Hackerangriffe auf Industrieanlagen: Zerstörerische Bläschen

Greifen Hacker Industrieanlagen an, schalten sie oft den Strom ab. Bald könnten sie durch raffinierte Attacken auf Pumpen aber ganze Chemieanlagen explodieren lassen. Wie realistisch ist das Angriffsszenario?

Kaum sechs Wochen ist es her, dass IT-Experten auf der ganzen Welt über Industroyer staunten. Das ist eine Schadsoftware, die speziell für Angriffe auf Umspannwerke gemacht ist. Industroyer konnte den in solchen Werken üblichen Steuerungskomponenten direkt Befehle erteilen - ein großer Schritt vorwärts für die wahrscheinlich staatlichen Hacker. Sie provozierten mit Industroyer einen Stromausfall im Norden von Kiew.

Eventuell ist aber auch Industroyer schon ein Auslaufmodell - und staatlich finanzierte Hacker haben schon ein viel mächtigeres Werkzeug in ihrer Sammlung. Dieser Verdacht liegt zumindest nahe. Denn trotz jahrelanger Entwicklungszeit ließen die Angreifer ihren Schädling nach der Attacke einfach zurück - eventuell, um andere Staaten durch die Machtdemonstration abzuschrecken. Oder aber, weil Industroyer mit einer neuen Art von Attacke nicht mehr mithalten kann.

Kleine Blasen sollen hochspezialisierte Pumpen zerstören

Der Clou dieser neuen Methode ist, dass die zu zerstörenden Teile - konkret: die anvisierten Pumpen der Anlage - gar nicht vernetzt sein müssen. Dass es solche neuartigen Attacken auf Pumpen geben kann, beweist die aus der Ukraine stammende Sicherheitsforscherin Marina Krotofil. Auf der US-Hackerkonferenz Black Hat in Las Vegas präsentierte sie ihre Ergebnisse.

Ihre Attacke entwickelte Krotofil zum Glück nur in einer Laborumgebung, mit dem Ziel, die bisher fehlenden Abwehrmaßnahmen zu finden. Denn würde eine Industrieanlage so angegriffen, sieht es derzeit schlecht aus: Der Schaden durch die kaputten Pumpen wäre enorm. Aktuell verwendete Schutzmechanismen greifen zu kurz.

Und so funktioniert die Attacke: Krotofils Angriff manipuliert die Stellung eines Ventils, das den Flüssigkeitsstrom zur Pumpe regelt. Ziel der Manipulation: Den statischen Druck der jeweiligen Flüssigkeit unter deren Verdampfungsdruck zu bekommen. Die Folge ist die sogenannte Kavitation , also Dampfblasen in der Flüssigkeit. Kollabieren diese Dampfblasen kurz darauf in der Nähe der Pumpe, entstehen mikroskopisch kleine Schäden an Teilen wie den Laufrädern, Dichtungen oder Kugellagern. Nach und nach führt das zum Ausfall der Pumpe.

Die Manipulation könnte zu Explosionen führen

Weil diese Pumpen in der Regel maßgeschneiderte Anfertigungen sind, können etliche Wochen oder sogar fast ein Jahr vergehen, bis ein Ersatz produziert ist. Bis dahin steht die Anlage still. Im besten Fall kommt es durch die vom Angreifer verursachte Kavitation also nur zum Produktionsausfall.

Laut Marina Krotofil lassen sich durch gleichzeitige Manipulationen an mehreren Stellen des Produktionsprozesses aber auch Explosionen hervorrufen. Im Fall einer Chemieanlage wären die Folgen vor allem für Anwohner fatal, im Fall einer Öl- oder Gasförderanlage kämen zudem weitreichende Folgen für die Umwelt dazu.

Eine gute Nachricht gibt es aber: Der Angriff erfordert reichlich Fachwissen und Detailkenntnisse der jeweils anzugreifenden Anlage. Massenhafte Attacken sind deshalb - hoffentlich - nicht zu befürchten.

Angreifer brauchen viel Sachkenntnis

Für einen erfolgreichen Angriff müssen einige Voraussetzungen erfüllt sein: Die kriminellen Hacker müssen die IT-Systeme der Produktionsanlage unter Kontrolle haben, um die Ventile zu manipulieren und um ihr Treiben zu vertuschen. Denn selbst wenn die geänderten Ventilstellungen noch im Rahmen des normalen Betriebs bleiben, so würde beispielsweise die gemessene Durchflussmenge im Fall der Kavitation deutlich abfallen.

Den Anlagentechnikern vor Ort muss also durch Verfälschen der Anzeigen an ihren Kontrollbildschirmen eine einwandfrei funktionierende Anlage vorgegaukelt werden. Im Gegenzug sind die Angreifer aber selbst auf präzise Messwerte angewiesen, um die Effektivität ihrer Aktionen erfassen zu können.

Außerdem ist eine beinahe schon intime Kenntnis der jeweiligen Anlage notwendig. Doch die Informationen lassen sich beschaffen, beispielsweise über die seit drei Jahren bekannte Malware Havex. Der Schädling tut quasi nichts anderes, als Komponenten in (vernetzten) Industrieanlagen zu kartografieren. Warum er das tut, ist bisher unklar. Die Einblicke könnten aber für eine Attacke, wie Krotofil sie auf der Black Hat skizzierte, überaus nützlich sein.

Klar ist auch, dass die Angreifer Expertise für IT-Systeme und Industriesteuerungen mitbringen müssen. Sollten Terroristen solche Teams zusammenstellen, dann ist laut Jewgenij Kaspersky, Gründer des gleichnamigen Antivirenherstellers, "der Tag des jüngsten Gerichts gekommen".

Einziger Schutz bisher: Sensoren

Was aber können Betreiber von Anlagen tun, um es Kriminellen oder Terroristen so schwer als möglich zu machen? Laut Marina Krotofil helfen nur Sensoren: am Laufrad der Pumpe, an den Kugellagern und an verschiedenen anderen Stellen. Nur so lassen sich die Manipulationen feststellen. Ob sich diese Art des Schutzes aber nachrüsten und vor allem bezahlen lässt, ist noch unklar.

Es bleibt also nur zu hoffen, dass Angreifer den Aufwand vorerst scheuen und sich bequemere Ziele suchen. Oder es vorerst beim Stromausfall belassen. Angesichts der Gefahr von explodierenden Chemiewerken ist das noch eine beinahe harmlose Vorstellung.