![\"Computerwurm](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/\/shutterstock-1988351474-300x169.jpg\" "\\"Bild")
<\/p>\n<\/p>\n
Im Jahr 2010 entdeckte die Welt Stuxnet. Diese Malware traf damals die Automaten, die f\u00fcr die Zentrifugen eines iranischen Atomkraftwerks zust\u00e4ndig waren, und machte deutlich, wie verwundbar industrielle Umgebungen sind. Seit dieser Episode, die auf einen kleinen infizierten USB-Stick zur\u00fcckzuf\u00fchren war, hat sich das Cyberrisiko auf die gesamte Industrie ausgeweitet. Und mehr als zehn Jahre sp\u00e4ter wurden die Infrastrukturen von JBS Foods (Lebensmittel) und Colonial Pipeline (Energie) Opfer von Cyberangriffen und sollten ihre Produktionslinien wochenlang beeintr\u00e4chtigt sehen. <\/strong><\/p>\n Trotz der Jahre haben sich die Vorgehensweisen von Cyberangreifern weiterentwickelt, aber das industrielle Kontrollsystem von Fabriken bleibt ein beliebtes Ziel. In diesem Artikel entschl\u00fcsseln wir die Auswirkungen, die Stuxnet im Jahr 2010 hatte. Welches Verm\u00e4chtnis hat dieser Angriff den Cyberkriminellen des Jahres 2022 hinterlassen? Was haben die Industriellen daraus gelernt? Elemente einer Antwort und Blickwechsel.<\/p>\n <\/p>\n Aber was ist denn eigentlich Stuxnet<\/strong>? Im Juni 2010 wurde der Computerwurm Stuxnet auf einem Rechner eines Mitarbeiters des Atomkraftwerks Buschehr im Iran entdeckt. Ziel des Wurms war es, die Funktionsweise von Industrieautomaten der Marke Siemens umzuprogrammieren, um den ordnungsgem\u00e4\u00dfen Betrieb der Zentrifugen zu beeintr\u00e4chtigen und so das in der Entwicklung befindliche iranische Atomanreicherungsprogramm zu stoppen.<\/p>\n Der Wurm infizierte 30.000 Computeranlagen im ganzen Land und wurde sp\u00e4ter auch in Deutschland, Frankreich, Indien und Indonesien entdeckt, wodurch die Zahl der kompromittierten Anlagen auf 45.000 anstieg. Aufgrund seiner Konzeption h\u00e4tte Stuxnet jedoch eine unauffindbare Malware sein m\u00fcssen. Diese konnte die an die Automaten gesendete Kommunikation analysieren und sich durch eine seitliche Verschiebung selbst auf einem Host installieren. Dazu analysierten die Cyberangreifer die Funktionsweise der OT-Kommunikationsprotokolle und entdeckten technische Schw\u00e4chen im Zusammenhang mit der Authentifizierung. Marco Genovese<\/strong>, Pre-Sales Engineer und Industrieexperte bei Stormshield, erkl\u00e4rt: \u201eDie Sch\u00f6pfer von Stuxnet haben f\u00fcr ihren Angriff die fehlende Authentifizierung und Verschl\u00fcsselung des S7-Protokolls von Siemens sowie das Fehlen einer Anti-Replikationskontrolle ausgenutzt<\/em>. Diese Schw\u00e4che f\u00fchrte zu der Erkenntnis, dass diese OT-Protokolle eine Sicherheitsschicht h\u00e4tten einbetten m\u00fcssen. Dieser zus\u00e4tzliche Sicherheitsbedarf wird sp\u00e4ter in der zweiten Version des Protokolls namens S7 Plus implementiert. Leider verwenden auch heute noch viele Industrieunternehmen dieses Protokoll in der Version von 2010.\u201c<\/em>Dieser Angriff basierte auf einer Reihe von Zero-Day-Schwachstellen im Windows-Betriebssystem und zielte auf das Prozessleitsystem (SCADA) ab. Dieser Cyberangriff war f\u00fcr viele der erste gezielte Angriff, der es erm\u00f6glichte, die Funktion von Industriemaschinen in einer hochsicheren Umgebung zu beeintr\u00e4chtigen<\/strong>. Die Kompromittierung eines solchen industriellen Steuerungssystems, das nicht mit dem Internet verbunden ist, schien zu diesem Zeitpunkt eine \u00e4u\u00dferst komplexe Aufgabe zu sein, da 2010 Cyberangriffe haupts\u00e4chlich auf IT-Umgebungen abzielten. Stuxnet war der erste bekannte Angriff auf OT-Umgebungen und f\u00fchrte zu der Erkenntnis , dass die Industrie nun selbst zum Opfer werden k\u00f6nnte<\/strong>. Vor dieser Episode hatten die Komplexit\u00e4t des industriellen Umfelds und die Schwierigkeit der Umsetzung darauf hingedeutet, dass ein Angriff auf diese Art von Zielen keine lohnende Investition darstellte.<\/p>\n Und um einer solchen Komplexit\u00e4t gerecht zu werden, erforderte die Entwicklung dieser Malware erhebliche finanzielle und personelle Mittel<\/strong>, um die Funktionsweise des iranischen Atomanreicherungsprogramms und der technischen Infrastruktur von Siemens zu verstehen. All diese Arbeit erm\u00f6glichte es, Schicht f\u00fcr Schicht Kompromittierungspunkte zu entwickeln, mit dem Ziel, am Ende der Kette die S7-300-Steuerung zu erreichen, die f\u00fcr die Drehzahlregler der Zentrifugen zust\u00e4ndig ist. F\u00fcr Ilias Sidqui<\/strong>, Senior Consultant bei Wavestone, hat die Komplexit\u00e4t des Angriffs schnell dazu gef\u00fchrt, dass er einem staatlichen Akteur zugeschrieben wurde: \u201eUm diese Malware entwickeln zu k\u00f6nnen, musste ein identisches Modell gebaut werden, indem sehr teure Industriehardware erworben wurde, was Kenntnisse \u00fcber die Versionen der im Iran verwendeten Maschinen voraussetzte<\/em>. Die Komplexit\u00e4t all dieser Parameter machte also schnell deutlich, dass nur ein oder mehrere Staaten in der Lage waren, solche Mittel einzusetzen.\u201c<\/em>Eine Kombination von Zero-Day-Angriffen, die Kompromittierung eines Informationssystems mithilfe eines USB-Sticks, seitliche Verschiebung, Diebstahl von Administratorenzugang, die F\u00e4higkeit, die Steuerung umzuprogrammieren... Ohne es zu wissen, legte dieser Wurm die Grundlage f\u00fcr eine neue Komplexit\u00e4t in der Cyberkriminalit\u00e4t.<\/p>\n Die Komplexit\u00e4t all dieser Parameter machte also schnell deutlich, dass nur ein oder mehrere Staaten in der Lage waren, solche Mittel einzusetzen.<\/em><\/p>\n Ilias Sidqui<\/strong>, Senior Consultant Wavestone<\/p><\/blockquote>\n Durch die Erf\u00fcllung seines Hauptzwecks hat Stuxnet geopolitische Geschichte geschrieben. \u201eEs gab eindeutig ein Vorher und ein Nachher von Stuxnet, und auch die NATO-Verb\u00fcndeten haben sich nicht geirrt, als sie im Juli 2016 auf dem Warschauer Gipfel den Cyberspace als vollwertigen Bereich f\u00fcr milit\u00e4rische Operationen anerkannten, genauso wie Land, See und Himmel<\/em>\u201c, sagt Fabien Miquet<\/strong>, Officer of Product Security & Solutions bei Siemens. Der Wurm hat aber auch aufgrund seiner technischen und strategischen Hinterlassenschaften, die sp\u00e4ter von den wichtigsten Gruppen von Cyberangreifern f\u00fcr die kommenden Jahrzehnte wiederverwendet wurden, Geschichte in der Cybersicherheit geschrieben.<\/p>\n <\/p>\n Von der Demonstration der Machbarkeit eines solchen Angriffs bis hin zum innovativen Charakter der Vorgehensweise werden Cyberangreifer nach Stuxnet zwangsl\u00e4ufig von diesem Angriff beeinflusst worden sein. Zw\u00f6lf Jahre nach seiner Entdeckung ist er aufgrund seiner technischen und schwierigen Umsetzung bis heute ein Fall f\u00fcr die Schule<\/strong>. Es ist der erste Wurm einer wachsenden Malware-Familie und wird f\u00fcr immer der erste Wurm bleiben, der sich der Kompromittierung von industriellen Kontrollsystemen widmet.<\/p>\n Und bei dieser Demonstration des Eindringens in und der Kompromittierung einer hochsicheren Umgebung wird Stuxnet Berufungen ausl\u00f6sen und einige Monate sp\u00e4ter kopiert werden. Auch wenn sich die Angriffstechniken und -vektoren unterscheiden, wird das Ziel bei mehreren Cyberangriffen, die weltweit folgen, dasselbe bleiben: Industrieautomaten ins Visier zu nehmen. Von Russland bis zum Iran wird diese Malware in einer eigenen Familie kategorisiert, die als \u201eStuxnet-like<\/em>\u201c bezeichnet wird. Bereits im Jahr 2012 wurden die Unternehmen Saudi Aramco und RasGas Opfer eines Cyberangriffs, der dem iranischen Staat zugeschrieben wurde. Die Neuerung im Vergleich zu Stuxnet wird darin bestehen, dass eine Ransomware, in diesem Fall Shamoon, verwendet wird, um die Aktivit\u00e4ten dieser Industrieunternehmen lahmzulegen. Im Jahr 2013 ist es das Kontrollsystem der Entlastungsventile des Bowman-Staudamms in den USA, das kompromittiert wird. Laut einer Untersuchung des Wall Street Journal<\/em><\/a> soll dieser Angriff eine Reaktion der iranischen Beh\u00f6rden auf Stuxnet sein. 2015 werden die \u00d6fen eines Stahlwerks in Deutschland wiederum Opfer eines Cyberangriffs. Der deutsche Geheimdienst definiert den Angriff als \u201eStuxnet-\u00e4hnlichen<\/em>\u201c Angriff, Details und Auswirkungen des Angriffs werden jedoch nicht bekannt gegeben. Zur gleichen Zeit wurde auch die Ukraine von Malware heimgesucht, die diesmal auf die elektrischen Anlagen des Landes<\/a> abzielte, und zwar mit den Malware-Programmen \u201eBlack Energy<\/em>\u201c und \u201eCrashOverride<\/em><\/a>\u201c im Jahr 2015 und \u201eTriton<\/em>\u201c im Jahr 2017. Angriffe, die den Aktionen russischer Cyberkriminellengruppen zugeschrieben wurden und vor allem die Entwicklung der Bedrohung veranschaulichten: \u201eW\u00e4hrend\u00a0der Black-Energy-Angriff die M\u00f6glichkeit demonstrierte, ein Kraftwerk ohne besondere Kenntnisse \u00fcber industrielle Nachrichten auszuschalten, zeigte der Triton-Angriff die Verwundbarkeit des Schutzsystems des OT-Netzwerks selbst<\/em>\u00a0auf\u201c, erl\u00e4utert Marco Genovese.<\/p>\n Parallel zu den Cyberangriffen hat auch die Vorgehensweise von Stuxnet die Cybersicherheitsforscher beeinflusst. Im Jahr 2015 schufen deutsche Forscher einen weiteren Computerwurm namens PLC Blaster<\/a>, der die neueste Generation von Siemens-Steuerungen der S7-Reihe ins Visier nehmen konnte, indem er einen Teil der Vorgehensweise von Stuxnet \u00fcbernahm. Und wo Stuxnet einen Host-Rechner ben\u00f6tigte, der mit dem Industrienetzwerk verbunden war, kann die Malware PLC Blaster die Steuerungen untereinander direkt \u00fcber das TCP\/IP-Protokoll infizieren. Derw\u00e4hrend der Black Hat USA-Konferenz vorgestellte<\/a> Konzeptnachweis zeigte, wie anf\u00e4llig Industrieumgebungen sind und wie leicht sich der Wurm von einem Ger\u00e4t zum anderen verbreiten kann.<\/p>\n <\/p>\n Ist ein Angriff wie Stuxnet im Jahr 2022 denkbar?<\/strong> Eine relevante Frage und die Antwort ist f\u00fcr Ilias Sidqui eindeutig: \u201eEin Stuxnet-\u00e4hnliches Szenario ist auch 2022 noch m\u00f6glich<\/em>. Denn das Prinzip bleibt das gleiche; es gab, gibt und wird immer Zero-Days-L\u00fccken geben, die Cyberkriminellen einen offensiven Vorteil verschaffen.<\/em> Ein Angriff ist also immer noch m\u00f6glich, aber nicht mehr unbedingt gegen die Atomindustrie\u201c, sagt Marco Genovese: \u201eEs wird heutzutage sicherlich schwieriger sein, einen mit Stuxnet vergleichbaren Angriff auf ein Atomkraftwerk durchzuf\u00fchren, aber die j\u00fcngsten Aktionen in der Ukraine zeigen, dass es nun m\u00f6glich ist, physische Energienetze (Wasser, Gas, Strom) mit einem Cyberangriff zu beeintr\u00e4chtigen<\/em>. \u201c<\/p>\n Wichtig ist auch, dass bei den letzten bedeutenden Cyberangriffen keine sehr fortschrittlichen Vorgehensweisen verwendet wurden. Die Cyberangriffe auf Colonial Pipeline und JBS Foods \u00e4hneln im \u00dcbrigen eher opportunistischen Handlungen als geplanten Angriffen wie Stuxnet. Da bei Colonial Pipeline ein im Darkweb geleaktes Passwort und bei JBS Foods eine bekannte Schwachstelle in einem Fernverbindungstool verwendet wurde, war die Schwierigkeit des Eindringens und der Durchf\u00fchrung weit weniger komplex als bei Stuxnet. Denn de facto w\u00e4chst die Angriffsfl\u00e4che f\u00fcr Industrieunternehmen<\/strong>. Dieser Trend l\u00e4sst sich seit einigen Jahren durch die Annahme einer IT\/OT-Konvergenz in den Informationssystemen erkl\u00e4ren. Ein gefundenes Fressen f\u00fcr Cyberkriminelle<\/a>. Heutzutage sind IT-Umgebungen, klassische B\u00fcroumgebungen und industrielle OT-Umgebungen miteinander vernetzt<\/em>\u201c, erkl\u00e4rt Ilias Sidqui. Ein Gateway, das auch von Gruppen von Cyberkriminellen genutzt wird; spezielle Entwicklungen oder die Suche nach Zero-Day-Schwachstellen sind daher nicht mehr n\u00f6tig. Aus diesem Grund werden immer mehr Ransomware-Angriffe beobachtet, die auf industrielle Umgebungen abzielen.<\/em> \u201eDie beschleunigte Digitalisierung bringt schlie\u00dflich Chancen f\u00fcr alle mit sich: Sie, ich, unsere Kunden ... aber auch f\u00fcr Angreifer auf unsere immer st\u00e4rker vernetzten Systeme<\/em>\u201c, erg\u00e4nzt Fabien Miquet. Das ist alles andere als ein unabwendbares Schicksal, man muss sich dessen nur bewusst sein, und wir haben gewisserma\u00dfen eine Warnpflicht: keine Digitalisierung ohne Cybersicherheit!<\/em>\u201c<\/p>\n Aber wie reif ist denn der Industriesektor angesichts dieser Bedrohung?<\/strong> Eine Zahl von Gartner, die erkl\u00e4rte, dass 60\u00a0% der erfolgreichen Angriffe im Jahr 2020 auf der Ausnutzung bekannter, aber nicht behobener Schwachstellen beruhen w\u00fcrden, gibt einen ersten Hinweis auf die Antwort\u00a0... In unserem Barometer 2021, das der Cybersicherheit in operativen Netzwerken gewidmet ist<\/a>, gaben 51\u00a0% der Befragten an, mindestens einen Cyberangriff auf ihr operatives Netzwerk erlebt zu haben. Und 27\u00a0% hatten bereits einen Produktionsstopp oder eine Produktionsst\u00f6rung erlebt. Dennoch gibt es viele Ansatzpunkte f\u00fcr Schutzl\u00f6sungen. Aufsp\u00fcren von Schwachstellen, Patchmanagement, Netzwerksegmentierung, Schulungen ... L\u00f6sungen f\u00fcr die Cybersicherheit scheinen bei der Umsetzung im industriellen Umfeld vor einer Herausforderung<\/a> zu stehen. Wie Fabien Miquet best\u00e4tigt: \u201eEs ist in der Tat eine echte Herausforderung, eine Fabrik zu sichern, deren oberstes Ziel nicht die Weiterentwicklung ihrer Technologien ist, sondern eine stabile und nachhaltige Produktion. Und es spielt keine Rolle, ob diese Technologien \u201einsecure by design\u201c sind; die Tatsache, dass sie seit drei\u00dfig oder vierzig Jahren funktionieren, reicht vielen Industriellen auch heute noch, selbst wenn sie nicht f\u00fcr die Implementierung von Cybersicherheit konzipiert wurden. Die Mentalit\u00e4ten \u00e4ndern sich definitiv nicht alle mit der gleichen Geschwindigkeit. Dies h\u00e4ngt in der Regel von der H\u00e4ufigkeit der Cyberangriffe ab\u00a0... Als Reaktion auf diese Ereignisse hat Siemens neue Sicherheitsmechanismen in seine Maschinen implementiert. Dazu haben wir gute Praktiken aus der IT in die OT-Welt importiert, z. B. am Beispiel unserer Automaten, die nun das f\u00fcr seine Robustheit bekannte und anerkannte Verschl\u00fcsselungsprotokoll TLS enthalten.<\/em>\u201c<\/p>\n <\/p>\n So haben die Autoren von Stuxnet, ohne es zu wissen, die Komplexit\u00e4t von Cyberangriffen in OT-Umgebungen weitgehend beeinflusst und weiterentwickelt. Und die Konvergenz der IT\/OT-Umgebungen scheint es Angreifern zu erleichtern, sich von einer Umgebung in eine andere zu bewegen. Es wird interessant sein zu beobachten, wie sich OT-Manager in den n\u00e4chsten Jahren anpassen werden, um technische Schulden, die Koexistenz von OT\/IT-Umgebungen, den Einsatz neuer Technologien und Cybersicherheit unter einen Hut zu bringen. Ein umfangreiches Programm.<\/p>\n","protected":false},"excerpt":{"rendered":" Im Jahr 2010 entdeckte die Welt Stuxnet. Diese Malware traf damals die Automaten, die f\u00fcr die Zentrifugen eines iranischen Atomkraftwerks zust\u00e4ndig waren, und machte deutlich, wie verwundbar industrielle Umgebungen sind. Seit dieser Episode, die auf einen kleinen infizierten USB-Stick zur\u00fcckzuf\u00fchren war, hat sich das Cyberrisiko…<\/p>\n","protected":false},"author":57,"featured_media":290868,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1615],"tags":[4367,6566],"business_size":[],"industry":[],"help_mefind":[],"features":[],"type_security":[],"maintenance":[],"offer":[],"administration_tools":[],"cloud_offers":[],"listing_product":[1599,6569,1553,1564,1531],"class_list":["post-291102","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-meinungen","tag-cybersecurity-erste-schritte","tag-industrielle-cyber-sicherheit","listing_product-breach-fighter-de","listing_product-sni20-de","listing_product-sni40-de","listing_product-ses-de","listing_product-sns-de"],"acf":[],"yoast_head":"\nStuxnet, der Albtraum f\u00fcr industrielle Umgebungen<\/h2>\n
Die vielf\u00e4ltigen Hinterlassenschaften von Stuxnet<\/h2>\n
K\u00f6nnte der Stuxnet-Angriff noch Opfer fordern?<\/h2>\n