Corporate Trust warnt Unternehmen vor neuartigen Spionage-Attacken

Siemens-Kunden können Produktionsprozesse selbst auswerten und visualisieren. Hierzu hat Siemens die Software WinCC in sein System integriert. Diese Software läuft auf dem Betriebssystem Windows. Erste Variante der Attacken: Ein unter dem Namen „Stuxnet“ bekanntes Programm installiert sich beim Einstecken eines USB-Sticks auf dem PC und sucht dann gezielt nach „WinCC“ und darüber einen Zugang zu den Datenbanken.

Weitere Variante: Beim Anzeigen von Icons  kann in bestimmten Fällen schadhafter Code ausgeführt werden. Dieser Fehler hat eine besonders hohe Brisanz, da bisher immer eine Benutzerinteraktion wie ein Mausclick oder ein Tastendruck notwendig war, um einen Schadcode auszuführen.

Im Fall dieser – bisher von Microsoft noch nicht gepatchten Lücke – reicht das Betrachten eines USB-Sticks oder eines Netzlaufwerks in der Dateiansicht, um den Schadcode auf den Rechner zu bekommen. Die gängigen Empfehlungen z.B. für den sicheren Umgang mit fremden USB-Sticks verhindern einen solchen Angriff meist nicht.

Florierender Schwarzmarkt

Die Entdeckung eines solch gravierenden Fehlers in einem weit verbreiteten Betriebssystem ist auf dem Schwarzmarkt für Sicherheitslücken viel Geld wert. Es Ist durchaus üblich, dass für kleinere Fehler zwischen zehn- und fünfzigtausend US-Dollar bezahlt werden. Für größere Entdeckungen geht man von hunderttausend bis zu einer Viertelmillion Dollar „Finderlohn“ aus.

Oft kaufen Sicherheitsfirmen die Fehler, bauen die Entdeckungsroutinen in Ihre Produkte ein und geben die Daten dann an den Hersteller des fehlerhaften Produkts. In der Werbung kann sich die Sicherheitsfirma dann damit brüsten, ihre Kunden seien vor Fehlern früher geschützt als die Kunden der Konkurrenz.

Ein zweiter Aspekt des entdeckten Angriffs ist der Schadcode, der durch die oben beschriebene Lücke auf den PCs installiert wurde. Viele Versionen von Windows warnen, wenn unautorisierte Software ausgeführt werden soll. Diesen Schutz haben der oder die Angreifer umgangen: Sie haben ihren Trojaner mit einer gültigen Signatur der Firma Realtek versehen.

Realtek ist ein großer Hersteller von PC Geräten und besitzt für die Erstellung von Treibersoftware für seine Geräte, einen jener geheimen Schlüssel, die Windows klaglos akzeptiert. Auch dieser Aspekt wird in der IT-Branche nun heiß diskutiert.

Der hier Angriff hat nicht unerhebliche Geldmittel verschlungen. Der oder die Täter müssen sich zunächst das Wissen über eine „Lücke“ auf dem Schwarzmarkt besorgen. Die Programmierung eines sauber laufenden und unauffälligen Trojaners ist nur durch erfahrene und gutbezahlte Profis möglich. In diesem Fall muss man von einer Auftragsarbeit ausgehen.

Mehrere hunderttausend Euro

Abhängig von den Schutzmaßnahmen, die Realtek etabliert hat, um den geheimen Schlüssel zur Softwaresignatur zu schützen, entstand für die Angreifer sicherlich ein gewisser Aufwand um – möglichst anonym – an diesen Schlüssel zu kommen. Die Experten von Corporate Trust schätzen, dass dieser Angriff mehrere hunderttausend Euro gekostet hat.

Wer aber gibt so viel Geld für einen Angriff aus, um eine Prozessleitstelle einer Produktionsanlage anzugreifen? Ist es eine Konkurrenzfirma von Siemens, die zeigen will, dass die Produkte der Konkurrenz anfällig sind? Oder war es ein Konkurrent einer bestimmten Produktionsanlage? War es  der Geheimdienst irgendeines Landes, oder eventuell eine internationale Terrororganisation? Sicher scheint eins: Es waren nicht die „üblichen“ Kriminellen.

Die Verwertungskette solcher Angriffe lief bisher über die Betreiber sogenannter Botnetze, die alle Rechner, auf denen der Trojaner über eine Lücke zur Ausführung kam kontrollierten. Über diese Botnetzbetreiber wurden dann verschiedene Angriffsmaschen umgesetzt, die direkt oder indirekt das Ziel hatten, einen nichts ahnenden Internetbenutzer um sein Geld zu bringen. Durch einen möglichst breitgestreuten Angriff können Kriminelle so meist genug Geld sammeln, um die Angriffskosten wieder einzuspielen.

Egal ob ein Angriffsteam diese Attacke im Auftrag der Privatwirtschaft durchgeführt hat oder die Information Warfare Abteilung einer Regierungsorganisation dahinter steckt: die Zusammenarbeit zwischen Spionageexperten und den IT-Strukturen im Umfeld der organisierten Kriminalität hat einen neuen Höhepunkt erreicht. Der einzige positive Aspekt der Angelegenheit: der Angriff ist publik geworden.

Viele weitere Male

Die hier beschriebene Angriffsmethode hätte noch viele weitere Male verwendet werden können und wurde eventuell in der Vergangenheit auch bereits für andere Angriffe benutzt. Nun, da die Attacke in der Öffentlichkeit analysiert wird und Microsoft bereits an einem Patch arbeitet, ist die Angriffsmethodik für sicherheitstechnisch gepflegte Systeme wertlos. Das Angriffsteam muss als eine neue Methode entwickeln.

„Solche Angriffe zeigen vor allem eines: Informationsschutz muss auch in den Firmen übergreifend über physischen Schutz, Prozesse und IT organisiert werden. Das Zusammenwachsen der Sicherheitsorganisation mit den IT-Sicherheitsexperten ist in den meisten Firmen lange überfällig“ sagt Thomas Edlbergmeier, Geschäftsführer der Corporate Trust Business Risk & Crisis Management GmbH.

Speziell der deutsche Mittelstand ist hier aufgrund des oft rasanten (Auslands-)Wachstums der vergangenen Jahre gefährdet, da die Sicherheitsanstrengungen oftmals mit der Expansion nicht Schritt halten konnten.

Florian Oelmaier, Leiter IT-Sicherheit und Computerkriminalität bei der Corporate Trust ergänzt: „Als eine Maßnahme zur Prüfung, wie gut der eigene Schutz ist, bietet sich ein Spionage-Penetrationstest an, bei dem alle Aspekte der Sicherheit vom Werkschutz über die Social Engineering Resistenz der Mitarbeiter bis hin zur Hackerresistenz von Internetzugängen geprüft werden. Ein Spionage-Penetrationstests gibt oft wertvolle Hinweise, wo Verbesserungsmöglichkeiten bestehen.“

Fazit

Die neuen technischen Aspekte der aktuellen Windows-Lücke werden zu Recht viel diskutiert. Die Ausführung von Schadcode allein durch die Anzeige eines Icons und die Tatsache dass die Angreifer ihr Programm mit einer offiziellen Signatur versehen konnten demonstrieren eine neue Gefahr auf dem Feld der IT-Technologie.

Dabei darf aber nicht vergessen werden, dass dieser Angriff auch eine neue Qualität in der Wirtschaftsspionage aufzeigt. Spionageexperten arbeiten Hand in Hand mit den Strukturen der Hackerszene um hochwertige Kombinationsattacken durchführen zu können.

Davor kann nur eine funktionstüchtige Sicherheitsorganisation schützen, bei der die Experten für Unternehmenssicherheit mit den IT-Sicherheitsexperten Hand in Hand nach einem sauber definierten und implementierten Informationsschutzkonzept arbeiten.

ct/pan