Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Erpressung durch Hacker: Cyberattacke in der Keksfabrik

Von Uli Ries

Fabrik (Symbolbild): Die Steuerungsanlagen stehen oft ungeschützt im Netz Zur Großansicht
imago

Fabrik (Symbolbild): Die Steuerungsanlagen stehen oft ungeschützt im Netz

Hacker richten mit Cyberangriffen nach Schätzungen von Experten Schäden von Hunderten Millionen Euro an. Sichtbar werden die Attacken auf die Industrie aber selten: Den Tätern geht es um Erpressung.

Als die Konstrukteure einer kanadischen Keksfabrik gefragt wurden, welche Folgen sie sich durch Cyberangriffe auf die Anlage vorstellen könnten, antworteten sie: "versalzenen Keksteig". Mehr als der Verlust einer Tagesproduktion sei durch eine bösartige Manipulation nicht zu erwarten, dachten die Ingenieure. Leider falsch.

Tatsächlich stand die Fabrik komplett still, nachdem Unbekannte in deren Netzwerk eingedrungen waren. Die von den Angreifern zur Analyse des Netzes verwendete Software brachte die Steuerungscomputer der Fabrik aus dem Tritt.

Die empfindlichen SPS-Systeme (Speicherprogrammierbare Steuerung) reagierten mit Chaos: Die Produktion brach zusammen, vorproduzierter Teig trocknete in den Transportrohren ein. Die Verstopfungen waren so hartnäckig, dass die Rohre schließlich herausgeschnitten werden mussten.

Firmenspionage für Spekulanten

Ob der Ausfall ein unglücklicher Nebeneffekt oder gezielte Sabotage war, sei unklar, sagt der auf Industriesteuerungsanlagen spezialisierte IT-Experte Jason Larsen. Das Unglück war wohl kein Einzelfall. Larsen geht davon aus, dass Unternehmen bereits Hunderte Millionen Dollar an Erpresser gezahlt haben, die damit drohen, Produktionsanlagen mit Cyberangriffen zu stoppen.

An die Öffentlichkeit dringen diese Vorfälle in der Regel nicht, wie Larsen erklärt. Nur in kleinen Kreisen würden sie diskutiert - oder ganz unter den Teppich gekehrt. So wie einige Vorfälle, bei denen jüngst die Produktionsnetzwerke von Öl- und Gasunternehmen infiltriert wurden.

Die Eindringlinge sammelten dabei Informationen über den Stand der jeweiligen Vorräte und beobachteten, wie diese sich veränderten. Nutznießer - und eventuell auch Auftraggeber - der Spähaktion, sollen Spekulanten gewesen sein, die durch steigende oder fallende Rohstoffpreise Kasse machten und frühzeitig informiert sein wollten.

Ergebnis des Angriffs auf eine simulierte Whiskey-Destillerie: Jason Larsen, Experte für Industriesteuerung, ließ während der Hackerkonferenz Def Con ein Fass implodieren, indem er die Druck- und Temperaturkontrolle manipulierte. Zur Großansicht
Uli Ries

Ergebnis des Angriffs auf eine simulierte Whiskey-Destillerie: Jason Larsen, Experte für Industriesteuerung, ließ während der Hackerkonferenz Def Con ein Fass implodieren, indem er die Druck- und Temperaturkontrolle manipulierte.

Warum davon nichts nach außen dringt? Jeff Moss, Gründer der Hackerkonferenzen Black Hat und Def Con sowie Berater der US-Heimatschutzbehörde, erklärt das unter anderem damit, dass betroffene Unternehmen Imageschäden verhindern wollen. "Die gehen nur dann an die Öffentlichkeit, wenn sich der Ausfall nicht verbergen lässt - weil es beispielsweise eine Explosion gab", so Moss. Er fordert eine gesetzliche Pflicht, Cyberattacken zu melden.

Kein Interesse an Verwüstung

Das Beispiel der Keksfabrik zeige laut Jason Larsen, wie unterschiedlich IT-Experten und Produktionsfachleute bei ihren Risikoanalysen vorgehen. Für Produktionstechniker gehörten Fehlfunktionen zum Alltag, bösartige Manipulationen hingegen nicht. Entsprechend löchrig fällt aus IT-Sicht das Schutzkonzept aus.

Das führt dann zu Phänomenen wie jenem, das Johannes Klick und Stephan Lau von der Freien Universität Berlin schildern: Anfang August seien rund 28.000 SPS-Systeme für jedermann völlig ungeschützt im Internet erreichbar gewesen, erklären die Experten.

Im Rahmen der Sicherheitskonferenz Black Hat zeigten sie ein Programm, mit dessen Hilfe sie eigene Software auf solche im Netz sichtbaren Geräte einschleusen können. Angreifer mit kriminellem Hintergrund könnten auf diese Weise eigene Kommandos an die Steuergeräte weitergeben und so ganze Fabriken manipulieren. Laut Jason Larsen sind solche sogenannten SPS-Rootkits im digitalen Untergrund seit zehn Jahren bekannt.

Dass über derartige Angriffe nichts nach außen dringt, liege auch daran, dass sie meist keine sichtbaren Schäden hinterlassen. Die Erpresser drohten nur mit dem Stopp der Produktion, hätten aber kein Interesse an Verwüstungen.

Kein Angriffsziel für Amateure

Ein weiterer Grund, weshalb spektakuläre Angriffe auf Industrieanlagen ausbleiben, dürfte laut Marina Krotofil von der Technischen Universität Hamburg die Komplexität solcher Angriffe sein. Sie selbst hat einen Angriff auf eine Fabrik zur Herstellung von Vinylacetat simuliert. Ihre Erkenntnis aus dem Experiment: Eine solche Attacke ist außerordentlich komplex, zumal wenn kein sichtbarer Schaden angerichtet werden soll.

Nichts für Anfänger: Die simulierte Anlage zur Produktion von Vinylacetat muss an der genau passenden Stelle manipuliert werden, um den Ausstoß zu senken, ohne gleichzeitig die Produktion ganz lahmzulegen Zur Großansicht
Marina Krotofil

Nichts für Anfänger: Die simulierte Anlage zur Produktion von Vinylacetat muss an der genau passenden Stelle manipuliert werden, um den Ausstoß zu senken, ohne gleichzeitig die Produktion ganz lahmzulegen

In die SPS-Systeme einzudringen, sei dabei der einfache Teil. Für die weiteren Schritte seien tiefe Kenntnisse der jeweiligen Produktions- und Prozesstechnik nötig.

Im Fall der simulierten Vinylacetat-Produktion müssten laut Krotofil deshalb auch Chemiker hinzugezogen werden, die den Herstellungsprozess verstehen. Erst mit deren Wissen sei ein erfolgreicher, nicht zerstörerischer Angriff möglich. "Die Kontrolle zu erlangen heißt nicht, auch Kontrolle zu haben", so Krotofil.

Terroristen bräuchten Experten

Selbst wenn eine so via Netz attackierte Produktionsanlage absichtlich oder versehentlich physischen Schaden erleidet - der Ernstfall sähe anders aus: Schlimmer wäre es beispielsweise, wenn unbemerkt die Rezeptur einer Arznei verpfuscht oder die Trinkwasserversorgung einer Stadt manipuliert würde.

Doch dazu könne es derzeit kaum kommen, glaubt Jason Larsen. Für solche Angriffe würde Terroristen wahrscheinlich einfach das Fachwissen fehlen, glaubt der Sicherheitsexperte. Zu hoffen sei deshalb, dass die Absicherung von Industrie-Steuerungsanlagen verbessert werde, bevor sich das ändert. Andernfalls sei mit Schlimmerem zu rechnen als nur mit eingetrocknetem Keksteig.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 27 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Warum?
zick-zack 17.08.2015
Warum trennt man das nicht vom Inet? Das muß der Techniker für ein Update eben herkommen und man kann das nicht von z.B. Indien aus machen lassen. Da kostet die Wartung vielleicht etwas mehr, aber man muß sich nicht erpressen lassen. Sagt das bitte mal einer den sog. Ökobomen!? Könnte sogar billiger sein.
2. Hacker und Terroristen
kenguru 17.08.2015
Die Aussage, dass keine ernsthafte Gefahr zB fuer Trinkwasser- oder pharmazeutische Produktionsanlagen besteht weil Terroristen kein spezielles Fachwissen besitzen, finde ich doch sehr naiv. Was gemacht werden kann wird gemacht, Hacker sind nicht mehr nur die menschenfreundlichen Idealisten, die sich um die Sicherheit sorgen und Freiheit sorgen. Manche machen mit ihrem Wissen einfach auch Kohle, egal woher sie kommt. Die Grenze der Legalitaet ist bei derartigen Aktionen ja eh schon ueberschritten.
3.
TS_Alien 17.08.2015
Man kann es immer wieder sagen und schreiben: Die Firmen müssen ihre Netze voneinander trennen. Das interne Netz mit z.B. der Produktionssteuerung und der Lagerhaltung darf keinen Kontakt zum Internet haben. Die Firmen berichten deshalb nicht über ihre Probleme mit Hackern, weil sie damit zugeben müssen, wie ahnungslos ihre IT-Mitarbeiter bzw. -Manager sind. Oder dass ihre Mitarbeiter darin verwickelt sind (siehe unten). Wer unbedingt mit dem Internet verbunden sein muss (Fernwartung), muss diese absichern. Auch das ist kein Hexenwerk. Das Problem mit Hackern dürfte eher sein, dass für einen Angriff interne Informationen (z.B. Passwörter oder private Schlüssel) weitergegeben werden. Dann kann man natürlich selbst ein ausgeklügeltes System aushebeln. Viele der Hackerangriffe und Datendiebstähle dürften mit Hilfe von Mitarbeitern oder von Mitarbeitern durchgeführt worden sein. Es ist z.B. lächerlich zu glauben, dass eine Firewall unbemerkt Gigabyte an Kundendaten weiterleitet oder Millionen Kundenkonten in kurzer Zeit online gehackt werden. Da wird eher ein Mitarbeiter die Daten auf einem USB-Stick mitgenommen haben.
4. Jedes Intranet
hwdtrier 17.08.2015
Hat Schnittstellen zum Internet. Und inzwischen werden in großen Firmen auch Smartphones ins Intranet integriert.
5. Byod
ralphofffm1 17.08.2015
Das neue Ding in der Unternehmenskommunikation. Bring your own device. Der Laptop mit dem der Mitarbeiter vorhin noch auf einschlägigen Seiten des Internet gesurft ist,wird ans Intranet angeschlossen. Wer sowas macht kann auch gleich die Fabriktore aushängen
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH





Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: