Lebensgefahr durch Hackerangriff

Vielleicht liegt es daran, dass Saudi-Arabien gefühlt weit weg ist. Zumindest erregte ein Hackerangriff auf ein Saudi-arabisches Kraftwerk vor etwa einem Jahr nur wenig Aufmerksamkeit in der deutschen Öffentlichkeit. Dabei stufen Experten diesen als einen von drei sehr großen Sabotageangriffen in der Geschichte des Hackings von kritischen Infrastrukturen ein.

Und als einen Startschuss für Cyberangriffe einer neuen bedrohlichen Qualität: jene Hacker bringen Menschenleben bewusst in Gefahr. Damals wurde ein Computervirus in einer petrochemischen Fabrik in Saudi-Arabien entdeckt, der diese Fabrik hätte zerstören können. Wäre er nicht gerade noch rechtzeitig gestoppt worden, wäre es dort wohl zu Explosionen sowie zur Freisetzung von giftigem Schwefelwasserstoff-Gas gekommen: eine Umweltkatastrophe mit möglicherweise tödlichen Folgen für Menschen.

Doch in der globalisierten Welt, die gleichzeitig die Welt der vernetzten Dinge ist, gibt es kein „weit weg“ – wie sich spätestens jetzt zeigt: Offenbar hat jene berüchtigte Hackergruppe namens „Triton“ erneut einen Angriff auf eine kritische Infrastruktur gestartet – viel mehr geht aus der aktuellen Meldung des Sicherheitsunternehmens FireEye nicht hervor. Doch allein, dass jene Gruppe offenbar weitere Ziele im Auge hat, ist eine beunruhigende Nachricht. Nach Informationen des Sicherheitsunternehmens Dragos handelt es sich offenbar um Ziele in den USA und westlichen Ländern.

Hacker nehmen Kraftwerke ins Visier

Wer sich anschaut, welchen Aufwand diese Gruppe getrieben hat und was genau sie damals angegriffen hat, den verwundert es wiederum nicht, wenn nun neue Angriffe auftauchen – und insbesondere, wenn sie das im Westen tun. Schließlich gilt der sehr spezialisierte Angriff einer Maschine, die auch in vielen deutschen Kraftwerken eingesetzt wird und die eigentlich für Sicherheit sorgen soll: ein Steuerungsmoduls des französischen Unternehmens Schneider Electric namens Triconex Safety Instrumented System (SIS), das Notfälle in letzter Sekunde erkennen und das Kraftwerk unter anderem abschalten können soll. Weltweit sind nach Angaben des Herstellers mehr als 13.000 solcher Geräte im Einsatz, unter anderem in Öl- und Gaskraftwerken, aber auch in Atomkraftwerken.

Die Hacker hatten es schließlich geschafft, diese Maschine aus der Ferne zu übernehmen: das Ziel war also, gezielt einen Notfall herbeizuführen, und gleichzeitig die letzten Sicherheitsmaßnahmen außer Kraft zu setzen. Sie besitzen nun also eine Blaupause, um Kraftwerke in aller Welt anzugreifen.

„Es ging nicht darum, Geld zu erpressen, sondern ein Chemie-Kraftwerk anzugreifen, was für Menschen und Umwelt katastrophale Folgen hätte“, sagt Christian Rossow, Leiter der Forschungsgruppe System Security am CISPA – Helmholtz Center for Information Security. In Saudi-Arabien wurde die Gruppe nur durch einen Zufall gestoppt: offenbar hatten die Hacker einen Fehler gemacht, der dazu führte, dass ein Sicherheitssystem des Kraftwerks ansprang.

Überraschende Präzision

Ansonsten scheint es der perfekte Plan gewesen zu sein: schon seit 2014 hatten die Täter das Netzwerk der Anlage ausspioniert. Zunächst waren sie durch eine Sicherheitslücke in einer schlecht programmierten Firewall in das Netzwerk eingedrungen, und hatten von dort einen Arbeitsplatz übernommen, der wiederum direkt mit den sicherheitsrelevanten Systemen der Anlage kommunizierte. Diesen hatten sie entweder über einen Fehler im Windows-Betriebssystem erreicht oder indem sie das Passwort eines Mitarbeiters abfingen.

Von dort konnten sie offenbar ein Sicherheitssystem ausspionieren sowie Hersteller, Typ und Kommunikationsweise der Schneider-Maschine. Forscher sind von der Präzision und dem Aufwand überrascht, den die Hacker betrieben haben, um gezielt diese eine Maschine zu übernehmen. Mutmaßlich hatten sie sich, nachdem sie über Jahre alle nötigen Informationen aus dem Netzwerk ausspioniert hatten, selbst ein entsprechendes Gerät beschafft und den Angriff geprobt und verfeinert. Auch bei den aktuellen Angriffsvorbereitungen in einer ungenannten Anlage haben sich die Hacker laut FireEye in den Netzwerken gezielt nach Steuerungsanlagen umgesehen.

Zahl der Angriffe steigt

Erst kürzlich warnte das Bundesamt für Sicherheit in der Informationstechnik vor einer deutlichen Zunahme von Hacker-Angriffen auf kritische Infrastrukturen wie Kraftwerke. So waren diese Angriffe in der zweiten Hälfte des vergangenen Jahres auf 157 angestiegen – doch das sind nur die gemeldeten Fälle. Da ein solcher Angriff schlecht fürs Image ist, kann getrost von einer hohen Dunkelziffer ausgegangen werden. Im gesamten Jahr zuvor (1.6.2017 bis 31.05.2018) erreichten das BSI nach eigenen Angaben 145 Meldungen, im entsprechenden Zeitraum davor waren es 34.

Für Experten ist es zudem die neue Qualität, die nachdenklich machen sollte. „Bis dahin waren gewisse moralische Maßstäbe eingehalten worden“, sagt Rossow, „bei großen Sabotageangriffen wurden noch nie bewusst Menschenleben gefährdet, das macht Angst.“ Terrorgruppen ebenso wie Regierungen haben damit ein Mittel in der Hand, um ganze Demokratien unter Druck zu setzen und zu erpressen – unerkannt und ohne sich selbst in Gefahr zu bringen.

Ein unsichtbarer Krieg

Wie wirksam so etwas sein kann, zeigt die jüngste Geschichte. Es gibt wenige weitere Angriffe dieser Größe, die ebenfalls die Sabotage zum Ziel hatten. Beispielsweise der Computerwurm Stuxnet, der 2010 offenbar ganz gezielt das iranische Atomprogramm stoppen sollte: auch hier hatten die Täter ein Schadprogramm speziell auf ein ganz bestimmtes System zur Steuerung von Industrieanlagen in diesem Fall von Siemens entwickelt. Stuxnet steuerte so genannte Frequenzumrichter fern, die dazu dienen, die Geschwindigkeit von Motoren zu regulieren. Parallel dazu ließen die Hacker bestimmte Zentrifugen besonders hoch drehen, so dass diese überhitzten und zerstört wurden.

Wie hoch der Schaden genau war, ist unbekannt. Experten sind sich jedoch einig, dass das iranische Atomprogramm durch den Angriff stark zurückgeworfen wurde. Den gleichen Effekt hätte man mittels Luftangriffen auf eine solche Anlage erreichen können – mit höherem Schaden und einer Kriegserklärung gleichbedeutend. Doch nur, weil man diesen Krieg nicht sieht, heißt es nicht, dass er nicht da ist. Es gilt in der Hackerszene als offenes Geheimnis, dass die USA und Israel hinter dem Angriff stecken – auch wenn diese dazu schweigen. Sie werden sich gut schützen müssen, denn ein Gegenangriff ist womöglich schon im Gange. Unbemerkt von der Öffentlichkeit.

Und wer greift nun die USA und westliche Länder mittels der ausgeklügelten Cyberwaffe Triton an? Wer hinter der Hackergruppe steht, ist unklar. Sicher ist nur eines: es muss eine mächtige Institution sein. „Derjenige hat einen großen Aufwand betrieben, da steckt richtig Geld drin“, sagt Rossow. Hinter den Angreifern könne ein Staat oder auch eine Terrorgruppe stecken. Spuren führen nach Russland: so wurden Dateinamen mit kyrillischen Buchstaben gefunden und auch eine russische IP-Adresse von der aus der Angriff mutmaßlich ausgeführt wurde. Auch wenn Experten eine russische Beteiligung für wahrscheinlich halten, sind diese Indizien freilich kein Beweis: wer auf derart raffinierte Weise in ein Kraftwerk eindringen kann, der kann auch falsche Spuren legen.

„Es gibt keine hundertprozentige Sicherheit“

Spannender ist sicherlich die Frage, was gegen solche Angriffe künftig hilft. Denn den Fehler, der die Gruppe auffliegen ließ, wird Triton beim nächsten Mal vermeiden können. Und mit der zunehmenden Vernetzung von Geräten im Internet steigt die Angreifbarkeit: alles, was mit dem Internet verbunden ist, kann potentiell von außen kompromittiert werden. „Es gibt keine hundertprozentige Sicherheit“, sagt Rossow. Hacker finden immer eine Lücke, das hat sich in der Vergangenheit immer wieder gezeigt. „Aber man kann es ihnen sehr viel schwerer machen.“ Im aktuellen Fall hätten Mitarbeiter beispielsweise mehrere Warnungen von Antiviren-Programmen ignoriert. „Hier müssen die Menschen besser geschult werden.“

Dazu kommt, dass die Hacker offenbar über ein Programm zur Fernwartung in die Anlage eindringen konnten. „So eine Fernwartung darf auf keinen Fall immer laufen“, sagt Rossow. Dies sei offenbar aus Bequemlichkeit geschehen. Üblicherweise wird sie nur dann eingeschaltet, wenn sie akut gebraucht wird – ähnlich wie das Programm „Teamviewer“, das Nutzer dann aktiv einschalten, wenn ihnen ein Administrator bei einem aktuellen Computerproblem hilft.

Das offenbar am schwersten zu lösende Problem, das in Hacks immer wieder eine Schlüsselrolle spielt, sind die Sicherheitslücken in Programmen, in diesem Fall eine schlampig programmierte Firewall und eine mögliche Lücke im Windows-Betriebssystem. Die Folgen solcher Sicherheitslücken haben auch die deutsche Öffentlichkeit immer wieder getroffen: Zuletzt in großem Stil beim Schadprogramm Wannacry, das eine Windows-Lücke ausnutzte, und unter anderem Krankenhäuser und die Deutsche Bahn betraf sowie unzählige kleinere Unternehmen. Doch nun sind nicht mehr „nur“ Kriminelle am Werk, die Geld erbeuten wollen, sondern möglicherweise Terroristen, die Menschenleben bedrohen.

Sicherheit heißt Aufwand

Hacker sind findig darin, solche Lücken aufzuspüren – und Geheimdienste bezahlen viel Geld für solche Lücken. Deshalb erfährt der Hersteller ebenso wie die Öffentlichkeit oft erst dann davon, wenn sie bereits ausgenutzt wurden. Der erste Schritt sei es, mehr Aufwand zu betreiben, um Sicherheitslücken gar nicht erst entstehen zu lassen, sagt Rossow: „Hier konkurrieren zwei Motive: Software sicher zu machen und sie möglichst schnell und günstig auf den Markt zu bringen.“ Sicherheit ist aufwendig – und damit wenig attraktiv. „Solange Unternehmen im Schadensfall nicht finanziell in die Verantwortung genommen werden, wird das wohl kaum gelöst.“

Für Firewalls gibt es zudem schon so genannte „Anomalie-Verfahren“: Dabei lernt eine künstliche Intelligenz aus Beobachtung, welche Art von Datenverkehr zwischen dem Internet und dem internen Netzwerk der Infrastruktur üblich ist und schlägt Alarm, sobald etwas ungewöhnliches auftritt. „Man braucht immer mehrere Schutzmechanismen“, sagt Rossow – eine Art Backup für die Sicherheit.

Und auch wenn es angesichts der Erfahrungen mit Wannacry und Co undenkbar erscheint: Rossow ist überzeugt, dass es in Zukunft möglich ist, einen völlig fehlerfreien Code zu garantieren und eine entsprechende Zertifizierung für kritische Infrastrukturen einzuführen. „Das ist eine spannende Forschungsfrage: In kleinem Maßstab klappt das im Labor schon, bei ein paar hundert Zeilen Code.“ Ein Browser hingegen oder eine Firmware haben Zig Millionen Zeilen Code. Diesen fehlerfrei zu bekommen, ist noch Zukunftsmusik. Aber nicht für immer, sagt Rossow: „Ich bin optimistisch, dass das eines Tages geht.“ Bis dahin müssen wir auf die Fehler der Hacker hoffen.