Die US-Heimatschutzbehörde berichtet über zwei Vorfälle in Energieversorgungsunternehmen, bei denen wichtige IT-Systeme mit Schädlingen infiziert wurden. In beiden Fällen sind USB-Sticks als Malware-Quelle identifiziert worden.

Gerade die IT-Systeme in Unternehmen, die als Energieversorger zur so genannten kritischen Infrastruktur eines Landes gehören, sollten besonders sorgfältig geschützt sein. Wie man das nicht macht, dokumentiert ein kürzlich veröffentlichter Bericht der US-Heimatschutzbehörde (Homeland Security Department). Deren IT-Eingreiftruppe für Industrieanlagen, ICS-CERT (Industrial Control Systems Cyber Emergency Response Team), hatte im letzten Quartal 2012 mit zwei Fällen von Malware-Befall in Kraftwerken zu tun.

In einem Fall hat ein Mitarbeiter eines Energieversorgers einen USB-Stick benutzt, um regelmäßig Backups der Konfigurationsdateien von Steuerungsanlagen zu sichern. Als der USB-Stick Fehlfunktionen zeigte, hat ein IT-Mitarbeiter den Mobilspeicher an einen PC mit aktuellem Virenscanner angeschlossen. Gleich drei verschiedene Schädlinge hat das Antivirusprogramm gemeldet, darunter auch einen, der im ICS-CERT-Bericht als "raffiniert" (sophisticated) bezeichnet wird.

Ein Team des ICS-CERT hat vor Ort die IT-Systeme untersucht und dabei zwei Workstations identifiziert, die mit dem fortschrittlicheren Schädling infiziert waren. Die Rechner waren für die Steuerung der Anlagen unverzichtbar, dennoch gab es keine Backups dieser Systeme. Mit Hilfe von Festplattenabbildern der betroffenen Rechner haben die CERT-Fachleute Verfahren zur Bereinigung der Infektionen entwickelt.

In einem anderen Fall sind Anfang Oktober 2012 etwa zehn Rechner eines Stromversorgers infiziert worden, die zur Steuerung von Kraftwerksturbinen dienen. Wie das zur Hilfe gerufene Team des ICS-CERT heraus fand, hat ein Techniker einer Fremdfirma einen USB-Stick benutzt, um Software-Aktualisierungen aufzuspielen. Dieser USB-Stick ist als Infektionsquelle ausgemacht worden. Über den gefundenen Schädling heißt es nur, es handele sich um "Crimeware". Durch diesen Vorfall wurde die Wiederinbetriebnahme der Anlage um etwa drei Wochen verzögert.

Die Namen und Standorte der betroffenen Unternehmen werden in der veröffentlichten Fassung des Berichts nicht genannt, ebenso wenig die Namen der entdeckten Schädlinge. Zum Einsatz von Antivirus-Software auf den Steuerungsrechnern heißt es im Bericht, die Implementierung einer solchen Lösung stelle eine gewisse Herausforderung dar. Gemeint ist damit, dass eine laufende Antivirus-Software, letztlich jede zusätzliche Software, den Betrieb einer Industrieanlage stören könnte. Eine Entschuldigung für fehlende Schutzkonzepte kann dies jedoch nicht sein.