Duqu: Die Stuxnet-Familie bekommt Nachwuchs

Tweet

Der Computervirus Stuxnet machte vor ziemlich genau einem Jahr weltweit Schlagzeilen, da er als erster Virus breite Verteilung erreichte, obwohl er keine herkömmlichen Computer infiziert. Stuxnet ist spezialisiert auf Industrieanlagen. Damit wird erstmals von einem Virus eine komplett neue Zielgruppe angesprochen und zudem ein völlig neues Schadenspotential ausgeschöpft. Jetzt hat Stuxnet „Nachwuchs“ bekommen: Duqu.

Antivirenspezialisten haben jetzt einen „Abkömmling“ von Stuxnet identifiziert und „Duqu“ genannt, man vermutet sogar die gleichen Programmierer hinter dem Schädling. Während sich Stuxnet relativ zielgerichtet auf iranische Atomanlagen stürzte, konnte bei „Duqu“ bislang noch keine geographischen Schwerpunkte festgestellt werden. Der Schädling verbreitet sich gerade weltweit auf Industrierechnern. Einen echten Schaden kann Duqu in der jetzt identifizierten Form noch nicht anrichten. Bislang scheint er nur dafür programmiert worden zu sein, Daten zu sammeln. Entweder, wird mit den gesammelten Daten später noch eine Version des Schädlings erstellt, der zielgerichtet Schaden anrichten kann, oder es handelt sich im vorliegenden Fall um automatisierte Industriespionage. So recht vermag das bislang noch keiner der Fachleute zu beurteilen.

Wie kann sich Duqu verbreiten?

Zunächst mal sind Antivirenprogramme in Industrierechnern noch weitgehend unüblich. Die Computer haben oft keine Außenanbindung und werden nur lokal bedient. Deswegen hielt man für lange Zeit entsprechende Schutzprogramme für überflüssig. Diese Einstellung ändert sich aber nur langsam.
Duqu ist zudem mit einem digitalen Zertifikat (quasi einer Art „Unterschrift“) einer taiwanesischen Firma versehen das dafür sorgt, dass der Schädling ohne Fehlermeldung installiert werden kann. Wie die Programmierer in den Besitz des Zertifikats kamen, ist bislang unklar. Das Zertifikat wurde zwar sofort als ungültig erklärt, mangels entsprechender Außenanbindung müssen das die Zielrechner nicht zwangsläufig merken. Der ursprüngliche Gültigkeitszeitraum des Zertifikats ging bis August 2012. Das kann unter bestimmten Bedingungen ausreichen, dass es als gültig akzeptiert wird.

Welche Gefahren bestehen?

Grundsätzlich sind der Phantasie im Bezug auf die Auswirkungen solcher Schädlinge keine Grenzen gesetzt. Wenn ein Virus gezielt in Produktionsanlagen eingreift ist alles denkbar: von Millionenschäden durch unbrauchbare Produkte oder Maschinen bis hin zu echten Störfällen. Der Code der bislang bekannt gewordenen Viren für solche Anlagen lässt darauf schließen, dass die Programmierer die Zielsysteme recht gut kennen. Vermutlich damit auch die Sicherheitssysteme, die größere Störfälle verhindern sollen. Fraglich ist, ob diese dann ggfs. greifen und Schaden verhindern können.

Zum Thema Viren empfehlen wir Ihnen auch unsere Ausarbeitung.