In der Produktion entstehen neue Bedrohungen: Wenn Industrieanlagen in die Schusslinie internationaler Auseinandersetzungen geraten, spielen Menschenleben keine Rolle mehr.
Als erfahrene Security-Berater zu einer petrochemischen Fabrik in Saudi-Arabien gerufen wurden, trauten sie ihren Augen nicht: Malware hatte die Anlage in den Stillstand versetzt. Doch das war ein Glücksfall, denn die von unbekannten Angreifern eingeschleuste Schad-Software war darauf programmiert, die Sicherheitssysteme der chemischen Produktionsanlage abzuschalten. Diese Schutzvorrichtungen sollen verhindern, dass Produktionsstörungen zu Katastrophen wie Explosionen oder dem Austritt giftiger Substanzen führen. Werden sie abgeschaltet, können sie diesen Schutz nicht mehr gewährleisten, Mensch und Umwelt sind in Gefahr.
Der Angriff auf die saudische Fabrik scheiterte, ein Fehler im Code löste eine Reaktion des Sicherheitssystems aus, die Anlage wurde heruntergefahren. Ein weiterer Vorfall dieser Art führte dazu, dass die Betreiberfirma Sicherheitsspezialisten hinzuzog. Diese fanden den Schadcode, der inzwischen als Triton oder Trisis bekannt geworden ist. Er wurde speziell für die Triconex-Sicherheitssteuerung des französischen Unternehmens Schneider Electric entwickelt.
Das Ziel: Zerstörung
Die sichtbar gewordene Malware dürfte lediglich die erste Phase eines mehrstufigen Angriffs (APT) gebildet haben. Sehr wahrscheinlich hätten die Angreifer im Anschluss versucht, die Produktionsanlage so zu beschädigen, dass gefährliche Unfälle die Folge wären. Die Dimension ist ungewöhnlich: Während die Industrie ihre Anlagen umfassend vernetzt, versuchten die Täter, maximalen Schaden anzurichten. Sie handelten sicherlich nicht aus finanziellem Interesse, ihnen ging es nicht darum, bei diesem Angriff Geld oder sensible Daten zu erbeuten. Deshalb wird diese Attacke staatlichen Akteuren und nicht Cyber-Kriminellen zugeschrieben. Zumal ein solcher Angriff umfangreiche Vorortkenntnisse der Produktionsstätte, ihrer Komponenten sowie der zur Steuerung eingesetzten Hard- und Software erfordert.
Der schon im Sommer 2017 aufgetretene Vorfall, der erst wesentlich später bekannt wurde, ruft Erinnerungen an Stuxnet wach. Die Sicherheitsexperten sind immer noch damit beschäftigt, den Triton-Schädling zu analysieren. Bisher steht lediglich fest, dass über einen Wartungszugang die Controller der Sicherheitssteuerung umprogrammiert werden sollten. Aber die Gültigkeitsprüfung des Codes scheiterte, daraufhin fuhr die Sicherheitssteuerung die Anlage sicher herunter. Erst dadurch wurde der Angriff bemerkt und der Vorfall konnte eingehend untersucht werden. Wie der Schädling in die Sicherheitssteuerung gelangen konnte, ist noch unklar. Derzeit gehen die Experten von einer erfolgreichen Phishing-Attacke aus. Spekuliert wird auch, dass es sich um einen Test für weitere Angriffe gehandelt haben könnte.
Vorsicht bei der Vernetzung kritischer Produktionsanlagen
Bei der Vernetzung kritischer Produktionsanlagen, insbesondere, wenn sie ein großes Gefahrenpotenzial bergen, raten Sicherheitsspezialisten inzwischen zu einer gewissen Zurückhaltung. Man sollte OT und IT nur dort verbinden, wo dies notwendig ist. Dann aber muss der Datenverkehr überwacht werden, damit nur vorher festgelegte Daten über die Verbindungen transferiert werden. Dafür ist neben einer Firewall und Netzwerk-Monitoring auch Whitelisting zulässiger Datentransfers hilfreich.
Das bei solchen Anlagen vorhandene Notfallmanagement sollte auch Vorkehrungen für den Eintritt von Schadensereignissen durch Malware enthalten. Netzwerksegmente müssen im Notfall schnell und zuverlässig abgetrennt werden und der bei derartigen Anlagen übliche Not-Aus-Knopf sollte auch für die Netzwerke der OT eingerichtet werden, empfehlen Experten. Zudem erwarten sie, dass in Deutschland auch Chemieanlagen zukünftig zur kritischen Infrastruktur (KRITIS) gezählt werden. Dann müssen Sicherheitsvorfälle gemeldet werden.
