaltiger Angriff auf die strategische IKT könnte Staaten zu politischen Zugeständnissen zwingen - soweit die Theorie zum Cyber War in Kurzfassung. Derzeit sind grundsätzlich zwei Möglichkeiten zur Realisierung solcher Angriffe denkbar: Einerseits durch Überlastung zentraler Server mittels z. B. verteilter Angriffe (Distributed Denial of Service/DDoS), wie sie 2007 gegen Estland und 2008 gegen Georgien beobachtet werden konnten. Andererseits könnten durch Angriffe gegen Steuerungsanlagen, z. B. von Atomkraftwerken oder anderen Industrieanlagen, Systeme sabotiert oder nachhaltig geschädigt werden. Das im Sommer 2010 bekannt gewordene Schadprogramm STUXNET könnte für einen solchen Zweck entwickelt worden sein.

STUXNET - Schadsoftware höchster Qualität

STUXNET ist eine professionell entwickelte Schadsoftware, die auf drei Ebenen von Technologien der Firma SIEMENS wirkt. Erstens auf die Programmierumgebung STEP7, zweitens auf die Kontrollumgebung WIN CC für aktive Steuerungen und drittens direkt auf die Programme (Programm¬able Logic Controller Code/PLC-Code) von zwei Steuerungen der Type SIMATIC S7 300 und 400 mit zwei spezifischen Prozessoren, die in diesen Steuerungen (PLC) auf Bestellung des Kunden verbaut werden.

STUXNET ist modular aufgebaut und kann zur Laufzeit (d. h. während ihrer Ausführung auf einem Rechner) aus der Ferne erweitert und gewartet werden. STUXNET prüft durch Aufruf der unverdächtigen Website der Firma Microsoft (windowsupdate.com), ob eine Internetverbindung besteht. STUXNET hat eine Callback Routine über die sich die Malware von infizierten Systemen, die mit dem Internet verbunden sind, mit der Website Mypremierfootbol.com/todayfotbol.com, verbindet. Diese Callback Routine ermöglicht unter anderem die zuvor angeführten Änderungen der Malware und der Schadfunktion. Zur Installation umgeht STUXNET die MS Windows Integritätsprüfung durch die Verwendung gefälschter Zertifikate des Multimedia Hardwareherstellers REALTEK (Taiwan). Die Integritätsprüfung selbst findet jedoch nur unter dem Betriebssystem Windows VISTA statt. Die Software besitzt bisher noch nicht gesehene Tarnmechanismen, um seine eigentliche Funktion, nämlich das Beeinflussen von Steuerungen zu verbergen.

Schadfunktion

Die Schadfunktion auf der Ebene der Programmierumgebung STEP7 wird durch Veränderung des PLC-Codes, der an die Steuerungen nach Fertigstellung des jeweiligen PLC-Programmes (PLC-Code) übergeben wird, erzielt. Die Wirkung auf die Command und Control-Ebene wird durch Falschdarstellung von Sensordaten der Steuerungen erzielt. Die Wirkung auf den Zielsystemen selbst durch Änderung von Programmcode der Steuerungen ist durch Bedien- und Administrationspersonal kaum bemerkbar. Es werden Sensordaten "verzerrt" von den Steu¬erungen selbst wiedergegeben, wodurch zum Beispiel Frequenzsteuerungen von Elektromotoren, und damit die Drehzahl, beeinflusst werden.

Verbreitungsmechanismen von STUXNET

Die Verbreitung erfolgte unter Ausnutzung von vier mittlerweile bekannten Sicherheitslücken im Microsoft Betriebssystemen (XP, VISTA, Windows 7). Drei davon wurden zum Zeitpunkt des Bekanntwerdens der Schadsoftware erkannt und gepatched. Eine davon war bis dahin unbekannt, ist aber mittlerweile behoben.

Die Verbreitung von STUXNET ist durch Ausnützung dieser Schwachstellen sowohl über das Internet als auch in lokalen Netzwerken (LAN) und über USB-Wechseldatenträger möglich. Es konnten daher auch völlig autarke Sys¬teme und Netzwerke, ohne Anschluss an weitere Netze und das Internet, befallen werden. STUXNET hat sich vor allem im Mittleren Osten, von Indien bis China, verbreitet. Der Verbreitungsgrad ist mittel bis hoch. Die Schadsoftware wird, seit diese bekannt ist, durch herkömmliche Antivirensoftware erkannt und beseitigt.

Entwickler - wer steckt dahinter und welches Ziel wurde verfolgt?

STUXNET wurde von einem gut ausgebildeten Team entwickelt, das über ausreichende Ressourcen wie Geld, einer Laborumgebung, wo die Zielsysteme aufgebaut wurden, Kenntnis der anzugreifenden Zielsysteme und Zeit verfügt haben muss. Die Identität und Herkunft der Programmierer sowie deren Auftraggeber sind bis dato unbekannt.

Das Angriffsziel von STUXNET ist bis heute ungeklärt. Alle Aussagen dazu sind rein spekulativ und noch nicht bewiesen.

Bedrohung durch STUXNET für das BMLVS

Unmittelbar sind für das Bundesministerium für Landesverteidigung und Sport (BMLVS) keine Bedrohungen ableitbar, da keine SIMATIC S7 300 und 400 Steuerungen mit den betroffenen Prozessoren in Betrieb sind.

Da viele Waffensysteme moderner Bauart mit Steuerungen gekoppelt sind (siehe Artillerierechnersysteme, Fliegersystem EF2000, Feuerleitsys¬teme Fliegerabwehr, Panzerkanonensteuerungen, Motorensteuerungen von modernen Gefechtsfahrzeugen und zivilen Fahrzeugen etc.) und diese Steuerungen upgedated und gewartet werden, sind Angriffe mit speziell entwickelter Malware auch auf militärische Waffen ableitbar.

Bedrohung für die nationale Sicherheit

Aufgrund der Vernetzung der nationalen Infrastrukturen ist davon auszugehen, dass mit solcher Schadsoftware jedes speicherprogrammierbare Steuerungssystem, auch jene, die nicht direkt mit dem Internet verbunden sind, angegriffen werden kann. Mit einem Schadcode für jede erdenkliche Industriesteuerung ist aufgrund der ungenügenden Absicherung von Steuerungen zu rechnen. Mittlerweile sind z. B. bereits Angriffe auf Stromzähler, die mit dem Internet verbunden sind, bekannt geworden.

Maßnahmen auf militärischer¬ und nationaler Ebene

Grundsätzlich sind die Hersteller von Steuerungen und deren Kunden über die möglichen Risken in der Entwicklung und den Einsatz von SPSS zu informieren. Die Entwicklung und Implementierung dieser Systeme sollte durch geeignete Organe der Republik streng kontrolliert werden. Technische und organisatorische Schutz- und Kontrollmechanismen für Steuerungen, die sich bereits im Betrieb befinden, sollten zur frühzeitigen Erkennung von Manipulationen installiert werden. Zu diesen Mechanismen könnten spezielle "Firewalls" für SCADA-Sys¬teme, Programmierumgebungen und Steuerungssysteme selbst, sowie die Prüfung der Konsistenz von Code auf solchen Systemen, zählen.

Im militärischen Umfeld müssen die oben angeführten Maßnahmen im Hinblick auf den Eigenschutz und den Beitrag zum Schutz der Republik beurteilt werden. Es ist die Frage zu diskutieren, wie sich das Militär vor solchen Angriffen schützen kann und daraus folgernd müssen Maßnahmen zum Eigenschutz ergriffen werden. Durch die Etablierung eines militärischen Computer Emergency Response Team (milCERT) könnte durch Optimierung der Prävention und Koordinierung der Gegenmaßnahmen (Reaktionen) der Wirkung derartiger, bösartiger Software entgegengewirkt werden. Weiters ist abzuleiten, welcher Beitrag zur Abwehr solcher Bedrohungen und zur Hintanhaltung von Schäden für die Republik geleistet werden kann.

Auf nationaler Ebene sollten geeignete Beratungs- und Prüforgane aufgebaut sowie Normen zur sicheren Implementierung von Steuerungen für besonders wichtige (im Sinne der Infrastrukturvernetzung), besonders gefährliche (im Sinne der Produktion wie Gas, Öl, Chemie usw.) und besonders gefährdete (im Sinne der Erzeugung von Steuerungen, aber auch der Angreifbarkeit) Unternehmen entwickelt werden.

---

Abwehramt/IKT-Sicherheit