Hackerangriff auf Industrieanlagen Zuerst Saudi-Arabien, dann Deutschland?

Ein beispielloser Angriff auf ein Kraftwerk am Persischen Golf sollte auch den Deutschen zu denken geben. Etliche Industrieunternehmen hierzulande setzen auf dasselbe Schutzsystem.

Stromnetz nahe Riad in Saudi-Arabien
REUTERS

Stromnetz nahe Riad in Saudi-Arabien

Von Boris Kartheuser


Es war ein Angriff einer neuen Dimension: Ende 2017 attackierten Hacker ein Kraftwerk in Saudi-Arabien. Ziel der Cyberattacke war es vermutlich, die Anlage zu zerstören. Die Angreifer nahmen dabei Tote und Verletzte in Kauf. Der außergewöhnlich anspruchsvolle Angriff fiel nur auf, weil die Malware versehentlich eine Sicherheitsabschaltung des Kraftwerks auslöste.

Der Angriff sollte nicht nur dem Staat am Persischen Golf zu denken geben, sondern auch in Deutschland für Alarmbereitschaft sorgen: Denn die Attacke lief über ein Sicherheitssystem, das auch in Hunderten deutschen Industrieanlagen im Einsatz ist.

Als konkretes Angriffsziel wählten die Hacker in Saudi-Arabien einen zehn Jahre alten Controller im sogenannten Triconex Safety Instrumented System (SIS) des Herstellers Schneider Electric. Die Einheit kommt weltweit in Öl- und Gaskraftwerken, aber auch in Atomanlagen zum Einsatz. Sie dient dazu, in kritischen Situationen vorher festgelegte Routinen auszuführen.

Überhitzt beispielsweise ein Kraftwerk, sorgt das Modul für das automatische Herunterfahren der Anlage oder reguliert den Druck und die Temperatur. Schneider gibt an, weltweit über 13.000 der Sicherheitssysteme verkauft zu haben.

Firmen versprechen Sicherheit, dennoch glücken Angriffe

In Deutschland kommen die Triconex-Sicherheitssysteme gleich hundertfach zum Einsatz. Beispielsweise bei einem der großen Verteilnetzbetreiber für Strom. Dort sichert es Notstromreserven. Auch in den deutschen Anlagen eines der größten petrochemischen Unternehmen der Welt findet sich Triconex-Hardware. Hier dient sie dazu, Produktionsstätten zu sichern, die hochexplosive und giftige Stoffe verarbeiten. Das Unternehmen befindet sich in unmittelbarer Nähe einer deutschen Millionenstadt.

Zwar geben alle befragten Firmen an, ihre Industrieanlagen mit ausgeklügelten Sicherheitssystemen zu schützen. Doch das reicht womöglich nicht aus, zeigen vergangene Fälle. So gelang es Hackern beispielsweise vor einigen Jahren, einen stark gesicherten Hochofen im Ruhrgebiet unter ihre Kontrolle zu bringen. Er ließ sich nicht mehr abschalten, was massive Beschädigungen zur Folge hatte.

Selbst kritische Infrastruktur ist in Deutschland trotz anderslautender Unternehmensaussagen in vielen Fällen nicht ausreichend geschützt. So musste das Bundesamt für Sicherheit in der Informationstechnik (BSI) in den vergangenen Jahren gleich mehrere deutsche Betreiber von Wasserwerken auf Lücken im Sicherheitssystem hinweisen. Die Steuerungssysteme der betroffenen Anlagen konnten aufgrund einer falschen Konfiguration aus dem Internet eingesehen werden.

Veränderter Chemikaliencocktail im Trinkwasser

Welch gravierende Auswirkungen ein Angriff auf ein solches Wasserwerk haben kann, zeigte 2016 der Fall einer von Sicherheitsexperten aufgedeckten Cyberattacke, die aus Sicherheitsgründen ohne Ortsangabe blieb. Angreifern gelang es, die Zusammensetzung von Chemikalien in aufbereitetem Trinkwasser zu ändern.

Und auch im Fall der Attacke auf das Triconex-System bleibt die Sicherheitslage angespannt.

Zwar sind nach jetzigem Wissensstand von der Schwachstelle nur Controller einer bestimmten Baureihe betroffen. Laut BSI erfordert ein Angriff auf Sicherheitssysteme zudem sehr hohen Sachverstand, Motivation und Ressourcen. Cyberangriffe mittels Triton auf Ziele in Deutschland sind dem BSI bislang nicht bekannt. "Eine Übertragbarkeit auf andere Systeme desselben Typs ist sehr aufwendig", so ein Sprecher.

Versierter als der Stuxnet-Angriff

Der Angriff in Saudi-Arabien zeigt aber, dass es Angreifer gibt, die den nötigen Aufwand betreiben, um die Sicherheitsarchitektur einer Industrieanlage zu überwinden. Das US-Heimatschutzministerium stuft die Schadsoftware daher als weiter entwickelt ein als die Angriffe mit Stuxnet oder Industroyer. 2010 wurden mit der Stuxnet-Attacke iranische Atomanlagen beschädigt, bei Industroyer war das ukrainische Stromnetz das Ziel. Beide Angriffe werden staatlichen Akteuren zugerechnet.

Auch beim Triton-Angriff spekuliert Hersteller Schneider Electronic, dass die nahezu unlimitierten Ressourcen der Angreifer auf einen staatlichen Akteur hindeuten könnten. Ob das stimmt, ist aber nicht bewiesen.

Die Hacker müssen jedenfalls ein mehrere Zehntausend Euro teures Triconex-System besessen haben, um den Angriff vor der eigentlichen Durchführung zu testen. Auch die Experten von der IT-Sicherheitsfirma FireEye sehen einen staatlichen Akteur hinter dem Angriff. Schließlich habe der Angreifer keinerlei finanzielle Forderungen erhoben, sondern lediglich eine Zerstörung der Anlage beabsichtigt.

Angriffscode als Vorlage im Netz

Der Triton-Code, mit dem die Angreifer das Sicherheitssystem manipulieren konnten, ist mittlerweile frei im Internet verfügbar. Versierten Nachahmern könnte er als Basis für weitere Angriffe dienen. Damit wächst die Gefahr, dass auch deutsche Unternehmen mithilfe der Triton-Schadsoftware angegriffen werden.

Vor allem scheint es trotz wiederholter Ankündigungen von Schneider Electric nach wie vor keinen Patch für die Firmware-Lücke zu geben. Mehrere Anfragen dazu bleiben unbeantwortet, und auch das BSI möchte sich nicht äußern.

Schneider Electric teilt lediglich mit, die Infektion mit Schadsoftware wäre nicht möglich gewesen, wenn der Betreiber der Anlage die Sicherheitsvorschriften beachtet hätte. Zudem sei "die Schwachstelle im Controller nicht die Ursache der Attacke" gewesen, verteidigt sich das Unternehmen weiter. Dem Kunden und dem Unternehmen sei kein Schaden entstanden. Das könnte bei künftigen Angriffen aber auch anders ausgehen.

insgesamt 51 Beiträge
Alle Kommentare öffnen
Seite 1
Radlermass 06.04.2018
1. Blackout
von Marc Elsberg lesen und nachdenken. Und Angst bekommen.
ManniSt6 06.04.2018
2. Pflichtlektüre
Der Roman Blackout von Marc Elsberg sollte für alle Verantwortlichen zur Pflichtlektüre bestimmt werden.
bigroyaleddi 06.04.2018
3. Wundert das eigentlich noch irgendjemanden?
Je komplizierter eine Sache wird, deststo größer ist die Herausforderung, diese zu doch noch zu hoppen. Und gerade wenn man hinter solchen Angriffen irgendwelche Staaten vermutet. Da kann einem wirklich angst und bange werden. Vielleicht sollten sich alle, welche sich so auf eine digitale Zukunft freuen, mal fragen, wie sie eigentlich leben wollen, wenn digital (vorübergehend) nix mehr geht. Das ist das Schreckliche am Fortschritt. Er ist meist nur noch für eine kleine Gruppe technisch nachvollziehbar, die Negativfolgen fliegen aber uns alle um die Ohren. Ich glaube, wir stehen hier nicht nur vor einem technischen Problem. Es wird langsam ein philosophisches.
Franziskus 06.04.2018
4. Es gibt keinen Schutz
Wer eine Verbindung seiner Computersysteme zum Internet hat, kann jederzeit und an jedem Ort angegriffen werden. Das sollte doch inzwischen dem letzten " IT-Sicherheitsexperten klar sein. Noch so ein Beispiel von bodenlosem Leichsinn. Es ist geplant, 2 Stromtrassen von der Nordsee nach Süddeutschland zu bauen. Was passiert, wenn Terroristen diese beide Leitungen lahmlegen>? Dann gehen in Süddeutschland die Lichter aus. Kleine, überschaubare Stromnetze bieten die größte Sicherheit. Selbst privat, wenn man ein Haus hat, kann man sich fast unabhängig vom externen Strom machen. Eine Photovoltaikanlage mit Speicher hilft dabei.
unky 06.04.2018
5. Zu technikgläubig!
Ich finde es schon seit Jahren beunruhigend, wie sich die Industriestaaten immer angreifbarer machen. Mit der rasanten Digitalisierung, die von kenntnisreichen Hackern zerstört werden kann, kann man heutzutage sehr schnell ganze Volkswirtschaften in die Knie zwingen. Längerandauernde Stromausfälle in großem Ausmaß führen zum Stillstand des Handels, zu Wassereinschränkungen, zum Ausfall von Fahrstühlen und sämtlichen Elektrogeräten in Haushalten, Werkstätten und Industriebetrieben oder auch Krankenhäusern (Notstromaggregate laufen auch nur begrenzte Zeit). Auch der Bahnverkehr kann durch Hacker gestört werden. Am Ende sitzen wir in dunklen, ungeheizten Wohnungen ohne Wasser und Lebensmittel. Ich habe nicht den Eindruck, dass unsere Politiker, für die die digatale Welt ein Buch mit sieben Siegeln zu sein scheint, sich des Ausmaßes drohender Szenarien bewusst sind und effiziente Maßnahmen dagegen entwickelt haben.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.