BSI-Gefahrenbericht

Firmen öffnen Stuxnet und Co. selbst die Tür

29. März 2011
Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und seit 2006 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Eine Suchmaschine zeigt Kriminellen Server, auf denen Steuerungssysteme der Industrie laufen - dabei dürften diese Server gar nicht übers Web zugänglich sein.
So nicht. Versperren Sie Schädlingen den Weg.
So nicht. Versperren Sie Schädlingen den Weg.
Foto: Rene Schmöl

Mit Stuxnet hat ab Juni 2010 erstmals eine Schadsoftware direkt Industrieanlagen angegriffen. Die Attacken des Spionage-Tools gelten dabei den so genannten SCADA-Systemen (Supervisory Control and Data Acquisition). Das sind Prozess-Steuerungs- wie auch Automatisierungs- und -leitsysteme. Diese werden unter anderem bei der Stromerzeugung und -verteilung, der Gas- und Wasserversorgung sowie bei der Verkehrsleittechnik und in der Produktion eingesetzt.

Stuxnet breitet sich via Internet aus

Solche SCADA-Systeme lassen sich seit kurzem gezielt über die Suchmaschine "Shodan" finden, denn diese sucht im IP-Adressraum nach öffentlich zugänglichen SCADA-Servern. Dies fand das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem jetzt veröffentlichten "Lagebericht" zur IT-Sicherheit im vierten Quartal 2010 heraus.

SQL-Injection, XSS-Angriffe sowie der Zugriff auf Web-Sessions sind die drei häufigsten Sicherheitsprobleme bei Webseiten.
SQL-Injection, XSS-Angriffe sowie der Zugriff auf Web-Sessions sind die drei häufigsten Sicherheitsprobleme bei Webseiten.
Foto: BSI

Kriminelle könnten demnach Prozesssteuerungs-Systeme via Internet mit geringem Aufwand aufspüren sowie angreifen und kompromittieren. Und das, obwohl die Systeme aufgrund ihrer Sicherheitsarchitekturen theoretisch über das Internet gar nicht erreichbar sein dürften. Ein Trugschluss: Laut BSI habe der IT-Sicherheitsanbieter Symantec im Rahmen einer Stuxnet-Analyse festgestellt, dass viele SCADA-Systeme mit dem Internet verbunden seien.

Auch die meist webbasierten Frontends der Prozesssteuerungs-Systeme bereiten den BSI-Experten Sorgen. Auf viele lässt sich von außen zugreifen, sei es aufgrund von Fehlkonfigurationen, sei es aus Bequemlichkeit - etwa um die Rechner am Wochenende von zuhause aus administrieren zu können. Auf diese Weise könnten Angreifer selbst ohne Zugangsdaten sensible Konfigurations-Informationen auslesen.

Auch Webauftritte weisen zahlreiche Schwachstellen auf. Das zeigten Penetrationstests. Besonders gefährlich sind dabei Sicherheitslücken, über die ein Angreifer seine Benutzerrechte erweitern und so an vertrauliche Daten gelangen kann.

Webseiten schlecht gesichert

Häufige Angriffsmethoden von Cyber-Kriminellen sind eine SQL-Injection, also die Weiterleitung von SQL-Befehlen an die Datenbank der Webanwendung, das Cross-Site-Scripting (XSS) und die Übernahme ganzer Sitzungen (Sessions). Bei XSS-Angriffen werden Daten von einem Nutzer an einen anderen ungeprüft weitergeleitet. Bei einer Session-Übernahme verschaffen sich Angreifer Zugriff auf fremde Benutzerrechte, indem sie deren genannte Session-Tokens kapern.

Hintergrund für diese Entwicklung ist, dass die Komplexität der IT-Systeme in Unternehmen laufend steigt und diese immer mehr miteinander vernetzt werden. Das wiederum macht eine korrekte Konfiguration immer schwieriger. Auch Trends wie Virtualisierung tragen dazu bei.

Neuer Trojaner infiziert auch Windows 7

Mit dem Trojaner Carberp gibt es zudem eine neue Schadsoftware, die darauf spezialisiert ist, persönliche Anmeldedaten für das Online-Banking zu stehlen. Dazu fängt die Schadsoftware mittels einer Man-in-the-Browser-Attacke die Kommunikation zwischen einem Nutzer und seinem Browser ab. In der Praxis bedeutet das: Gibt ein Bankkunde seine Anmeldeinformationen ein, stiehlt das Programm die Daten, noch bevor diese verschlüsselt werden, und schickt sie an den Angreifer.

Der Trojaner Carberp ist ein raffinierter Bursche. Er deaktiviert andere Schadprogramme, verändert nicht die Registry und kann Computer infizieren, auf denen Windows 7 läuft.
Der Trojaner Carberp ist ein raffinierter Bursche. Er deaktiviert andere Schadprogramme, verändert nicht die Registry und kann Computer infizieren, auf denen Windows 7 läuft.
Foto: BSI

Laut den Sicherheitsexperten des BSI verfügt der Trojaner zudem über einige "bemerkenswerte Eigenschaften". Unter anderem deaktiviert Carberp andere Schadsoftware, um seiner Arbeit ungestört nachzugehen und kontrolliert den gesamten Internetverkehr. Außerdem kann das Schadprogramm MicrosoftMicrosoft Windows XP, Vista und 7 infizieren und ist ohne Administrationsrechte lauffähig. Dagegen wird der Trojaner Zeus, ein weiterer "alter Bekannter" für das Klauen von Online-Banking-Daten, offenbar nicht mehr weiterentwickelt. Er bleibt trotzdem weiter eine Bedrohung. Alles zu Microsoft auf CIO.de

Darüber hinaus hat das BSI für das vierte Quartal 2010 noch weitere Trends identifiziert.

Immer mehr RTF-Dateien infiziert

So werden inzwischen vermehrt Textdateien im weit verbreiteten RTF-Format (Rich Text Format) manipuliert und mit Schadcode infiziert. Des Weiteren hat erstmals ein Computervirus die gesamten EDV-Systeme eines Krankenhauses lahmgelegt. Rückläufig waren zum Jahresende 2010 Spam-Attacken, während die Anzahl der mit Schadprogrammen infizierten Computer stark stieg. Nach einer BSI-Stichprobe sollen fast 374.000 Systeme befallen sein.