Wurm im Werk

Digitale Schädlinge wie Stuxnet oder Duqu können ganze Produktionsstraßen lahmlegen und der zunehmend vernetzten Industrie Millionenverluste bescheren.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 7 Min.
Von
  • Claudia Wessling

Digitale Schädlinge wie Stuxnet oder Duqu können ganze Produktionsstraßen lahmlegen und der zunehmend vernetzten Industrie Millionenverluste bescheren.

Herr M. hätte gewarnt sein können: 2001 wurde im australischen Bundesstaat Queensland ein 49-Jähriger zu einer Haftstrafe verurteilt, weil es ihm gelungen war, sich in die Steuerung einer Kläranlage einzuhacken und Millionen Liter ungeklärten Schlamms in die Umwelt zu entlassen. 2005 drang der Wurm Zotob zeitgleich in die Rechner von 175 Unternehmen ein. 13 Werke von DaimlerChrysler mussten die Produktion für eine Stunde unterbrechen, 50000 Arbeiter hatten nichts zu tun.

Herr M. war aber nicht gewarnt. Um sich die Nachtschicht an der Autoproduktionsstraße mit etwas Musik angenehmer zu machen, steckte der Monteur seinen USB-Stick in den Kontrollrechner – mit fatalen Folgen: Ein Computerwurm auf dem Stick verbreitete sich in Windeseile im Netzwerk der Industrieanlage und verrichtete sein zerstörerisches Werk. Die Systemlast stieg derart, dass die Anlage ihren eigentlichen Aufgaben – dem Auswerten von Messungen und dem Senden der für die Montage nötigen Steuerbefehle – nicht mehr nachkam. Um den Fehler zu beheben, musste der große deutsche Autohersteller die Produktionsstraße komplett anhalten. Ein ganzes Wochenende standen die Montageroboter still, eine Katastrophe für einen scharf kalkulierenden Industriebetrieb.

Computer und Vernetzung haben den produzierenden Unternehmen enorme Vorteile gebracht: Verknüpfungen von Logistik-Software mit der Anlagensteuerung erlauben, den Output bedarfsgerecht anzupassen; Fernwartung über das Internet spart teure Sonderschichten im Werk. Sogenannte SCADA-Anlagen (Supervisory Control and Data Acquisition) steuern den Bau von Autos, sensible Prozesse etwa in der Pharma- oder Lebensmittelindustrie und sogar Computertomografen in Krankenhäusern. Lange galten die SCADA-Programme als unverwundbar. Niemand glaubte, dass es möglich wäre, die speziellen, für jedes Unternehmen maßgeschneiderten Softwaresysteme zu hacken. Doch spätestens seit vor zwei Jahren der berüchtigte Computerwurm Stuxnet in einer Atomanlage im Iran schwere Schäden anrichtete, ist klar: Auch diese Systeme sind angreifbar.

Den SCADA-Anlagen drohten aus dem virtuellen Raum derzeit "die größten Gefahren", warnt Michael Waidner, Experte für IT-Sicherheit am Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt. Sicherheits-Updates seien bei den als abgekoppelte Insellösungen konzipierten Systemen, die mehrere Jahrzehnte ununterbrochen laufen sollen, oft nicht vorgesehen. Durch die Anbindung an den Büro- oder Buchhaltungsbereich habe man nun jedoch "ganz neue Angriffsvektoren geschaffen". Seit Stuxnet häufen sich in Waidners Büro die Anfragen nach Schutzmöglichkeiten: "Die produzierende Industrie rennt uns fast die Bude ein."

Die Angreifer von heute sind gefährlicher denn je. Sie verfügen teils über erhebliche Finanzmittel und mitunter auch über geheimdienstliches Wissen. Auf Schwarzmärkten im Netz beschaffen sie sich sogenannte "Zero Day Exploits", Informationen über bislang unbekannte Software-Lücken in verbreiteten Betriebssystemen oder Büroanwendungen. Einmal bis zur Anlagensteuerung vorgedrungen, können sie die Produktionsprozesse stilllegen – oder auch subtiler vorgehen: Es wäre zum Beispiel denkbar, dass ein Schadprogramm die Schweißzeiten für eine Autokarosserie verändert; und zwar so, dass am Ende die nötige Stabilität nicht mehr gegeben ist, erläutert Holger Junker, Experte für den Schutz kritischer IT-Systeme beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn.

Nach Stuxnet sind weitere komplexe Schädlinge bekannt geworden: Der Trojaner Duqu ist auf das Stehlen von Daten getrimmt, die für Angriffe auf Industrieanlagen nützlich sein könnten. Die Malware Flame, die Windows-Rechner attackiert, wurde nach bisherigen Erkenntnissen für gezielte Cyberspionage in Nahost entwickelt. Angesichts der auf mehrere Millionen Dollar geschätzten Programmierkosten drohen den Unternehmen heutzutage Gefahren aber eher noch von anderer Seite: "Mitunter kann schon ein aus dem Office-Bereich in die Produktionsanlage gewanderter, äußerst trivialer Schadcode erheblichen Ärger anrichten", sagt Lars Kroll, Sicherheitsexperte bei Symantec.

In Deutschland versuchten die Täter vor allem, "innovatives technisches Know-how abzugreifen", sagt BSI-Experte Junker. Die Gefahr erstrecke sich auf alle Branchen: In der chemischen und der Lebensmittelindustrie beispielsweise gehe es darum, an Rezepturen zu gelangen. Im hochspezialisierten Maschinen- und Anlagenbau könnten Cyberspione versuchen, geheime Baupläne einzusehen. In einer Umfrage des Hightechverbands Bitkom räumten kürzlich mehr als 300 von 800 befragten Unternehmen ein, bereits Cyberangriffe auf ihre Computersysteme erlebt zu haben. Nicht nur Großunternehmen sind gefährdet: Ende 2011 verzeichnete Symantec wöchentlich 82 Angriffe auf Mittelständler. Die kleineren Firmen sind beim Thema IT-Schutz sorgloser, obwohl es auch bei ihnen wertvolles Know-how zu stehlen gibt. Als Zulieferer bieten sie zudem einen idealen Ausgangsort für Cyberattacken auf die Großindustrie, analysiert der Virenschutz-Hersteller in einer aktuellen Untersuchung. Die Folgekosten einer erfolgreichen Attacke – für Ermittlungen, das Wiedergutmachen des Reputationsverlustes oder Investitionen in Schutztechnologie – schätzt das auf IT-Analyse spezialisierte US-Institut Ponemon hierzulande auf rund 250.000 Euro.

Angesichts dieser Zahlen ist es umso erschreckender, dass gerade in der industriellen Produktion manche Hersteller erst allmählich erkennen, wie gefährlich es ist, wenn jeder Mitarbeiter Administratorenrechte für den Steuerungsrechner besitzt. "Leider ist es auch heute in einigen Industriebetrieben noch normal, dass da Windows-Systeme ohne Sicherheits-Updates laufen und selbst ein trivialer Virenschutz fehlt", sagt Symantec-Mitarbeiter Kroll. Zwar hätten viele Firmen nach Stuxnet die Computersicherheit zur Chefsache gemacht, aber "man wundert sich schon, wie zäh manche Projekte vorankommen".

Einfache Lösungen und absolute Sicherheit gibt es für die Industrie nicht, da sind sich die Experten einig. Die Virenschutz-Hersteller sehen sich vor allem durch die immer gezielteren Angriffe herausgefordert, die kryptografisch verschlüsselt sind und damit ihre eigene Spur verwischen. Solche Schädlinge, die oft nur einzelne Rechner befallen und dann gleich mutieren, lassen sich mit gängigen Analysetools nicht mehr entdecken. Als mögliche Abwehrmethode empfiehlt Kroll die sogenannte Systemhärtung: "Ich sage dem Industrierechner, was er üblicherweise machen soll. Wenn dann ein Schadcode über eine Schwachstelle eindringt und einen unüblichen Prozess starten will, sorgt das System selbst für einen Stopp." Insgesamt sollten die Unternehmensausgaben für IT-Sicherheit aus Sicht von Fachleuten rund 10 bis 20 Prozent der Aufwendungen für Hard- und Software betragen. Sie fordern außerdem, bei der Entwicklung neuer Maschinen und Programme auf "Security by Design" zu achten, also von vornherein Sicherheitsaspekte mit zu berücksichtigen. Im Bereich der SCADA-Systeme sei man davon allerdings noch weit entfernt, sagt Kroll.

Den Behörden bereitet es darüber hinaus Sorgen, dass viele Unternehmen Angriffe auf ihre Computersysteme weiterhin nur zögerlich melden. Die Bedrohungslage sei nach wie vor höchst kritisch, die Bereitschaft der Wirtschaft zur Mitarbeit bei deren Bewältigung allerdings "verbesserungswürdig", formulierte es kürzlich Bundesinnenminister Hans-Peter Friedrich (CSU). Der Minister führt derzeit Gespräche in verschiedenen Branchen. Danach will er entscheiden, ob Unternehmen nicht doch durch ein Gesetz zu mehr IT-Sicherheit gezwungen werden müssen. (bsc)