Mit Duqu ist in der vergangenen Woche ein neuer Trojaner bekannt geworden, der von Security-Spezialisten und Medien auch gerne als Stuxnet 2.0 bezeichnet wurde. Stuxnet und Duqu sind aber wohl nur die Spitze des Eisbergs und die Vorboten neuer Angriffsszenarien, die uns in Zukunft beschäftigen werden.
Die Besonderheit von Stuxnet war, dass der Angriff nicht auf der Ebene gängiger Betriebssysteme erfolgt ist. Stuxnet richtete sich gezielt gegen die Steuerungssysteme von Industrieanlagen, das mutmaßliche Ziel war die Leittechnik iranischer Kernkraftwerke.
Konkret betroffen war nach den vorliegenden Informationen die Siemens Simatic S7, worüber in die Steuerung von Frequenzumrichtern eingegriffen wurde. Diese werden beispielsweise genutzt, um die Geschwindigkeit von Motoren zu Regeln und in vielen Industrieanlagen genutzt.
Die tatsächlichen Autoren und Auftraggeber von Stuxnet sowie deren tatsächliche Intention sind – zumindest der breiten Öffentlichkeit – unbekannt geblieben. Wenn man sich die Vorgehensweise bei den Stuxnet-Attacken betrachtet, wird aber deutlich, dass es sich dabei um einen Teil eines APT (Advanced Persistent Threat) handelt.
Derartige Angriffe werden gezielt unter Nutzung verschiedener Angriffstechniken und über einen längeren Zeitraum durchgeführt. Um Stuxnet überhaupt auf die Systeme zu bringen, hatte die dahinter stehende Organisation zunächst Schwachstellen in anderen Systemen ausgenutzt.
Duqu ist nun ein neuer Trojaner (mit Wurm-Funktionen), der entdeckt wurde. Der Zusammenhang zu Stuxnet wird dadurch deutlich, dass Teile des Stuxnet-Codes verwendet werden und dass auch Duqu als APT klassifiziert wird. Es wird davon ausgegangen, dass sich auch hinter Duqu ein staatlicher Angreifer verbirgt.
Im Gegensatz zu Stuxnet ist Duqu erst die Vorstufe für den eigentlichen Angriff. Das Programm sammelt Informationen und hat diese an einen Server in Indien gesendet, der inzwischen vom Netz genommen wurde. Duqu hatte auch nur eine begrenzte Lebenszeit. Das Ziel von Duqu scheint zu sein, für eine neue Angriffswelle Informationen zu sammeln.
Deutlich wird dabei, dass die Risiken im Bereich der IT-Sicherheit eine neue Stufe erreicht haben. Es geht nicht mehr nur um den Zugriff auf Daten, es geht um Eingriffe in die Steuerung von Industrieanlagen und – als Teil von anderen Szenarien – beispielsweise auch Energieversorgungseinrichtungen.
Das bedeutet aber auch, dass man die Gefahrenabwehr in Unternehmen und Organisationen entsprechend ausrichten muss. IT-Sicherheit muss sich auch um die Steuerungssysteme in der Produktion kümmern und um die Wege hin zu diesen Systemen.
Stuxnet wurde dem Vernehmen nach über infizierte USB-Sticks transportiert. Die zunehmende Vernetzung eröffnet aber auch neue, direktere Wege. IT-Sicherheitskonzepte müssen sich mit allen Systemen und allen Kommunikationswegen beschäftigen – und nicht immer macht es Sinn, Systeme miteinander zu vernetzen.
Gesundes Misstrauen angebracht
Ein weiterer wichtiger Punkt ist, dass man auch den digitalen Zertifikaten nicht mehr im gleichen Maße vertrauen kann wie früher. Die Angriffe auf DigiNotar und wohl auch weitere CAs (Certificate Authorities, die Herausgaber von digitalen Zertifikaten, die beispielsweise bei SSL oder bei der Code-Sicherheit genutzt werden) zeigen genauso wie die Angriffe über Stuxnet, bei denen gestohlene Zertifikate verwendet wurden, dass man sich auch sehr viel intensiver mit diesem Thema beschäftigen muss.
Dazu gehört, dass man private Schlüssel schützt und die Nutzung von digitalen Zertifikaten besser kontrolliert, um schneller reagieren zu können. Bevor man aber mit Einzelmaßnahmen beginnt, muss man wissen, was eigentlich vor welchen Gefahren und Risiken zu schützen ist.
Das Verstehen von Angriffsszenarien, Risiken und möglichen Gegenmaßnahmen ist der erste Schritt hin zu einem sinnvollen, risiko-basierten IT-Sicherheitsmanagement. Damit wird man nicht alle Angriffe verhindern können. Aber man sollte im Ergebnis zumindest Angriffe möglichst schnell erkennen und definiert haben, wie man darauf reagiert.