Manfred Kloiber: Seit Sommer 2010 werden immer mehr Details über die Angriffssoftware Stuxnet bekannt. Stuxnet manipuliert ja Industriesteuerungen und hat nachweislich Zentrifugen in iranischen Atomanlagen zerstört. Und die Schadsoftware ist weltweit auch in anderen Industrieanlagen nachgewiesen worden. Auch europäische und nordamerikanische Anlagen waren und sind betroffen. Und neue Infektionen von Industriesteuerungen werden immer wieder nachgewiesen. Damit aber dürfte jetzt Schluss sein. Denn Experten haben eine wichtige Sicherheitslücke entdeckt, die von Angriffsprogrammen wie Stuxnet ausgenutzt wurde, um speicherprogrammierbare Steuerungen zu manipulieren. Was genau haben die Forscher da entdeckt, Peter Welchering?
Peter Welchering: Solche speicherprogrammierbaren Steuerungen arbeiten ja mit ihren Daten, die sie über lokale Netzwerke bekommen. Und diese Daten werden verschickt nach dem Standard des Internetprotokolls. Und da haben die Forschungen entdeckt: Wenn an zwei bestimmten Ports der speicherprogrammierbaren Steuerungen zu viele Datenpäckchen auftauchen, gibt es genau diese Sicherheitslücke. Den Effekt kann man sich ungefähr so vorstellen wie eine normale Überlastattacke. Also wenn etwa ein Webserver abgeschossen wird, indem Millionen Datenpäckchen auf einmal auf diesen Webserver geschickt werden, dann geht der auch in die Knie. Und sowas ähnliches tritt eben auch bei diesen speicherprogrammierbaren Steuerungen ein. Es ist also vergleichbar mit einer Denial-of-Service-Attacke auf die beiden Ports. Die bewirken nämlich, dass die Steuerung dann in einen Fehlermodus geht. Und da wäre das Schadpotenzial ja noch begrenzt, wenn die sich einfach abschalten würde. Aber sie schaltet sich eben nicht in allen Fällen ab. Sondern wenn zwei Ports gleichzeitig mit diesen Datenpäckchen überlastet werden, beschossen werden, dann kann dieser Fehlermodus eben ausgenutzt werden, um die Steuerung zu manipulieren. Dann kann man drauf kommen.
Kloiber: Und welche Manipulationen sind so möglich?
Welchering: Beispielsweise können Drehzahlen einer Zentrifuge dann so hoch gesetzt werden, dass die Zentrifuge kaputtgeht. Das war ja etwa im Iran der Fall. Prinzipiell kann man mit diesem Zugriff aber über diese Sicherheitslücke dann jeden Kontrollparameter der Industriesteuerung manipulieren. Also Druck, Temperatur, Drehzahl – alles, was eben so eine Industriesteuerung auch wirklich steuern und kontrollieren soll. Und die Drei – Druck, Temperatur, Drehzahl –, das sind die am häufigsten kontrollierten Parameter in den Industrieanlagen. Und wer diese Parameter manipulieren kann, wer die willkürlich einfach verändert, kann natürlich in jeder Industrieanlage ganz enormen Schaden anrichten.
Kloiber: Wie sind denn die Forscher auf diese Sicherheitslücke gestoßen?
Welchering: Mit einem zweistufigen Verfahren. Die haben sich eine solche speicherprogrammierbare Steuerung genommen und haben da mit einem Verfahren, dass sich Fuzzing nennt, einfach Testdaten ins System eingespeist, ganz furchtbar unterschiedlich viele Daten und dann eben genau beobachtet und protokolliert: Wie reagiert die Steuerung, wenn ich unterschiedliche Daten auf unterschiedliche Ports gebe mit unterschiedlichen Mengen? Und dabei ist dann diese Überlastattacke oder Denial-of-Service-Attacke aufgefallen. Und nachdem die aufgefallen war, haben sich die Forscher mal genau das Design und die Architektur der Steuerung angeschaut. Und das hat ergeben, dass die Steuerung eben nach solch einer Denial-of-Service-Attacke sich nicht in allen Fällen einfach abschaltet, sondern eben in den Fehlermodus geht und damit dann über vorgetäuschte Wartungsroutinen zu manipulieren ist. Und dadurch kann die Schadsoftware eben auf die Steuerung gebracht werden. Dadurch kann dann diese Steuerung manipuliert werden – eben mit einem Computervirus.
Kloiber: Das ist ja tricky, wie man sie nachgewiesen hat. Aber wie lange ist jetzt diese Sicherheitslücke schon bekannt?
Welchering: Ganz konkret haben Forscher um Professor Hartmut Pohl diese Lücke vor einigen Wochen nachgewiesen und den Herstellern der Industriesteuerungen auch mitgeteilt. Die haben das übrigens überprüft und geben jetzt einen Patch heraus. Also die Lücke ist bestätigt worden. Und in der nächsten Version der Steuerung soll die Lücke dann mit den beiden Ports behoben sein. Aber wenn man mal ein bisschen zurückgeht: Eine ähnliche Systematik der Manipulation – da gab's erste Berichte schon 2007 von Wissenschaftlern, die in Idaho das Aurora-Experiment durchgeführt haben. Das waren ja Manipulationen an einem Dieselgenerator mit einer ähnlichen Attacke. Da wurden dann vom Leitstand Daten abgegriffen, der Druckparameter wurde erhöht, an den Dieselgenerator geschickt und der ging daraufhin in die Luft. Und das war eben auch möglich durch eine Denial-of-Service-Attacke, die zuvor auf die Steuerung erfolgt war. Dadurch konnten dann diese falschen Parameter da eingeschleust werden. Ob allerdings bei Aurora dieselben Ports angegriffen wurden, die jetzt nachgewiesen wurden, das lässt sich nicht mehr verifizieren. Denn die US-Behörden geben dazu überhaupt keine Informationen heraus. Aber bekannt war, dass solche Attacken erst durch solche Überlastangriffe auf die Steuerungen möglich sind. Weil die Steuerungen dadurch eben in so einen Wartungsmodus schalten und manipulierbar sind. Und jetzt wird eben dann nicht mehr überprüft von der Steuerung, wenn sie in diesem Wartungsmodus ist, ob überhaupt eine Berechtigung der Datenpäckchen, die für die Wartung vorgeblich da drauf gespielt werden sollen, überhaupt vorliegt.
Kloiber: Mit dem Wissen, was man jetzt über diese beiden Ports hat und über diese Angriffsmöglichkeit – kann jetzt eine Weiterverbreitung von Stuxnet damit wirkungsvoll verhindert werden?
Welchering: Computerwissenschaftler sehen das so. Die Sicherheitsbehörden in den USA schweigen dazu. Und einer der Hauptwege wird geschlossen. Also es sind nicht mehr so viele Manipulationsmöglichkeiten gegeben. Aber natürlich kann niemand ausschließen, dass es auch noch andere Zugriffswege von Stuxnet und Co. auf solche Industriesteuerungen gibt. Und deshalb sind eben auch weiter Tests nötig. Tests, die im Augenblick noch nicht von allen Herstellern vorgesehen werden und eben auch noch nicht standardmäßig auf alle speicherprogrammierbaren Steuerungen eben durchgeführt werden.
Zum Themenportal "Risiko Internet"
Peter Welchering: Solche speicherprogrammierbaren Steuerungen arbeiten ja mit ihren Daten, die sie über lokale Netzwerke bekommen. Und diese Daten werden verschickt nach dem Standard des Internetprotokolls. Und da haben die Forschungen entdeckt: Wenn an zwei bestimmten Ports der speicherprogrammierbaren Steuerungen zu viele Datenpäckchen auftauchen, gibt es genau diese Sicherheitslücke. Den Effekt kann man sich ungefähr so vorstellen wie eine normale Überlastattacke. Also wenn etwa ein Webserver abgeschossen wird, indem Millionen Datenpäckchen auf einmal auf diesen Webserver geschickt werden, dann geht der auch in die Knie. Und sowas ähnliches tritt eben auch bei diesen speicherprogrammierbaren Steuerungen ein. Es ist also vergleichbar mit einer Denial-of-Service-Attacke auf die beiden Ports. Die bewirken nämlich, dass die Steuerung dann in einen Fehlermodus geht. Und da wäre das Schadpotenzial ja noch begrenzt, wenn die sich einfach abschalten würde. Aber sie schaltet sich eben nicht in allen Fällen ab. Sondern wenn zwei Ports gleichzeitig mit diesen Datenpäckchen überlastet werden, beschossen werden, dann kann dieser Fehlermodus eben ausgenutzt werden, um die Steuerung zu manipulieren. Dann kann man drauf kommen.
Kloiber: Und welche Manipulationen sind so möglich?
Welchering: Beispielsweise können Drehzahlen einer Zentrifuge dann so hoch gesetzt werden, dass die Zentrifuge kaputtgeht. Das war ja etwa im Iran der Fall. Prinzipiell kann man mit diesem Zugriff aber über diese Sicherheitslücke dann jeden Kontrollparameter der Industriesteuerung manipulieren. Also Druck, Temperatur, Drehzahl – alles, was eben so eine Industriesteuerung auch wirklich steuern und kontrollieren soll. Und die Drei – Druck, Temperatur, Drehzahl –, das sind die am häufigsten kontrollierten Parameter in den Industrieanlagen. Und wer diese Parameter manipulieren kann, wer die willkürlich einfach verändert, kann natürlich in jeder Industrieanlage ganz enormen Schaden anrichten.
Kloiber: Wie sind denn die Forscher auf diese Sicherheitslücke gestoßen?
Welchering: Mit einem zweistufigen Verfahren. Die haben sich eine solche speicherprogrammierbare Steuerung genommen und haben da mit einem Verfahren, dass sich Fuzzing nennt, einfach Testdaten ins System eingespeist, ganz furchtbar unterschiedlich viele Daten und dann eben genau beobachtet und protokolliert: Wie reagiert die Steuerung, wenn ich unterschiedliche Daten auf unterschiedliche Ports gebe mit unterschiedlichen Mengen? Und dabei ist dann diese Überlastattacke oder Denial-of-Service-Attacke aufgefallen. Und nachdem die aufgefallen war, haben sich die Forscher mal genau das Design und die Architektur der Steuerung angeschaut. Und das hat ergeben, dass die Steuerung eben nach solch einer Denial-of-Service-Attacke sich nicht in allen Fällen einfach abschaltet, sondern eben in den Fehlermodus geht und damit dann über vorgetäuschte Wartungsroutinen zu manipulieren ist. Und dadurch kann die Schadsoftware eben auf die Steuerung gebracht werden. Dadurch kann dann diese Steuerung manipuliert werden – eben mit einem Computervirus.
Kloiber: Das ist ja tricky, wie man sie nachgewiesen hat. Aber wie lange ist jetzt diese Sicherheitslücke schon bekannt?
Welchering: Ganz konkret haben Forscher um Professor Hartmut Pohl diese Lücke vor einigen Wochen nachgewiesen und den Herstellern der Industriesteuerungen auch mitgeteilt. Die haben das übrigens überprüft und geben jetzt einen Patch heraus. Also die Lücke ist bestätigt worden. Und in der nächsten Version der Steuerung soll die Lücke dann mit den beiden Ports behoben sein. Aber wenn man mal ein bisschen zurückgeht: Eine ähnliche Systematik der Manipulation – da gab's erste Berichte schon 2007 von Wissenschaftlern, die in Idaho das Aurora-Experiment durchgeführt haben. Das waren ja Manipulationen an einem Dieselgenerator mit einer ähnlichen Attacke. Da wurden dann vom Leitstand Daten abgegriffen, der Druckparameter wurde erhöht, an den Dieselgenerator geschickt und der ging daraufhin in die Luft. Und das war eben auch möglich durch eine Denial-of-Service-Attacke, die zuvor auf die Steuerung erfolgt war. Dadurch konnten dann diese falschen Parameter da eingeschleust werden. Ob allerdings bei Aurora dieselben Ports angegriffen wurden, die jetzt nachgewiesen wurden, das lässt sich nicht mehr verifizieren. Denn die US-Behörden geben dazu überhaupt keine Informationen heraus. Aber bekannt war, dass solche Attacken erst durch solche Überlastangriffe auf die Steuerungen möglich sind. Weil die Steuerungen dadurch eben in so einen Wartungsmodus schalten und manipulierbar sind. Und jetzt wird eben dann nicht mehr überprüft von der Steuerung, wenn sie in diesem Wartungsmodus ist, ob überhaupt eine Berechtigung der Datenpäckchen, die für die Wartung vorgeblich da drauf gespielt werden sollen, überhaupt vorliegt.
Kloiber: Mit dem Wissen, was man jetzt über diese beiden Ports hat und über diese Angriffsmöglichkeit – kann jetzt eine Weiterverbreitung von Stuxnet damit wirkungsvoll verhindert werden?
Welchering: Computerwissenschaftler sehen das so. Die Sicherheitsbehörden in den USA schweigen dazu. Und einer der Hauptwege wird geschlossen. Also es sind nicht mehr so viele Manipulationsmöglichkeiten gegeben. Aber natürlich kann niemand ausschließen, dass es auch noch andere Zugriffswege von Stuxnet und Co. auf solche Industriesteuerungen gibt. Und deshalb sind eben auch weiter Tests nötig. Tests, die im Augenblick noch nicht von allen Herstellern vorgesehen werden und eben auch noch nicht standardmäßig auf alle speicherprogrammierbaren Steuerungen eben durchgeführt werden.
Zum Themenportal "Risiko Internet"
