Es
ist der Beginn einer ganz neuen Qualität von Cyberangriffen. So zumindest
schätzen Expertinnen und Experten einen Hackerangriff in Saudi-Arabien ein. Eine
Gruppe hat dabei einen Computervirus in das System eines Kraftwerks
eingeschleust und hätte es damit zerstören können: Wäre der
Virus nicht rechtzeitig gefunden und gestoppt worden, wäre es zu Explosionen
und zur Freisetzung von giftigem Schwefelwasserstoffgas gekommen. Im
schlimmsten Fall hätte das eine Umweltkatastrophe mit potenziell tödlichen
Folgen für Menschen auslösen können. Bedeutet: Anders als bei anderen Angriffen
brachten die Hackerinnen und Hacker bewusst Menschenleben in Gefahr.

Diese Cyberattacke wurde schon im Dezember 2017 entdeckt, die deutsche Öffentlichkeit schenkte ihr allerdings nur wenig Aufmerksamkeit. Und das, obwohl Experten sie als eine
von drei sehr großen Sabotageangriffen in der Geschichte des Hackings
kritischer Infrastrukturen einstufen – etwa so gravierend wie die
Stuxnet-Attacke auf iranische Atomkraftwerke im Jahr 2010.

Das
Desinteresse mag damit zusammenhängen, dass sich Saudi-Arabien weit weg
anfühlt. Doch in der globalisierten Welt, in der immer mehr Dinge mit dem
Internet vernetzt sind, gibt es kein “weit weg” mehr: Offenbar hat die
Hackergruppe, die hinter dem schon in Saudi-Arabien zum Einsatz gekommenen Hacking-Werkzeug
Triton steht, erneut einen Angriff auf eine kritische Infrastruktur gestartet –
viel mehr geht aus einer aktuellen Meldung des Sicherheitsunternehmens FireEye
nicht hervor.
Nach Informationen des Sicherheitsunternehmens Dragos soll es sich aber um
Ziele in den USA und westlichen Ländern handeln. Und allein dass diese Gruppe weitere Ziele im Auge hat, ist eine beunruhigende
Nachricht.

Ein fast perfekter Plan

Wer
sich anschaut, welchen Aufwand die Gruppe betrieben und was genau sie in
Saudi-Arabien angegriffen hat, den verwundert es nicht, dass nun neue
Angriffe publik werden – insbesondere auf Ziele im Westen. Denn Triton ist ein
sehr spezialisierter Virus. Genau genommen greift er nur eine Maschine an: ein Steuerungsmodul des französischen Unternehmens
Schneider Electric namens Triconex
Safety Instrumented System (SIS). Das soll Notfälle in letzter
Sekunde erkennen und das Kraftwerk unter anderem abschalten können. Weltweit
sind nach Angaben des Herstellers mehr als 13.000 solcher Geräte im Einsatz, unter
anderem in Öl- und Gaskraftwerken, aber auch in Atomkraftwerken. Zu den Kunden gehören
auch viele deutsche Kraftwerke.

In
Saudi-Arabien hatten es die Hacker Ende 2017 geschafft, dieses Steuerungsmodul aus
der Ferne zu übernehmen. Das Ziel: absichtlich einen Notfall herbeizuführen und
gleichzeitig die letzten Sicherheitsmaßnahmen außer Kraft zu setzen. Die Gruppe
wurde nur durch einen Zufall gestoppt. Offenbar hatten die Hackerinnen und
Hacker einen Fehler gemacht, der dazu führte, dass ein Sicherheitssystem des
Kraftwerks ansprang.

Ansonsten
war es der perfekte Plan: Schon seit 2014 hatten die Täter das Netzwerk der
Anlage ausspioniert. Zunächst waren sie durch eine Sicherheitslücke in einer
schlecht programmierten Firewall in das Netzwerk eingedrungen und hatten von
dort einen Arbeitsplatz übernommen, der wiederum direkt mit den
sicherheitsrelevanten Systemen der Anlage kommunizierte. Diesen hatten sie
entweder über einen Fehler im Windows-Betriebssystem erreicht oder, indem sie
das Passwort eines Mitarbeiters abfingen.