Am 15.07.2020 jährte sich zum zehnten Mal der Tag, an dem die Welt auf die Bedrohung durch Stuxnet-Malware aufmerksam wurde. Stuxnet war die erste entdeckte Malware, die industrielle Steuerungssysteme (ICS) ausspionierte und angriff. Ein Kommentar von Alex Hinchliffe, Threat Intelligence Analyst, Unit 42, Palo Alto Networks.
Ihre Techniken zur Kompromittierung, Verbreitung und Ausführung von Zielen waren ausgeklügelt. Wie sieht also ein Jahrzehnt später das Erbe von Stuxnet aus, wie industrielle Steuerungssysteme angegriffen werden und wie sich Unternehmen schützen sollten?
Stuxnet zielte speziell auf eine Urananreicherungsanlage im Iran ab. Die Verbreitung schlecht gesicherter IoT-Geräte macht es mittlerweile allen Arten von Angreifern leichter, Unternehmens- und Industrienetzwerke rund um den Globus zu infizieren. Eine im März veröffentlichte IoT-Studie von Palo Alto Networks ergab, dass 57 Prozent der IoT-Geräte anfällig für Angriffe mittlerer oder hoher Schwere sind, was das IoT zur „niedrig hängenden Frucht“ für Hacker im Jahr 2020 macht.
Alex Hinchliffe, EMEA Threat Intelligence Analyst bei Palo Alto Networks und Mitverfasser eines Berichts zur neuen ICS-orientierten Ransomware-Bedrohung namens EKANS, erklärt dazu: „Viele der aktuellen Bedrohungen nutzen verschiedene Techniken, die zuerst in Stuxnet gefunden wurden, aber nie alle zusammen in einer einzigen Bedrohungs- oder Angriffskampagne auf dem gleichen Niveau wie bei Stuxnet.“
Aktuelle Bedrohungen, ob es sich um Cyberkriminalität oder nationalstaatlich initiierte Cyberangriffe handelt, sind in der Regel viel einfacher aufgebaut, was leider immer noch funktioniert. Das liegt daran, dass zu viele Angriffsziele – im privaten oder öffentlichen Sektor – Angreifern aus der Ferne gegenüber offen sind. Im Vergleich dazu hat Stuxnet eine viel härtere Herausforderung ins Visier genommen und die Hürde tatsächlich auch überwunden: Air-gapped-Netzwerke, also durch einen „Luftspalt“ physisch isolierte Netzwerke.
„Stuxnet ist seit seiner Entdeckung weitgehend unübertroffen. Obwohl wir gelegentlich destruktive Malware sehen, führen solche Angriffe oft zu gelöschten oder beschädigten Festplatten von Systemen, die relativ schnell wiederhergestellt werden können. Ebenso beobachten wir gelegentlich Bedrohungen, die auf industrielle Steuerungssysteme ausgerichtet sind. Dies ist aber fast immer dort der Fall, wo die Malware mit dem Standardbetriebssystem des Host-Computers interagiert und nicht direkt mit der maßgeschneiderten Hardware oder dem Protokoll des Steuerungssystems, im Gegensatz zu Stuxnet.“
Trotz jüngster Spekulationen ist es unwahrscheinlich, dass die meisten Unternehmen mit einem Angriff vom Typ Stuxnet konfrontiert werden. Es ist jedoch sehr wahrscheinlich, dass ihre kritischen Systeme und Prozesse durch Wellen von gängiger Malware gestört werden, deren Volumen mit dem Wachstum des industriellen IoT und dem unterdurchschnittlichen Schutz älterer ICS-Umgebungen zunimmt.
„Es gibt praktische Schritte, die unternommen werden können. Abgesehen von Zero-Day-Bedrohungen ist das Patchen aller Softwareanwendungen, Betriebssysteme und der gesamten Hardware von entscheidender Bedeutung. Die Ausdehnung der Sicherheit über ein Unternehmen hinaus und in die Lieferkette hinein ist entscheidend. Hier geht es darum, wie Unternehmen physisch und digital interagieren. Natürlich müssen die Cyberhygiene verschärft und strenge Sicherheitsrichtlinien für die Netzwerkkommunikation definiert werden. Zudem gilt es, eine Zero-Trust-