Mit Stuxnet hat ab Juni 2010 erstmals eine Schadsoftware direkt Industrieanlagen angegriffen. Die Attacken des Spionage-Tools gelten dabei den so genannten SCADA-Systemen (Supervisory Control and Data Acquisition). Das sind Prozess-Steuerungs- wie auch Automatisierungs- und -leitsysteme. Diese werden unter anderem bei der Stromerzeugung und -verteilung, der Gas- und Wasserversorgung sowie bei der Verkehrsleittechnik und in der Produktion eingesetzt.
Stuxnet breitet sich via Internet aus
Solche SCADA-Systeme lassen sich seit kurzem gezielt über die Suchmaschine "Shodan" finden, denn diese sucht im IP-Adressraum nach öffentlich zugänglichen SCADA-Servern. Dies fand das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem jetzt veröffentlichten "Lagebericht" zur IT-Sicherheit im vierten Quartal 2010 heraus.
Kriminelle könnten demnach Prozesssteuerungs-Systeme via Internet mit geringem Aufwand aufspüren sowie angreifen und kompromittieren. Und das, obwohl die Systeme aufgrund ihrer Sicherheitsarchitekturen theoretisch über das Internet gar nicht erreichbar sein dürften. Ein Trugschluss: Laut BSI habe der IT-Sicherheitsanbieter Symantec im Rahmen einer Stuxnet-Analyse festgestellt, dass viele SCADA-Systeme mit dem Internet verbunden seien.
Auch die meist webbasierten Frontends der Prozesssteuerungs-Systeme bereiten den BSI-Experten Sorgen. Auf viele lässt sich von außen zugreifen, sei es aufgrund von Fehlkonfigurationen, sei es aus Bequemlichkeit - etwa um die Rechner am Wochenende von zuhause aus administrieren zu können. Auf diese Weise könnten Angreifer selbst ohne Zugangsdaten sensible Konfigurations-Informationen auslesen.
Auch Webauftritte weisen zahlreiche Schwachstellen auf. Das zeigten Penetrationstests. Besonders gefährlich sind dabei Sicherheitslücken, über die ein Angreifer seine Benutzerrechte erweitern und so an vertrauliche Daten gelangen kann.
Webseiten schlecht gesichert
Häufige Angriffsmethoden von Cyber-Kriminellen sind eine SQL-Injection, also die Weiterleitung von SQL-Befehlen an die Datenbank der Webanwendung, das Cross-Site-Scripting (XSS) und die Übernahme ganzer Sitzungen (Sessions). Bei XSS-Angriffen werden Daten von einem Nutzer an einen anderen ungeprüft weitergeleitet. Bei einer Session-Übernahme verschaffen sich Angreifer Zugriff auf fremde Benutzerrechte, indem sie deren genannte Session-Tokens kapern.
Hintergrund für diese Entwicklung ist, dass die Komplexität der IT-Systeme in Unternehmen laufend steigt und diese immer mehr miteinander vernetzt werden. Das wiederum macht eine korrekte Konfiguration immer schwieriger. Auch Trends wie Virtualisierung tragen dazu bei.
Neuer Trojaner infiziert auch Windows 7
Mit dem Trojaner Carberp gibt es zudem eine neue Schadsoftware, die darauf spezialisiert ist, persönliche Anmeldedaten für das Online-Banking zu stehlen. Dazu fängt die Schadsoftware mittels einer Man-in-the-Browser-Attacke die Kommunikation zwischen einem Nutzer und seinem Browser ab. In der Praxis bedeutet das: Gibt ein Bankkunde seine Anmeldeinformationen ein, stiehlt das Programm die Daten, noch bevor diese verschlüsselt werden, und schickt sie an den Angreifer.
Laut den Sicherheitsexperten des BSI verfügt der Trojaner zudem über einige "bemerkenswerte Eigenschaften". Unter anderem deaktiviert Carberp andere Schadsoftware, um seiner Arbeit ungestört nachzugehen und kontrolliert den gesamten Internetverkehr. Außerdem kann das Schadprogramm Microsoft Windows XP, Vista und 7 infizieren und ist ohne Administrationsrechte lauffähig. Dagegen wird der Trojaner Zeus, ein weiterer "alter Bekannter" für das Klauen von Online-Banking-Daten, offenbar nicht mehr weiterentwickelt. Er bleibt trotzdem weiter eine Bedrohung.
Darüber hinaus hat das BSI für das vierte Quartal 2010 noch weitere Trends identifiziert.
Immer mehr RTF-Dateien infiziert
So werden inzwischen vermehrt Textdateien im weit verbreiteten RTF-Format (Rich Text Format) manipuliert und mit Schadcode infiziert. Des Weiteren hat erstmals ein Computervirus die gesamten EDV-Systeme eines Krankenhauses lahmgelegt. Rückläufig waren zum Jahresende 2010 Spam-Attacken, während die Anzahl der mit Schadprogrammen infizierten Computer stark stieg. Nach einer BSI-Stichprobe sollen fast 374.000 Systeme befallen sein.