Rückblick 2010: Hype und Wirklichkeit von Stuxnet

Originalartikel von Ivan Macalintal (Threat Research Manager bei Trend Micro)

Das in der Sicherheitsbranche am heftigsten diskutierte Thema des abgelaufenen Jahres war Stuxnet. Zum Teil ist diese hohe Aufmerksamkeit berechtigterweise der Raffinesse des Angriffs geschuldet, zu einem guten Teil jedoch auch der Spekulation über einen Cyber-Krieg, möglichen Verbindungen zu Israel und dem Iran sowie über die außenpolitischen Auswirkungen von Stuxnet. Aber diese Medienwirksamkeit hat auch dazu geführt, dass das Problem eine gewisse Unschärfe erlangte.

Zweifelsohne stellt Stuxnet eine sehr ausgeklügelte Malware dar, deren Entwicklung erhebliche Ressourcen bezüglich Zeit, Geld und Personal gefordert hat. Dennoch waren die meisten Nutzer nicht signifikant betroffen, auch wenn sich die Malware weltweit auf eine Menge von Systemen breit gemacht hat – ohne aber große Probleme zu bereiten. Die Schadsoftware stahl keine Informationen, pries keine gefälschten Antivirusprodukte an und verschickte auch keine Spam-Nachrichten.

Es ist auch nicht ganz richtig zu behaupten, Stuxnet läute eine neue Ära der Malware-Bedrohungen ein, die Einrichtungen der „echten Welt“ betreffen. Bereits 2003 hatte der Slammer-Wurm eine nukleare Einrichtung in Ohio angegriffen und das Überwachungssystem abgeschaltet. Auch der DOWNAD/Conficker-Wurm hatte markante Institutionen wie Krankenhäuser, Strafverfolgungsbehörden und verschiedene militärische Einrichtungen getroffen. Was man über Stuxnet sagen kann, ist, dass es zum ersten Mal jemand für wichtig gehalten hat, die SCADA-Plattform eines bestimmten Anbieters anzupeilen. Die dafür nötige Technik war bereits vorhanden, doch bis dahin fehlte die Motivation.

Diese Art von Schadsoftwareangriffen sind selten in der heutigen Bedrohungslandschaft. Informationsdiebstahl stellt immer noch das größte Problem dar, und die dazu benötigte Malware wird von den Trend Micro-Spezialisten täglich entdeckt. Auf jede Stuxnet-Infektion kommen heutzutage Tausende Vorfälle mit Malware wie Zeus und SpyEye, die Zugangsdaten stiehlt.

Von Stuxnet kann man zweierlei lernen: Für Kontrollsysteme der Industrie, wie die von Stuxnet angegriffenen, sollte der Vorfall ein Weckruf sein. Denn diese Systeme waren in ihren Netzwerken nicht gut gesichert. Man kann davon ausgehen, dass Perimeter-Sicherheit ausgereicht hätte. Schließlich ist ein Netzwerk nur so sicher, wie sein schwächstes Glied. Aus diesem Grund werden Computer und Netzwerke, die zu diesen Kontrollsystemen gehören, auf allen Ebenen „gehärtet“ werden müssen. Die Anwendungen von Drittanbietern, die häufig von Exploit attackiert werden, müssen immer auf aktuellem Stand gehalten oder unter Umständen ganz entfernt werden. Auch Angriffe über Wechselmedien wie USB-Laufwerke müssen in punkto Sicherheit mit einbezogen werden.

Nutzer, die nicht für kritische Systeme verantwortlich sind, sollten die Gefahr, die von Stuxnet ausgeht, in den adäquaten Kontext setzen. Der Diebstahl von Zugangsinformationen durch Malware stellt eine viel höhere Gefahr dar, während Angriffe die auf kritische Systeme abzielen, wahrscheinlich nicht mehr als genau das sind – sie zielen darauf ab.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*