Trellix Logo

What Is Stuxnet?

Definition Stuxnet Worm Stuxnet Legacy Protection Request a Demo

Stuxnet ist ein Computer-Wurm, der sich ursprünglich gegen Atomanlagen im Iran richtete. Seitdem ist er mutiert und wurde auch gegen andere Industrie- und Energieerzeugungsanlagen eingesetzt. The original Stuxnet malware attack targeted the programmable logic controllers (PLCs) used to automate machine processes. Bei seiner Entdeckung 2010 erregte der Wurm große mediale Aufmerksamkeit, weil er der erste bekannte Virus war, der Hardware lahmlegen konnte, und scheinbar von der US-amerikanischen National Security Agency (NSA), der CIA und dem israelischen Geheimdienst programmiert wurde. 

Die Taktik des Stuxnet-Wurms

Berichten zufolge zerstörte der Stuxnet-Wurm zahlreiche Zentrifugen in der iranischen Urananreicherungsanlage Natanz, indem er sie heißlaufen und durchbrennen ließ. Im Laufe der Zeit haben andere Gruppen den Virus modifiziert, um Einrichtungen wie Wasseraufbereitungsanlagen, Kraftwerke und Gasleitungen anzugreifen.

Stuxnet war ein mehrteiliger Wurm, der mit USB-Sticks übertragen wurde und sich über Microsoft Windows-Computer verbreitete. Der Virus suchte auf infizierten PCs nach Spuren der Siemens-Software Step 7, mit der Industrie-Computer, die als SPS dienen, elektromechanische Anlagen automatisieren und überwachen. Sobald die Malware einen SPS-Computer gefunden hatte, begann sie, ihren Code über das Internet zu aktualisieren und Anweisungen an die vom PC gesteuerte elektromechanische Anlage zu senden, die dann zu Schäden führten. Gleichzeitig sendete der Virus falsches Feedback an die Hauptsteuerung, sodass es bis zu dem Zeitpunkt, als die Anlage mit der Selbstzerstörung begann, für das Überwachungspersonal keinen Hinweis auf ein Problem gab.

Das Vermächtnis von Stuxnet

Obwohl der Stuxnet-Wurm Berichten zufolge von seinen Autoren so programmiert wurde, dass er sich im Juni 2012 deaktiviert, und Siemens Korrekturen für seine SPS-Software veröffentlichte, lebt das Vermächtnis von Stuxnet in anderen Malware-Angriffen auf der Basis des Originalcodes fort. Zu den "Söhnen von Stuxnet" gehören:

  • Duqu (2011). Duqu wurde auf der Basis des Stuxnet-Codes entwickelt, um Tastaturanschläge aufzuzeichnen und Daten aus Industrieanlagen zu schürfen, vermutlich um später einen Angriff zu starten.
  • Flame (2012). Flame wurde wie Stuxnet über USB-Sticks übertragen. Dabei handelte es sich um eine hochentwickelte Spyware, die u. a. Skype-Telefonate aufgenommen, Tastaturanschläge aufgezeichnet und Screenshots gesammelt hat. Sie richtete sich gegen staatliche und Bildungseinrichtungen sowie einige Privatpersonen hauptsächlich im Iran und anderen Ländern des Nahen Ostens.
  • Havex (2013). Havex hatte das Ziel, Informationen u. a. von Unternehmen der Energie-, Luftfahrt-, Verteidigungs- und Pharmaziebranche zu sammeln. Havex-Malware richtete sich hauptsächlich gegen Unternehmen in den USA, Europa und Kanada.
  • Industroyer (2016). Industroyer richtete sich gegen Stromerzeugungsanlagen. Dieser Malware wird ein Stromausfall in der Ukraine im Dezember 2016 zugeschrieben.
  • Triton (2017). Triton richtete sich gegen die Sicherheitssysteme einer petrochemischen Anlage im Nahen Osten, was Befürchtungen aufkommen ließ, dass Malware-Autoren Arbeiter absichtlich verletzen möchten.
  • Zuletzt (2018). Berichten zufolge wurde im Oktober 2018 eine nicht näher benannte Netzwerkinfrastruktur im Iran mit einem unbekannten Virus angegriffen, der Merkmale von Stuxnet trug.

Gewöhnliche Computer-Benutzer müssen sich zwar kaum Gedanken über diese Stuxnet-basierten Malware-Angriffe machen, für eine Reihe kritischer Branchen wie die Stromerzeugung, Stromnetze und Verteidigung stellen solche Angriffe jedoch eine große Bedrohung dar. Während Virusentwickler häufig auf Erpressung setzen, scheint sich die Stuxnet-Virusfamilie mehr für Angriffe auf Infrastrukturen zu interessieren.

Schutz industrieller Netzwerke vor Malware-Angriffen

Gute IT-Sicherheitspraktiken sind immer hilfreich, um Malware-Angriffe zu verhindern. Dazu gehören regelmäßige Patches und Updates, starke Kennwörter, eine Kennwortverwaltung sowie Identifizierungs- und Authentifizierungs-Software. Zwei wichtige Praktiken, die Schutz vor Stuxnet hätten bieten können, sind das Scannen aller USB-Sticks und anderer tragbarer Speichergeräte auf Viren (oder das grundsätzliche Verbannen solcher Speichermedien) sowie Endgeräte-Sicherheitssoftware, die Malware abfängt, bevor sie sich über das Netzwerk verbreiten kann. Weitere Praktiken für den Schutz von industriellen Netzwerken vor Angriffen:

  • Trennung der industriellen Netzwerke von allgemeinen Unternehmensnetzwerken mithilfe von Firewalls und einer demilitarisierten Zone (DMZ)
  • Strenge Überwachung von Maschinen, die industrielle Prozesse automatisieren
  • Nutzung von Anwendungs-Whitelists
  • Überwachung und Protokollierung aller Aktivitäten im Netzwerk
  • Implementierung starker physischer Sicherheitsmaßnahmen für den Zugang zu industriellen Netzwerken, z. B. Kartenleser und Überwachungskameras

Schließlich sollten Unternehmen auch einen Plan für die Reaktion auf Vorfälle entwickeln, um rasch auf Probleme zu reagieren und Systeme schnell wiederherzustellen. Train employees using simulated events and create a culture of security awareness.

Explore more Security Awareness topics

View Ransomware Topics View All Security Awareness