Es ist der Beginn einer ganz neuen Qualität von Cyberangriffen. So zumindest schätzen Expertinnen und Experten einen Hackerangriff in Saudi-Arabien ein. Eine Gruppe hat dabei einen Computervirus in das System eines Kraftwerks eingeschleust und hätte es damit zerstören können: Wäre der Virus nicht rechtzeitig gefunden und gestoppt worden, wäre es zu Explosionen und zur Freisetzung von giftigem Schwefelwasserstoffgas gekommen. Im schlimmsten Fall hätte das eine Umweltkatastrophe mit potenziell tödlichen Folgen für Menschen auslösen können. Bedeutet: Anders als bei anderen Angriffen brachten die Hackerinnen und Hacker bewusst Menschenleben in Gefahr.

Diese Cyberattacke wurde schon im Dezember 2017 entdeckt, die deutsche Öffentlichkeit schenkte ihr allerdings nur wenig Aufmerksamkeit. Und das, obwohl Experten sie als eine von drei sehr großen Sabotageangriffen in der Geschichte des Hackings kritischer Infrastrukturen einstufen – etwa so gravierend wie die Stuxnet-Attacke auf iranische Atomkraftwerke im Jahr 2010.

Das Desinteresse mag damit zusammenhängen, dass sich Saudi-Arabien weit weg anfühlt. Doch in der globalisierten Welt, in der immer mehr Dinge mit dem Internet vernetzt sind, gibt es kein "weit weg" mehr: Offenbar hat die Hackergruppe, die hinter dem schon in Saudi-Arabien zum Einsatz gekommenen Hacking-Werkzeug Triton steht, erneut einen Angriff auf eine kritische Infrastruktur gestartet – viel mehr geht aus einer aktuellen Meldung des Sicherheitsunternehmens FireEye nicht hervor. Nach Informationen des Sicherheitsunternehmens Dragos soll es sich aber um Ziele in den USA und westlichen Ländern handeln. Und allein dass diese Gruppe weitere Ziele im Auge hat, ist eine beunruhigende Nachricht.

Ein fast perfekter Plan

Wer sich anschaut, welchen Aufwand die Gruppe betrieben und was genau sie in Saudi-Arabien angegriffen hat, den verwundert es nicht, dass nun neue Angriffe publik werden – insbesondere auf Ziele im Westen. Denn Triton ist ein sehr spezialisierter Virus. Genau genommen greift er nur eine Maschine an: ein Steuerungsmodul des französischen Unternehmens Schneider Electric namens Triconex Safety Instrumented System (SIS). Das soll Notfälle in letzter Sekunde erkennen und das Kraftwerk unter anderem abschalten können. Weltweit sind nach Angaben des Herstellers mehr als 13.000 solcher Geräte im Einsatz, unter anderem in Öl- und Gaskraftwerken, aber auch in Atomkraftwerken. Zu den Kunden gehören auch viele deutsche Kraftwerke.

In Saudi-Arabien hatten es die Hacker Ende 2017 geschafft, dieses Steuerungsmodul aus der Ferne zu übernehmen. Das Ziel: absichtlich einen Notfall herbeizuführen und gleichzeitig die letzten Sicherheitsmaßnahmen außer Kraft zu setzen. Die Gruppe wurde nur durch einen Zufall gestoppt. Offenbar hatten die Hackerinnen und Hacker einen Fehler gemacht, der dazu führte, dass ein Sicherheitssystem des Kraftwerks ansprang.

Ansonsten war es der perfekte Plan: Schon seit 2014 hatten die Täter das Netzwerk der Anlage ausspioniert. Zunächst waren sie durch eine Sicherheitslücke in einer schlecht programmierten Firewall in das Netzwerk eingedrungen und hatten von dort einen Arbeitsplatz übernommen, der wiederum direkt mit den sicherheitsrelevanten Systemen der Anlage kommunizierte. Diesen hatten sie entweder über einen Fehler im Windows-Betriebssystem erreicht oder, indem sie das Passwort eines Mitarbeiters abfingen.