Mit der Unterzeile kommentiert Ninh, ein mir sonst nicht bekannter Mensch, eine Meldung bei über den Stuxnet-Wurm (1), der eine Besonderheit hat: Er kann Industrieanlagen steuern, auf denen die zur Anlagensteuerung eingesetzte SCADA-Software WinCC von Siemens läuft. Recht hat der Kommentator Ninh und viele andere auch, die sich in dem -Forum zu Wort melden.

Dort treffen nämlich zwei Welten aufeinander, die der Programmierer, die die Fahne für Softwarepflege, Updates und Steuerungsfähigkeit hochhalten, und die Mahner, die kein Verständnis dafür zeigen, dass kritische Infrastrukturen über das Internet gesteuert werden und ihre Überwachungs- und Steuerungsprogramme auch noch unter Windows laufen.

Die Malware ist Symantec zufolge in der Lage, Fernwartungen von Industrieanlagen zu übernehmen und deren Steuerungsfunktionen abzuändern und zu überschreiben. Sie kann also mit der infizierten technischen Produktionsstätte anfangen, was ihr Programmierer oder sein Auftraggeber will. Das ist in der Tat brisant und ein wunderbar zur Cybercrime und zum Cyberwar geeignetes Werkzeug. Symantec verweist auf ein Beispiel, wobei mit einer trojanisierten Ventilsteuerung der Druck in einer Pipeline bis zum Bersten erhöht worden sein soll.

Die einzige öffentliche Einrichtung, die sich offen dazu bekennt, eigene, isolierte Netze zu betreiben, ist die Bundeswehr. Ich vermute, dass sie auch die einzige Organisation in Deutschland ist, die wirklich über eigene Netzstrukturen verfügt.
  

Alle anderen Verwaltungen und Unternehmen dürften kommerzielle Carrier nutzen. Das heißt nicht, dass sie freie Schnittstellen im Internet verwenden und ihre Datenkommunikation für alle Welt offen ist. Auch Overlay-Netze, Virtual Private Networks - VPN - und getunnelte Datenstrecken versprechen im Betrieb eine hervorragende Sicherheit.

Die wichtige Formulierung dabei ist "im Betrieb". Der Betrieb selber lässt sich durch Verschlüsselungs- und VPN-Techniken nicht sichern. Er hängt von der schnöden physikalischen Technik ab, die der Carrier betreibt, sichert und erneuert.

Um örtlich weit verteilte Produktionsanlagen für Strom, Industriegüter und alles andere zu überwachen, zu steuern und an geänderte Anforderungen anzupassen, bedarf es der Kommunikationsnetze. Es reicht nicht, eben mal einen Klingeldraht über das Betriebsgelände zu verlegen.

Die Carrier bedienen den Bedarf mit leistungsfähigen und verhältnismäßig robusten Kabelnetzen, die jede Menge Selbstheilungsmechanismen haben. Wenn sie ausfallen, dann fallen sie großräumig und richtig aus.

Das ist genau die Gefahr, die uns der Stuxnet-Wurm vor Augen führt: Wer die Steuerung technischer Anlagen angreifen kann, kann damit auch katastrophale Kaskaden- und Dominoeffekte verursachen, die in ihrem Ablauf unvorhersehbar und unkalkulierbar sind. Auf jeden Fall sind sie mehr oder weniger nachhaltig zerstörerisch.
 

 
Eine Anforderung an eine handwerklich saubere Programmierung ist die, dass Variablen nicht in den Quelltext eingebunden werden dürfen, sondern nur in gesonderte Tabellen, die von einem anderen Programmierer oder sogar vom Programmanwender gepflegt werden können.

Aus der Sicht der Softwareentwicklung und -pflege ist dem nichts zu erwidern. Eine andere Frage ist aber die, ob und unter welchen Voraussetzungen die Änderungen von Variablen und Programmversionen im laufenden Produktionsbetrieb zugelassen werden sollen. Die geschützte Entwicklungsumgebung ist eine andere als die sensible Echtzeitumgebung, in der Produktionsprozesse stattfinden.

Die von mir nicht immer bejubelte ITIL haben eine keinen Widerspruch zulassende Antwort darauf: Jede Änderung an der IT-Infrastruktur muss einen Prozess durchlaufen, der von der Änderungs-Anfrage (Request of Change), über seine Prüfung und Bepreisung bis zur Umsetzung und technischen Abnahme reicht. ITIL ist sehr konservativ: Don't change a running system.

Ich ecke immer wieder damit an, dass ich "feste Verdrahtungen" für den Wirkbetrieb fordere, weil Programme, die sich ändern lassen, und änderbare Speichermedien immer einen grundsätzlichen Angriffspunkt bieten. Ich will kein Internet, das nur noch "vom Fräulein vom Amt" gestöpselt werden kann, sondern den durchdachten Einsatz restriktiver Türsteher an den Knotenpunkten zu kritischen Infrastrukturen. Das heißt: Am Gateway zu einem Kernkraftwerk hätte ich lieber eine Babbage-Maschine, die man mit Lötkolben und von Hand umprogrammieren muss, als eine Software-Firewall, die vor lauter Knallerei den letzten Schuss nicht mehr hört.
 

 
Damit spreche ich mich für bewusste strategische Entscheidungen aus und entwickele mich immer mehr und ohne, dass ich das will, zu einem strengen ITILianer. Gefahrenquellen müssen gesucht, bewertet und in dem Maß abgesichert werden, das sie unter wirtschaftlichen und betriebssichernden Gesichtspunkten verdienen. Dazu gehören auch Restriktionen und zwar nicht nur solche, die den Anwender betreffen, sondern auch jene, die das System stabilisieren. Ihre Kehrseite sind Mehraufwendungen beim Change.

Wenn ich mir anschaue, dass in meinem Umfeld alle Fernwartungssysteme immer noch ganz wesentlich auf die Adidas-Betreuung durch laufende Systemverwalter angewiesen sind, dann kann ein wenig geplanter Menscheneinsatz an sensiblen Eingriffspunkten auch nicht schaden.

Der Stuxnet-Wurm ist eine typische Erscheinungsform des noch kalten Cyberwar. In dieser Phase testen vor allem Cyberkriminelle ihre Möglichkeiten und Grenzen aus und geben sich als Anbieter in der Dark Economy zu erkennen. Stuxnet hat auch ein riesiges zerstörerisches Potenzial, vor dem wir unsere Augen nicht verschließen dürfen. Der Wurm lässt das Pulverfass erkennen, auf dem wir sitzen.

Nein, Ninh, das ist noch nicht der Cyberwar. Stuxnet "spielt" erst noch wie Nachbars Kampfhund.

23.09.2010: Frank Rieger vom kommt zu dem Schluss, dass Stuxnet ein Staatstrojaner ist, der von den USA gegen die Nuklearfertigungsanlagen in dem Iran eingesetzt wurde (2). Der Trojaner sei so programmiert, dass er sich bereits im Januar 2009 abschalten sollte, aber durch falsche Zeiteinstellungen auf angegriffenen Computern überlebt habe. Seine Funktionsvielfalt und Raffinesse lasse darauf schließen, dass seine Entwicklung siebenstellige Kosten verursacht habe.

Auch 'ne Erklärung.
 

(1) Stuxnet-Wurm kann Industrieanlagen steuern, Heise online 16.09.2010;
Stuxnet-Schädling in 14 Siemens-Fabriken entdeckt, tecchannel 17.09.2010
 

 
(2) Thomas Pany, Ist Stuxnet ein Staatstrojaner? Telepolis 23.09.2010