Hackerangriff, Lebensgefahr!

Es ist der Beginn einer ganz neuen Qualität von Cyberangriffen. So zumindest schätzen Expertinnen und Experten einen Hackerangriff in Saudi-Arabien ein. Eine Gruppe hat dabei einen Computervirus in das System eines Kraftwerks eingeschleust und hätte es damit zerstören können: Wäre der Virus nicht rechtzeitig gefunden und gestoppt worden, wäre es zu Explosionen und zur Freisetzung von giftigem Schwefelwasserstoffgas gekommen. Im schlimmsten Fall hätte das eine Umweltkatastrophe mit potenziell tödlichen Folgen für Menschen auslösen können. Bedeutet: Anders als bei anderen Angriffen brachten die Hackerinnen und Hacker bewusst Menschenleben in Gefahr.

Diese Cyberattacke wurde schon im Dezember 2017 entdeckt, die deutsche Öffentlichkeit schenkte ihr allerdings nur wenig Aufmerksamkeit. Und das, obwohl Experten sie als eine von drei sehr großen Sabotageangriffen in der Geschichte des Hackings kritischer Infrastrukturen einstufen – etwa so gravierend wie die Stuxnet-Attacke auf iranische Atomkraftwerke im Jahr 2010.

Das Desinteresse mag damit zusammenhängen, dass sich Saudi-Arabien weit weg anfühlt. Doch in der globalisierten Welt, in der immer mehr Dinge mit dem Internet vernetzt sind, gibt es kein "weit weg" mehr: Offenbar hat die Hackergruppe, die hinter dem schon in Saudi-Arabien zum Einsatz gekommenen Hacking-Werkzeug Triton steht, erneut einen Angriff auf eine kritische Infrastruktur gestartet – viel mehr geht aus einer aktuellen Meldung des Sicherheitsunternehmens FireEye nicht hervor. Nach Informationen des Sicherheitsunternehmens Dragos soll es sich aber um Ziele in den USA und westlichen Ländern handeln. Und allein dass diese Gruppe weitere Ziele im Auge hat, ist eine beunruhigende Nachricht.

Ein fast perfekter Plan

Wer sich anschaut, welchen Aufwand die Gruppe betrieben und was genau sie in Saudi-Arabien angegriffen hat, den verwundert es nicht, dass nun neue Angriffe publik werden – insbesondere auf Ziele im Westen. Denn Triton ist ein sehr spezialisierter Virus. Genau genommen greift er nur eine Maschine an: ein Steuerungsmodul des französischen Unternehmens Schneider Electric namens Triconex Safety Instrumented System (SIS). Das soll Notfälle in letzter Sekunde erkennen und das Kraftwerk unter anderem abschalten können. Weltweit sind nach Angaben des Herstellers mehr als 13.000 solcher Geräte im Einsatz, unter anderem in Öl- und Gaskraftwerken, aber auch in Atomkraftwerken. Zu den Kunden gehören auch viele deutsche Kraftwerke.

In Saudi-Arabien hatten es die Hacker Ende 2017 geschafft, dieses Steuerungsmodul aus der Ferne zu übernehmen. Das Ziel: absichtlich einen Notfall herbeizuführen und gleichzeitig die letzten Sicherheitsmaßnahmen außer Kraft zu setzen. Die Gruppe wurde nur durch einen Zufall gestoppt. Offenbar hatten die Hackerinnen und Hacker einen Fehler gemacht, der dazu führte, dass ein Sicherheitssystem des Kraftwerks ansprang.

Ansonsten war es der perfekte Plan: Schon seit 2014 hatten die Täter das Netzwerk der Anlage ausspioniert. Zunächst waren sie durch eine Sicherheitslücke in einer schlecht programmierten Firewall in das Netzwerk eingedrungen und hatten von dort einen Arbeitsplatz übernommen, der wiederum direkt mit den sicherheitsrelevanten Systemen der Anlage kommunizierte. Diesen hatten sie entweder über einen Fehler im Windows-Betriebssystem erreicht oder, indem sie das Passwort eines Mitarbeiters abfingen.

"Das macht Angst"

Von dort konnten sie offenbar das Sicherheitssystem ausspionieren, das in Notfällen einspringt. Auch Hersteller, Typ und Kommunikationsweise, also die Programmiersprache der Schneider-Maschine, konnten sie identifizieren. Forscherinnen sind von der Präzision und dem Aufwand überrascht, den die Hacker betrieben haben, um gezielt diese eine Maschine übernehmen zu können. Mutmaßlich beschafften sie sich, nachdem sie über Jahre alle nötigen Informationen über das Netzwerk ausspionierten, selbst ein entsprechendes Gerät und probten und verfeinerten so den Angriff.

"Es ging nicht darum, Geld zu erpressen, sondern ein Chemiekraftwerk anzugreifen, was für Menschen und Umwelt katastrophale Folgen hätte", sagt Christian Rossow, Leiter der Forschungsgruppe System Security am Helmholtz Center for Information Security (CISPA). Obwohl ihr Angriff scheiterte, besitzen die Hacker nun eine Blaupause, um Kraftwerke in aller Welt anzugreifen. Auch bei den jüngsten Angriffsvorbereitungen in einer bislang unbekannten Anlage haben sich die Hacker laut FireEye in den Netzwerken gezielt nach Details zu den Steuerungsanlagen umgesehen.

Erst kürzlich warnte das Bundesamt für Sicherheit in der Informationstechnik vor einer deutlichen Zunahme von Hackerangriffen auf kritische Infrastrukturen wie Kraftwerke. So waren diese Attacken in der zweiten Hälfte des vergangenen Jahres auf 157 angestiegen. Wohlgemerkt sind das nur die gemeldeten Fälle. Da ein solcher Angriff schlecht für das Image eines Unternehmens ist, muss man von einer hohen Dunkelziffer ausgehen. Im Vorjahreszeitraum verzeichnete das BSI 145 Meldungen, im entsprechenden Zeitraum davor waren es 34.

Angreifer unbekannt

Experten macht die neue Qualität der Angriffe nachdenklich. Bis zu dem Fall in Saudi-Arabien seien gewisse moralische Maßstäbe eingehalten worden, sagt Rossow. "Bei großen Sabotageangriffen wurden noch nie bewusst Menschenleben gefährdet, das macht Angst." Denn damit haben Terrorgruppen ebenso wie Regierungen ein Mittel in der Hand, um ganze Demokratien unter Druck zu setzen – unerkannt und ohne sich selbst in Gefahr zu bringen.

Wie wirksam so etwas sein kann, hat sich bei einem anderen Sabotageangriff dieser Dimension gezeigt. 2010 wurde der Einsatz des Computerwurms Stuxnet bekannt, der offenbar gezielt das iranische Atomprogramm stoppen sollte. Auch in diesem Fall hatten die Täterinnen ein Schadprogramm speziell für ein ganz bestimmtes System zur Steuerung von Industrieanlagen entwickelt – in diesem Fall vom Hersteller Siemens. Stuxnet steuerte sogenannte Frequenzumrichter fern, die dazu dienen, die Geschwindigkeit von Motoren zu regulieren. Parallel dazu ließen die Hacker bestimmte Zentrifugen besonders schnell drehen, sodass diese überhitzten und zerstört wurden.

Wie hoch der durch Stuxnet verursachte Schaden war, ist unbekannt. Der Iran selbst behauptete, es seien "keine ernsthaften Schäden" verursacht worden. Experten sind sich jedoch einig, dass das iranische Atomprogramm durch den Angriff stark zurückgeworfen wurde. Den gleichen Effekt hätte man mit Luftangriffen auf eine solche Anlage erreichen können – doch ein solcher Schritt wäre einer Kriegserklärung gleichgekommen. Wobei man angesichts solcher Cyberangriffe vorsichtig sein muss: Nur weil man diesen Krieg nicht sieht, heißt es nicht, dass er nicht geführt wird. Einige Experten argumentieren, dass eine digitale Attacke einem Kriegsakt gleichkäme. Es gilt in der Hackerszene als offenes Geheimnis, dass die USA und Israel hinter dem Stuxnet-Angriff stecken – auch wenn die beiden Staaten dazu schweigen. Sie müssen sich und ihre Anlagen gut schützen, denn ein Gegenangriff ist womöglich schon im Gange. Unbemerkt von der Öffentlichkeit.

Und wer greift nun die USA und westliche Länder mit der ausgeklügelten Cyberwaffe Triton an? Das ist tatsächlich noch unklar. Sicher ist nur: Es muss eine mächtige Institution sein. "Derjenige hat einen großen Aufwand betrieben, da steckt richtig Geld drin", sagt Rossow. Hinter den Angreifern könne ein Staat oder auch eine Terrorgruppe stecken. Erste Spuren führen nach Russland: So wurden Dateinamen mit kyrillischen Buchstaben gefunden und auch eine russische IP-Adresse, von der aus der Angriff mutmaßlich ausgeführt wurde. Auch wenn Experten eine russische Beteiligung für wahrscheinlich halten, genügen diese Indizien nicht als Beweis: Wer auf derart raffinierte Weise in ein Kraftwerk eindringen kann, der kann auch falsche Spuren legen.

Sicherheit ist aufwendig – und damit wenig attraktiv

Drängend ist die Frage, was gegen weitere Angriffe dieser Art hilft. Denn den Fehler, der die Gruppe auffliegen ließ, wird Triton künftig vermeiden können. Und mit der zunehmenden Vernetzung von Geräten mit dem Internet steigt die Angreifbarkeit: Alles, was vernetzt ist, kann potenziell von außen kompromittiert werden. "Es gibt keine hundertprozentige Sicherheit", sagt Rossow. Hacker finden immer eine Lücke, das hat sich in der Vergangenheit immer wieder gezeigt. "Aber man kann es ihnen sehr viel schwerer machen." In Saudi-Arabien hätten Mitarbeiterinnen und Mitarbeiter beispielsweise mehrere Warnungen von Antivirenprogrammen ignoriert. Man müsse die Menschen besser schulen, sagt Rossow.

Dazu kommt, dass die Hacker offenbar über ein Programm zur Fernwartung in die Anlage eindringen konnten. Üblicherweise wird es nur dann eingeschaltet, wenn es akut gebraucht wird – ähnlich wie das Programm TeamViewer, das Nutzerinnen und Nutzer dann aktiv einschalten, wenn ihnen ein Administrator bei einem akuten Computerproblem hilft. "So eine Fernwartung darf auf keinen Fall immer laufen", sagt Rossow. In Saudi-Arabien sei dies offenbar aus Bequemlichkeit geschehen.

Ein weiteres Problem stellen Sicherheitslücken in Programmen dar, wie etwa im Fall des saudischen Kraftwerks eben die schlampig programmierte Firewall und wohl eine Lücke im Windows-Betriebssystem. Die Folgen solcher Sicherheitslücken haben auch die deutsche Öffentlichkeit immer wieder getroffen, zuletzt in großem Stil durch das Schadprogramm WannaCry. Dieser Verschlüsselungstrojaner befiel Krankenhäuser, die Deutsche Bahn und etliche kleinere Unternehmen. Die Software nutzte eine Lücke im Betriebssystem Windows aus, um Festplatten zu verschlüsseln. Die Kriminellen, die das System einsetzten, versuchten so, Geld zu erpressen.

Ein Sicherheitsmechanismus für den Sicherheitsmechanismus

Hacker sind findig darin, solche Sicherheitslücken aufzuspüren – und Geheimdienste und Kriminelle bezahlen hohe Summen, gerade für bislang unentdeckte Angriffsmöglichkeiten. Deshalb erfahren Hersteller wie Öffentlichkeit oft erst dann von den Lücken, wenn sie bereits ausgenutzt wurden. Die erste Gegenmaßnahme sei es, mehr Aufwand zu betreiben, um solche Sicherheitsmängel gar nicht erst entstehen zu lassen, sagt Rossow: "Hier konkurrieren zwei Motive: Software sicher zu machen und sie möglichst schnell und günstig auf den Markt zu bringen." Sicherheit ist aufwendig – und damit wenig attraktiv. "Solange Unternehmen im Schadensfall nicht finanziell in die Verantwortung genommen werden, wird das wohl kaum gelöst." Aus seiner Sicht könnte eine wirksame Regulierung genau an diesem Punkt ansetzen: Entsteht ein Schaden, weil ein Softwareanbieter nachweislich an der Sicherheit gespart hat, sollte er dafür haften müssen.

Für Firewalls gibt es schon sogenannte Anomalieverfahren: Dabei lernt eine künstliche Intelligenz aus Beobachtung, welche Art von Datenverkehr zwischen dem Internet und dem internen Netzwerk der Infrastruktur üblich ist, und schlägt Alarm, sobald etwas Ungewöhnliches passiert. "Man braucht immer mehrere Schutzmechanismen", sagt Rossow. Etwa Backup-Maßnahmen für die Sicherheit, die greifen, wenn andere Schutzvorkehrungen ausgehebelt wurden.

Rossow ist überzeugt, dass es in Zukunft möglich sei, einen völlig fehlerfreien Code zu garantieren und eine entsprechende Zertifizierung für kritische Infrastrukturen einzuführen. In kleinem Maßstab gebe es solche Systeme im Labor schon, bei ein paar Hundert Zeilen Code, sagt Rossow. Einen Browser oder ein Betriebssystem perfekt zu programmieren, ist zwar derzeit noch völlig utopisch: Solche Systeme bestehen aus Millionen Zeilen Code, in die sich immer wieder Fehler einschleichen. Das müsse aber nicht für immer so bleiben, sagt Rossow: "Ich bin optimistisch, dass das eines Tages geht." Bis dahin müssen Unternehmen andere Sicherheitsmechanismen einbauen, um Angriffe zumindest zu erschweren.