Stuxnet-Wurm befällt deutsche Industrieanlagen

Der im Rahmen der LNK-Lücke bekannt gewordene Wurm Stuxnet hat nach Angaben von Siemens inzwischen auch Industrieanlagen in Deutschland befallen. 15 Infektionen in Anlagen sind dem Hersteller bekannt, darunter befinden sich fünf aus der Prozessindustrie. Der Wurm ist zumindest in der Theorie dazu in der Lage, so genannte speicherprogrammierbare Steuerungen (SPS) zu manipulieren. In der Praxis konnte das laut einem Bericht von 'heise.de' noch nicht beobachtet werden. Allerdings enthält er eine Routine, die in befallenen WinCC- und PC7-Systemen nach bestimmten Datenbausteinen sucht. Offenbar wurde bislang noch nicht der gewünschte Anlagentyp gefunden, weshalb Stuxnet vorerst inaktiv bleibt.

Das auf Automatisierungstechnik spezialisierte Unternehmen Langner hat analysiert, wie der Wurm die SPS-Module manipuliert. Demnach schleust er seinen Code bei der Datenübertragung in die SPS ein. Dazu werden die Daten über eine Wrapper-DLL umgeleitet, bevor sie in SIMATIC weiterverarbeitet werden.

Stuxnet könnte speicherprogrammierbare Steuerungen in Anlagen manipulieren. Die SPS werden häufig zur Steuerung von Pumpen und Ventilen eingesetzt. Der Autor des Wurms erhält Zugriff auf die infizierten WinCC-Systeme und kann einzelne SPS auswählen und deren Verhalten verändern. Symantec weist auf einen Fall aus der Vergangenheit hin, wo ein Trojaner in einer Anlage dafür sorgte, dass der Druck in einer Pipeline über die infizierte Ventilsteuerung so stark erhöht wurde, dass die Pipeline barst.