Stuxnet in deutschen Industrieanlagen
Laut Siemens entfällt rund ein Drittel der 15 dem Hersteller bekannten Infektionen auf deutsche Anlagen in der Prozessindustrie. Stuxnet wird jedoch nur auf bestimmten Anlagenarten aktiv. Angaben dazu, welche Typen betroffen sind, macht Siemens nicht.
- Daniel Bachfeld
Nach Angaben von Siemens hat der Stuxnet-Wurm auch Industrieanlagen in Deutschland befallen. Rund ein Drittel der 15 dem Hersteller bekannten Infektionen in Anlagen entfallen laut Wieland Simon, Pressesprecher von Siemens, auf deutsche Anlagen in der Prozessindustrie. Siemens-eigene Anlagen sollen nicht betroffen sein.
Siemens bestätigte, dass Stuxnet laut eigener Analysen theoretisch in der Lage ist, speicherprogrammierbare Steuerungen (SPS) zu manipulieren. Allerdings habe man dieses Verhalten bislang nicht in der Praxis beobachtet. Laut Simon untersucht Stuxnet die Konfiguration eines befallenen WinCC- oder PC7-Systems auf vorhandene Datenbausteine. Findet er die gewünschten, so wird er aktiv und modifiziert den Code in den Steuerungen. Findet er sie nicht, bleibt er inaktiv. Offenbar ist der Wurm auf der Suche nach bestimmten Anlagentypen, um sie zu manipulieren. Angaben dazu, welche Typen betroffen sind, machte Siemens nicht. Konzernangaben zufolge wurde noch kein System beobachtet, auf dem er aktiv wurde.
Der auf Sicherheit für Automatisierungssysteme spezialisierte Anbieter Langner hat auf seinen Seiten eine genauere Analyse veröffentlicht, wie Stuxnet welche SPS-Module manipuliert. Demzufolge schleust er bei der Übertragung von Codeblöcken in die SPS eigenen Code ein. Um die Übertragung zu manipulieren, lenkt er die Daten über eine Wrapper-DLL um, bevor sie durch die originale Bibliothek s7otbxdx.dll des SIMATIC Device Operating System weiterverarbeitet werden. (dab)
