Viren-Infektionen bei US-Stromversorgern

Das US-amerikanische Computer Emergency Response Team (US-CERT) berichtet in seinem aktuellen ICS-CERT Monitor von gleich zwei Viren-Infektionen bei US-amerikanischen Stromversorgern im letzten Quartal 2012. In beiden Fällen wurden industrielle Steuerungsanlagen über USB-Sticks infiziert. Die Schädlinge verursachten unter anderem den mehrwöchigen Ausfall eines Elektrizitätswerks.

Quelle: heise.de vom, 14.01.12

Der betroffene Stromerzeuger wandte sich letztlich mit einer Meldung an den Industrial Control System-CERT (ICS-CERT) des US-CERT, der die auch betroffenen Ingenieurs-Rechner von der Schadsoftware befreite. Bei diesen war die Rettung besonders heikel, da keine Backups existierten und ein möglicher Ausfall der Systeme den Betrieb "deutlich beeinträchtigt" hätte.

Im zweiten Fall waren Maschinen in einem Elektrizitätswerk durch den USB-Stick eines externen Mitarbeiters infiziert worden (...) Bis das Elektrizitätswerk wieder ans Netz gehen konnte, dauerte es mehr als drei Wochen.

Obwohl der Angriffsvektor USB-Stick schon ein "alter Hut" ist, ist er noch immer sehr wirkungsvoll, wie diese Beispiele zeigen. Wobei hier noch weitere Fehler notwendig waren (vermutlich auch autorun aktiviert), damit die Schadsoftware wirksam werden konnte. Natürlich auch, dass Industrieanlagen häufig nicht einfach gepatched werden können und daher Sicherheitslücken offen bleiben. Fehlende Backups weißen zusätzlich auf massive organisatorische Mängel hin. 

Unter anderem wird im aktuellen "Monitor" auf das schon länger andauernde "Project Shine" hingewiesen, welches über die frei zugängliche Suchmaschine Shodan Zahlen zu ungesicherten Geräten mit SCADA und anderen Steuerungssystemen ermittelt. Die Forscher fanden bereits über 500.000 potentiell anfällige, über das Netz zugängliche, Geräte. Bei genaueren Untersuchungen konnten sie die Zahl für die USA nun auf 7.200 anfällige Maschinen reduzieren. Über 100 andere Länder, in denen durch das Projekt gefährdete Geräte erfasst wurden, haben Warnungen von "Project Shine" erhalten.

So gesehen könnte man eigentlich auch von viel Glück sprechen, dass es nicht zu mehr schweren Zwischenfällen in der Infrastruktur kommt. Die andere Interpretation - dass die Sorgen unberechtigt sind, weil eh nichts passiert - sollte wohl eher nicht angestellt werden.