SPIEGEL ONLINE

SPIEGEL ONLINE

06. April 2018, 14:59 Uhr

Hackerangriff auf Industrieanlagen

Zuerst Saudi-Arabien, dann Deutschland?

Von

Ein beispielloser Angriff auf ein Kraftwerk am Persischen Golf sollte auch den Deutschen zu denken geben. Etliche Industrieunternehmen hierzulande setzen auf dasselbe Schutzsystem.

Es war ein Angriff einer neuen Dimension: Ende 2017 attackierten Hacker ein Kraftwerk in Saudi-Arabien. Ziel der Cyberattacke war es vermutlich, die Anlage zu zerstören. Die Angreifer nahmen dabei Tote und Verletzte in Kauf. Der außergewöhnlich anspruchsvolle Angriff fiel nur auf, weil die Malware versehentlich eine Sicherheitsabschaltung des Kraftwerks auslöste.

Der Angriff sollte nicht nur dem Staat am Persischen Golf zu denken geben, sondern auch in Deutschland für Alarmbereitschaft sorgen: Denn die Attacke lief über ein Sicherheitssystem, das auch in Hunderten deutschen Industrieanlagen im Einsatz ist.

Als konkretes Angriffsziel wählten die Hacker in Saudi-Arabien einen zehn Jahre alten Controller im sogenannten Triconex Safety Instrumented System (SIS) des Herstellers Schneider Electric. Die Einheit kommt weltweit in Öl- und Gaskraftwerken, aber auch in Atomanlagen zum Einsatz. Sie dient dazu, in kritischen Situationen vorher festgelegte Routinen auszuführen.

Überhitzt beispielsweise ein Kraftwerk, sorgt das Modul für das automatische Herunterfahren der Anlage oder reguliert den Druck und die Temperatur. Schneider gibt an, weltweit über 13.000 der Sicherheitssysteme verkauft zu haben.

Firmen versprechen Sicherheit, dennoch glücken Angriffe

In Deutschland kommen die Triconex-Sicherheitssysteme gleich hundertfach zum Einsatz. Beispielsweise bei einem der großen Verteilnetzbetreiber für Strom. Dort sichert es Notstromreserven. Auch in den deutschen Anlagen eines der größten petrochemischen Unternehmen der Welt findet sich Triconex-Hardware. Hier dient sie dazu, Produktionsstätten zu sichern, die hochexplosive und giftige Stoffe verarbeiten. Das Unternehmen befindet sich in unmittelbarer Nähe einer deutschen Millionenstadt.

Zwar geben alle befragten Firmen an, ihre Industrieanlagen mit ausgeklügelten Sicherheitssystemen zu schützen. Doch das reicht womöglich nicht aus, zeigen vergangene Fälle. So gelang es Hackern beispielsweise vor einigen Jahren, einen stark gesicherten Hochofen im Ruhrgebiet unter ihre Kontrolle zu bringen. Er ließ sich nicht mehr abschalten, was massive Beschädigungen zur Folge hatte.

Selbst kritische Infrastruktur ist in Deutschland trotz anderslautender Unternehmensaussagen in vielen Fällen nicht ausreichend geschützt. So musste das Bundesamt für Sicherheit in der Informationstechnik (BSI) in den vergangenen Jahren gleich mehrere deutsche Betreiber von Wasserwerken auf Lücken im Sicherheitssystem hinweisen. Die Steuerungssysteme der betroffenen Anlagen konnten aufgrund einer falschen Konfiguration aus dem Internet eingesehen werden.

Veränderter Chemikaliencocktail im Trinkwasser

Welch gravierende Auswirkungen ein Angriff auf ein solches Wasserwerk haben kann, zeigte 2016 der Fall einer von Sicherheitsexperten aufgedeckten Cyberattacke, die aus Sicherheitsgründen ohne Ortsangabe blieb. Angreifern gelang es, die Zusammensetzung von Chemikalien in aufbereitetem Trinkwasser zu ändern.

Und auch im Fall der Attacke auf das Triconex-System bleibt die Sicherheitslage angespannt.

Zwar sind nach jetzigem Wissensstand von der Schwachstelle nur Controller einer bestimmten Baureihe betroffen. Laut BSI erfordert ein Angriff auf Sicherheitssysteme zudem sehr hohen Sachverstand, Motivation und Ressourcen. Cyberangriffe mittels Triton auf Ziele in Deutschland sind dem BSI bislang nicht bekannt. "Eine Übertragbarkeit auf andere Systeme desselben Typs ist sehr aufwendig", so ein Sprecher.

Versierter als der Stuxnet-Angriff

Der Angriff in Saudi-Arabien zeigt aber, dass es Angreifer gibt, die den nötigen Aufwand betreiben, um die Sicherheitsarchitektur einer Industrieanlage zu überwinden. Das US-Heimatschutzministerium stuft die Schadsoftware daher als weiter entwickelt ein als die Angriffe mit Stuxnet oder Industroyer. 2010 wurden mit der Stuxnet-Attacke iranische Atomanlagen beschädigt, bei Industroyer war das ukrainische Stromnetz das Ziel. Beide Angriffe werden staatlichen Akteuren zugerechnet.

Auch beim Triton-Angriff spekuliert Hersteller Schneider Electronic, dass die nahezu unlimitierten Ressourcen der Angreifer auf einen staatlichen Akteur hindeuten könnten. Ob das stimmt, ist aber nicht bewiesen.

Die Hacker müssen jedenfalls ein mehrere Zehntausend Euro teures Triconex-System besessen haben, um den Angriff vor der eigentlichen Durchführung zu testen. Auch die Experten von der IT-Sicherheitsfirma FireEye sehen einen staatlichen Akteur hinter dem Angriff. Schließlich habe der Angreifer keinerlei finanzielle Forderungen erhoben, sondern lediglich eine Zerstörung der Anlage beabsichtigt.

Angriffscode als Vorlage im Netz

Der Triton-Code, mit dem die Angreifer das Sicherheitssystem manipulieren konnten, ist mittlerweile frei im Internet verfügbar. Versierten Nachahmern könnte er als Basis für weitere Angriffe dienen. Damit wächst die Gefahr, dass auch deutsche Unternehmen mithilfe der Triton-Schadsoftware angegriffen werden.

Vor allem scheint es trotz wiederholter Ankündigungen von Schneider Electric nach wie vor keinen Patch für die Firmware-Lücke zu geben. Mehrere Anfragen dazu bleiben unbeantwortet, und auch das BSI möchte sich nicht äußern.

Schneider Electric teilt lediglich mit, die Infektion mit Schadsoftware wäre nicht möglich gewesen, wenn der Betreiber der Anlage die Sicherheitsvorschriften beachtet hätte. Zudem sei "die Schwachstelle im Controller nicht die Ursache der Attacke" gewesen, verteidigt sich das Unternehmen weiter. Dem Kunden und dem Unternehmen sei kein Schaden entstanden. Das könnte bei künftigen Angriffen aber auch anders ausgehen.

URL:

Verwandte Artikel:


© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung