«Stuxnet war gar nicht so gut programmiert»

Gerade eben hat Symantec seinen «Internet Security Threat Report» publiziert (Computerworld.ch berichtete bereits ausfhrlich). Wichtigste Ergebnisse sind die Zunahme gezielter Attacken auf Firmen und die Zunahme von Angriffen auf Smartphones. Computerworld.ch sprach mit Candid Wüest, Virenjäger bei Symantec Schweiz und Mitautor des Security-Berichts über die aktuelle IT-Sicherheits-Bedrohungslage in unserem Land. Computerworld: Welches sind nach Ihrem jüngsten Internet-Sicherheits-Bericht die wichtigsten Trends. Wovor müssen sich vor allem Firmen besonders hüten? Candid Wüest: Für Firmen wird derzeit die Bedrohung durch sehr zielgerichtete Attacken immer akuter. Dieser Trend ist nicht neu, er hat sich aber im vergangenen Jahr klar verstärkt. Zudem stellen wir in diesem Zusammenhang eine zunehmende Professionalisierung fest. Bestes Beispiel sind die Attacken auf Google und 30 weitere Firmen, die aus China angegriffen wurden. Hier wurden sehr gezielt einzelne Unternehmen herausgepickt, die man angreifen wollte. Zudem wurden dabei über Unternehmens-spezifische Soziale Netze Informationen zu den Opfern gesammelt und für die Ausgestaltung der Attacken verwendet. Auch in der Schweiz gibt es solche Attacken. Ich erinnere da nur an den Angriff aufs EDA. Auch hier wurden bestimmte Leute angeschrieben und dazu verleitet auf einen speziellen Link zu klicken.Computerworld: Ist es nicht schwierig, diesen Trend festzustellen, gerade weil ja oft die Firmen nichts davon mitbekommen und somit Sie vielleicht auch nicht? Candid Wüest: Das ist richtig. Wir sehen hier nur die Spitze des Eisbergs. Ganz spurlos sind solche Angriffe auf der anderen Seite ebenfalls nicht. So kann man mit forensischen Methoden sehr wohl feststellen, ob eine Attacke sehr gezielt verläuft, etwa indem man Netzwerkverbindungen sehr genau analysiert.Computerworld: Sind hier Firmen in der Schweiz mehr betroffen als anderswo? Candid Wüest: Nein. Es ist schon eher ein globales Problem, und die Firmen sind in den meisten Ländern betroffen. Wo wir aber Unterschiede feststellen können, ist bei den Branchen. So sind Banken und Versicherungen für Angreifer interessant, aber auch Online-Shops und Telekomdienstleister. Im Grunde verhält es sich gleich wie bei der klassischen Wirtschaftsspionage. Hier waren und sind ja auch Unternehmen aus der Finanzbranche interessanter als der lokale Bäckereibetrieb. Computerworld: Gibt es neben diesen gezielten Attacken einen weiteren Trend, den Sie ausmachen? Candid Wüest: Der zweite Trend sind sicher die zunehmenden Sicherheitsprobleme mit mobilen Geräten wie Smartphones. In vielen Unternehmen existieren diese zwar noch nicht offiziell. Inoffiziell erhalten sie aber immer häufiger Zugang zur Firmeninformatik und werden so zum Einfallstor. Wir sehen somit immer mehr iPhones und Android-Handys in den Unternehmen. Zudem stellen wir den Trend zur Consumerization der IT fest. Mitarbeiter bringen ihre privaten Geräte wie etwa ein iPad mit ins Büro und verlangen vom Systemverantwortlichen, dass er es ihnen ermöglicht, damit die Geschäftsmails zu empfangen. Jenachdem in welcher Position der Antragsteller sich befindet, muss die IT dem Wunsch nachkommen. Hier wäre es dann wichtig, dass Firmen Policies haben. Wir stellen aber fest, dass viele Unternehmen sich diesbezüglich noch auf der grünen Wiese befinden. Viele Administratoren wissen nicht einmal, wie viele der Geräte schon im Einsatz sind und was mit denen alles aufgerufen wird. Denn wenn die Anwender etwa via UMTS Webseiten ansteuern, dann wird die Firmen-eigene Firewall ausser Kraft gesetzt. Hier tun sich also neue Angriffswege auf, über die sich die immer wertvolleren Informationen, die auf Smartphones lagern – wie Geschäftsmails –, auslesen lassen. Android-Smartphones gefährlicher als iPhones Computerworld: Sehen Sie schon Unterschiede, welche der Smartphones anfälliger sind? Candid Wüest: Obwohl in der Schweiz Apples iPhone sehr verbreitet ist, was es ja für Angreifer attraktiv werden lässt, sehen wir, dass sich Hacker mehr für die Android-Plattform interessieren. Da Smartphone-Angriffe hauptsächlich via Apps ausgeführt werden, ist es derzeit einfacher, eine bösartige Anwendung im App-Markt von Google unterzubringen. Denn dort werden die Programme nach einer rudimentären Prüfung zum Download bereit gestellt und erst entfernt, wenn die User Probleme melden. Bei Apple ist die Prozedur doch sehr viel komplexer und die Apps werden genauer untersucht, bevor sie im Appstore angeboten werden. Auch wenn dies vordergründig sicherer ist, birgt das Verfahren von Apple die Gefahr, dass die Anwender dazu verleitet werden, ihre Smartphones durch einen Jailbreak zu öffnen und sie somit angreifbar werden. Bei derart geöffneten Geräten haben wir dann beobachten können, dass sich sogar bösartige Programme von iPhone zu iPhone fortpflanzen. Stuxnet und die Folgen Computerworld: Eine der grossen IT-Security-Ereignisse im letzten Jahr war ja auch der Angriff mit Stuxnet. Laut Ihrem Kollegen und Konkurrenten Eugene Kaspersky ist der Wurm Stuxnet mit grosser Wahrscheinlichkeit von Geheimdiensten entwickelt worden – ihm zufolge wegen der hohen Entwicklungskosten. Nun seien aber die Bauteile von Stuxnet bekannt und ein vergleichsweise günstiges Reeingineering möglich. Teilen Sie diese Auffassung? Candid Wüest: Ich würde den ersten Teil seiner Aussage sogar noch zuspitzen. Zwar gehe auch ich davon aus, dass Stuxnet das Werkzeug von Geheimdiensten ist, allerdings mehr aus ideologischen Gründen als aus finanziellen. Denn Stuxnet hat zwar insgesamt vier Schwachstellen ausgenutzt, um sein Ziel zu erreichen. Zwei von diesen waren allerdings in der Szene bekannt, und zwar seit 2008 und 2009. Die anderen waren Zero-Day-Lücken, mit denen man die User-Rechte erhöhen konnte. Insgesamt hätte man für Stuxnet also etwa 250’000 Dollar aufwenden müssen. Jenachdem wie finaziell attraktiv das Ziel ist, bin ich überzeugt, dass sich das organisierte Verbrechen, das vielleicht Millionen pro Jahr umsetzt,  einen Stuxnet-Wurm auch hätte leisten können.Was das Reengineering anbelangt, kann ich dagegen etwas beruhigen. Denn der technische Teil von Stuxnet ist gar nicht so genial. Gewisse Funktionen hat beispielsweise vor Jahren schon der Wurm Conficker ausgeführt – zum Teil sogar besser als Stuxnet. Für die Wurm-artige Verbreitung braucht es Stuxnet also gar nicht. Hierfür sind die technischen Versatzstücke schon lange im Untergrund erhältlich.Was Stuxnet jedoch speziell macht, sind die zielgerichteten Angriffe auf die Steuerungselemente, die Controller von Siemens. Hierfür war grosses verfahrenstechnisches Insiderwissen nötig, um die Urananreicherung nachhaltig zu stören.Um also andere Industrien zu sabotieren, beispielweise eine Schokoladenfabrik in der Schweiz, die vielleicht auch Siemens-Anlagen einsetzt, muss das entsprechende Insiderwissen über die Verfahrenstechnik in Erfahrung gebracht werden. Im schlimmsten Fall müsste ein Angreifer den ganzen Code für die Steuerung nochmals neu programmieren.Aus diesen Gründen sehe ich keine erhöhte Gefahr durch eine neue Version von Stuxnet. Denn der eine Teil war bekannt und den anderen Teil muss man in jedem Fall neu programmieren. Computerworld: Wie sehen Sie in diesem Zusammenhang die Gefahr einer Cyberattacke auf die Infrastruktur der Schweiz? Candid Wüest: Rein technisch gesehen ist es für Cyberterroristen möglich, die vier klassischen super-kritischen Infrastrukturen der Schweiz, also die Strom- und Wasserversorgung, Verkehrsleitsysteme sowie die Telekommunikationsnetze, anzugreifen. Angesichts des hohen Informatisierungsgrad der Anlagen muss man fairerweise sagen, dass es für einen Terroristen wahrscheinlich einfacher ist, beispielsweise das Internet oder das Telefonnetz der Schweiz lahmzulegen, als eine grosse Bombe in unser Land zu schleusen. Hier ist der Bund einerseits daran, diese Infrastruktur besser abzusichern. Andererseits muss man natürlich auch sagen, dass die Schweiz sich nicht derart exponiert, dass sie das Ziel eines Anschlages werden könnte.Für mich ist es dagegen viel wahrscheinlicher, dass Cyberkriminelle mit Sabotage drohen, um damit bestimmte Unternehmen zu erpressen. So könnte jemand beispielsweise einer Molkerei damit drohen, die Temperatur in der Jogurtanlage um ein paar Grad zu erhöhen, wenn sie nicht einen bestimmten Betrag bezahlt. Computerworld: Ich nehme an, kaum eine Firma spricht über einen solchen Erpressungsversuch. Sind Ihnen dennoch Beispiele aus der Schweiz bekannt? Candid Wüest: Aus der Schweiz nicht, aber aus Deutschland kenne ich einen Fall, der nicht publik ist, bei dem Erpresser die Firma unterrichteten, dass sie die Kontrolle über eine Fertigungsanlage übernehmen könnten. Dort wurde allerdings nichts gezahlt, vielmehr wurde die Steuerung der Anlage überprüft und neu abgesichert.Aus der Schweiz sind mir aber Fälle bekannt, bei denen beispielsweise Online-Shops mit einer Denial-of-Service-Attacke bedroht wurden und damit erpresst wurden.