Startseite > Security > Das Erbe von Stuxnet

Evolution und Zukunft der OT-Security

Das Erbe von Stuxnet

5. Mai 2021, 7:00 Uhr | Rick Peters/jos

Über zehn Jahre nach Stuxnet ist die OT-Infrastruktur (Operational Technology) stärker vernetzt als je zuvor – und damit auch deutlich verwundbarer. IT-Bedrohungen dominieren zwar das Tagesgespräch, Cyberkriminelle erkennen jedoch in SCADA-Systemen (Supervisory Control and Data Acquisition) und industriellen Kontrollsystemen (ICS) besonders lohnende Ziele.

In einer Umfrage für den „Fortinet State of Operational Technology and Cybersecurity Report“ gaben bereits 74 Prozent aller OT-Unternehmen an, schon einmal von einem Malware-Angriff betroffen gewesen zu sein. Dies lässt sich auf verschiedene Faktoren zurückführen, darunter die Tatsache, dass Legacy-Systeme weit verbreitet sind. Manche Netzwerke sind 20 bis 30 Jahre alt und nur unregelmäßig aktualisiert. Dadurch weisen sie lang bekannte Schwachstellen auf. Darüber hinaus setzen potenzielle Angreifer vermehrt auf Verschleierung ihrer Tätigkeiten und nutzen fortschrittliche Anti-Analysetechniken, um unentdeckt zu bleiben.

Mit diesen Techniken erschweren sie es den IT-Teams, ihre Methode, ihren Ursprung und die Absicht der Attacke zu erkennen. In der Folge bleibt es eine Herausforderung, ähnliche zukünftige Angriffe zu verhindern. Die sich kontinuierlich weiterentwickelnden Angriffsmethoden auf OT-Systeme erfordern ohne Frage eine entsprechende Antwort. Es bedarf einer ganzheitlichen Analyse der eingesetzten Taktiken, um daraus Erkenntnisse für zukünftige Cybersecurity-Verteidigungsstrategien zu gewinnen und einzusetzen.

Weiterentwicklung von Stuxnet: EKANS 2019

Stuxnet machte 2010 Schlagzeilen, als öffentlich wurde, dass ein bösartiger PC-Wurm auf SCADA-Systeme abzielte – damals ein Novum. Der Code war viel größer und ausgeklügelter als seine Vorgängerversionen. Mit über 500 KByte konnte er sich leicht seinen Weg in Windows-Rechner sowie Netzwerke bahnen und sich mehrmals replizieren, bevor er das endgültige SCADA-Ziel auswählte.

Das Besondere an Stuxnet war seine Fähigkeit, speicherprogrammierbare Steuerungen (SPS) zu beeinträchtigen. Bei SPS-Devices handelt es sich um digitale Geräte in der Industrie, die besonders robust sind und darauf ausgelegt, Fertigungsprozesse zu steuern. In diesem Fall ermöglichten die SPSs die Automatisierung von elektromechanischen Prozessen, die in industriellen oder mechanischen Anlagen ablaufen. Die Präzision von Stuxnet war entscheidend für die OT-Sicherheit und die Entwicklung von Bedrohungsszenarien.

Auch im Jahr 2020 waren OT-Netzwerke häufig Ziele von Cyberkriminellen. Beispielsweise durch die Ransomware EKANS, die erstmals im Dezember 2019 in Erscheinung trat. Wie der Fortinet Threat Landscape Report von August 2020 feststellte, setzt EKANS stark auf Verschleierung und ist in der Programmiersprache GO geschrieben. Dies erfordert eine umfangreichere, manuelle Analyse. Die Malware ist daher schwer erkennbar.

Der Einsatz der Ransomware ist besonders besorgniserregend, wenn man die kostspieligen Auswirkungen auf anfällige OT-Systeme und die Zukunft der OT-Sicherheit bedenkt. Denn die Angreifer könnten diese Zielmethodik auf ganze OT-Umgebungen ausweiten. Und eine solche Form von Ransomware steht erst am Anfang ihrer Entwicklung. Im Juni 2020 wurde eine Variante bekannt, die nicht nur das übliche Verhalten einer Ransomware beherrschte – Daten zu verschlüsseln und ein Lösegeld zu fordern. Darüber hinaus konnte sie bereits die Firewall des Hosts deaktivieren.