Hackerangriffe auf Industrieanlagen Zerstörerische Bläschen

Greifen Hacker Industrieanlagen an, schalten sie oft den Strom ab. Bald könnten sie durch raffinierte Attacken auf Pumpen aber ganze Chemieanlagen explodieren lassen. Wie realistisch ist das Angriffsszenario?

Uli Ries

Von Uli Ries, Las Vegas


Kaum sechs Wochen ist es her, dass IT-Experten auf der ganzen Welt über Industroyer staunten. Das ist eine Schadsoftware, die speziell für Angriffe auf Umspannwerke gemacht ist. Industroyer konnte den in solchen Werken üblichen Steuerungskomponenten direkt Befehle erteilen - ein großer Schritt vorwärts für die wahrscheinlich staatlichen Hacker. Sie provozierten mit Industroyer einen Stromausfall im Norden von Kiew.

Eventuell ist aber auch Industroyer schon ein Auslaufmodell - und staatlich finanzierte Hacker haben schon ein viel mächtigeres Werkzeug in ihrer Sammlung. Dieser Verdacht liegt zumindest nahe. Denn trotz jahrelanger Entwicklungszeit ließen die Angreifer ihren Schädling nach der Attacke einfach zurück - eventuell, um andere Staaten durch die Machtdemonstration abzuschrecken. Oder aber, weil Industroyer mit einer neuen Art von Attacke nicht mehr mithalten kann.

Kleine Blasen sollen hochspezialisierte Pumpen zerstören

Der Clou dieser neuen Methode ist, dass die zu zerstörenden Teile - konkret: die anvisierten Pumpen der Anlage - gar nicht vernetzt sein müssen. Dass es solche neuartigen Attacken auf Pumpen geben kann, beweist die aus der Ukraine stammende Sicherheitsforscherin Marina Krotofil. Auf der US-Hackerkonferenz Black Hat in Las Vegas präsentierte sie ihre Ergebnisse.

Ihre Attacke entwickelte Krotofil zum Glück nur in einer Laborumgebung, mit dem Ziel, die bisher fehlenden Abwehrmaßnahmen zu finden. Denn würde eine Industrieanlage so angegriffen, sieht es derzeit schlecht aus: Der Schaden durch die kaputten Pumpen wäre enorm. Aktuell verwendete Schutzmechanismen greifen zu kurz.

Fotostrecke

4  Bilder
Hackerangriff auf Industrieanlagen: Zerstörerische Blasen

Und so funktioniert die Attacke: Krotofils Angriff manipuliert die Stellung eines Ventils, das den Flüssigkeitsstrom zur Pumpe regelt. Ziel der Manipulation: Den statischen Druck der jeweiligen Flüssigkeit unter deren Verdampfungsdruck zu bekommen. Die Folge ist die sogenannte Kavitation, also Dampfblasen in der Flüssigkeit. Kollabieren diese Dampfblasen kurz darauf in der Nähe der Pumpe, entstehen mikroskopisch kleine Schäden an Teilen wie den Laufrädern, Dichtungen oder Kugellagern. Nach und nach führt das zum Ausfall der Pumpe.

Die Manipulation könnte zu Explosionen führen

Weil diese Pumpen in der Regel maßgeschneiderte Anfertigungen sind, können etliche Wochen oder sogar fast ein Jahr vergehen, bis ein Ersatz produziert ist. Bis dahin steht die Anlage still. Im besten Fall kommt es durch die vom Angreifer verursachte Kavitation also nur zum Produktionsausfall.

Laut Marina Krotofil lassen sich durch gleichzeitige Manipulationen an mehreren Stellen des Produktionsprozesses aber auch Explosionen hervorrufen. Im Fall einer Chemieanlage wären die Folgen vor allem für Anwohner fatal, im Fall einer Öl- oder Gasförderanlage kämen zudem weitreichende Folgen für die Umwelt dazu.

Eine gute Nachricht gibt es aber: Der Angriff erfordert reichlich Fachwissen und Detailkenntnisse der jeweils anzugreifenden Anlage. Massenhafte Attacken sind deshalb - hoffentlich - nicht zu befürchten.

Angreifer brauchen viel Sachkenntnis

Für einen erfolgreichen Angriff müssen einige Voraussetzungen erfüllt sein: Die kriminellen Hacker müssen die IT-Systeme der Produktionsanlage unter Kontrolle haben, um die Ventile zu manipulieren und um ihr Treiben zu vertuschen. Denn selbst wenn die geänderten Ventilstellungen noch im Rahmen des normalen Betriebs bleiben, so würde beispielsweise die gemessene Durchflussmenge im Fall der Kavitation deutlich abfallen.

Den Anlagentechnikern vor Ort muss also durch Verfälschen der Anzeigen an ihren Kontrollbildschirmen eine einwandfrei funktionierende Anlage vorgegaukelt werden. Im Gegenzug sind die Angreifer aber selbst auf präzise Messwerte angewiesen, um die Effektivität ihrer Aktionen erfassen zu können.

Außerdem ist eine beinahe schon intime Kenntnis der jeweiligen Anlage notwendig. Doch die Informationen lassen sich beschaffen, beispielsweise über die seit drei Jahren bekannte Malware Havex. Der Schädling tut quasi nichts anderes, als Komponenten in (vernetzten) Industrieanlagen zu kartografieren. Warum er das tut, ist bisher unklar. Die Einblicke könnten aber für eine Attacke, wie Krotofil sie auf der Black Hat skizzierte, überaus nützlich sein.

Klar ist auch, dass die Angreifer Expertise für IT-Systeme und Industriesteuerungen mitbringen müssen. Sollten Terroristen solche Teams zusammenstellen, dann ist laut Jewgenij Kaspersky, Gründer des gleichnamigen Antivirenherstellers, "der Tag des jüngsten Gerichts gekommen".

Einziger Schutz bisher: Sensoren

Was aber können Betreiber von Anlagen tun, um es Kriminellen oder Terroristen so schwer als möglich zu machen? Laut Marina Krotofil helfen nur Sensoren: am Laufrad der Pumpe, an den Kugellagern und an verschiedenen anderen Stellen. Nur so lassen sich die Manipulationen feststellen. Ob sich diese Art des Schutzes aber nachrüsten und vor allem bezahlen lässt, ist noch unklar.

Es bleibt also nur zu hoffen, dass Angreifer den Aufwand vorerst scheuen und sich bequemere Ziele suchen. Oder es vorerst beim Stromausfall belassen. Angesichts der Gefahr von explodierenden Chemiewerken ist das noch eine beinahe harmlose Vorstellung.

Mehr zum Thema


insgesamt 37 Beiträge
Alle Kommentare öffnen
Seite 1
frenchie3 31.07.2017
1. Da hilft wohl nur noch Downgrading
Gute alte Handräder und mechanische Manometer zumindest an den heiklen Stellen. Und ein paar Leute die die Strecke regelmäßig ablaufen. Und im Falle von Differenzen nicht erst diskutieren sondern sofort ein Notprogramm einschalten. Mal sehen wann das auf die Haustechnik überspringt und einestages die Kloschüssel explodiert
kalim.karemi 31.07.2017
2. Black Out
hervorragende Urlaubslektüre zu diesem Theme, IoT wird ihren Teil dazu beitragen, daß Angriffe einfacher werden. Um das intime Insiderwissen, welches der Autor als Hinderungsgrund anführt, muss man sich auch keine Gedanken machen, Angreifer haben alle Zeit der Welt und die Möglichkeit, das Ziel der Begierde vorab auszuspähen. Einen Vorgeschmack durfte im vergangenen Jahr ein Deutsches Stahlwerk erhaschen, als unbekannte Angreifer, vor den Augen der "verblüfften" IT die Kontrolle über einen Hochofen übernommen haben.
emobil 31.07.2017
3. warum eigentlich...
... müssen Industrieanlagen überhaupt an den Internet-Kommunikationsstandard angeschlossen sein? DV-Fernzugriffe gab es ja auch schon vor TCP/IP, z.B. über Datex-Leitungen (gibt's die überhaupt noch?). Aber die waren im Prinzip nur für eine begrenzte Anzahl von Nutzern zugänglich.
fisschfreund 31.07.2017
4.
Ich habe ja keine Ahnung von sowas, aber warum muss die Steuerung einer Anlage überhaupt mit dem Internet verbunden sein?
furzgurk 31.07.2017
5. Keine Sorge...
Anlagen-kritische Pumpen sind redundant ausgeführt und meistens mit zusätzlicher Not-Strom Pumpe, also drei Pumpen... Diese sind durch hart verdrahteten Abschaltvorrichtungen abgesichert. Diese Aggregate sind nicht durch Hacker lahm zu legen, da vom HMI kein Zugriff realisierbar ist. Dort müsste schon jemand vor Ort sehr gezielt Sabotage betreiben und umfangreiche verfahrenstechnische und Anlagen-spezifische Fachkenntnisse besitzen. Ich würde diesen Bericht als Panikmache klassifizieren...
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.