Mit einem Angriff auf ein Kraftwerk haben Hacker erneut das Gefahrenpotenzial von Schwächen in der IT-Sicherheit kritischer Infrastruktur aufgezeigt. Wie Fire Eye und andere Sicherheitsfirmen berichten, führte eine Attacke zur Notabschaltung der Anlage.

Um welches Kraftwerk es sich handelt, ist unbekannt. Laut mehreren Angaben dürfte es sich im Nahen Osten befinden, schreibt Reuters. Eingesetzt wurde eine Malware namens "Triton".

Angreifer suchten Sicherheitslecks

Abgesehen hatten die Angreifer es auf "Triconex". Dabei handelt es sich um ein industrielles Sicherheitssystem, das von Schneider Electric gebaut wird und in zahlreichen Kraftwerken Verwendung findet. Die Angreifer sollen versucht haben, Steuereinheiten zu modifizieren, um Security-Lecks aufzuspüren.

Auch wenn eine plötzliche Abschaltung bereits schwerwiegende Folgen haben kann, hätte es offenbar noch viel schlimmer kommen können. Laut den Berichten führte der Zugriff dazu, dass manche Controller in einen "Fail Safe"-Status gingen, also einen Zwangshalt einlegten, der in der Folge zur Stilllegung des Betriebs führte. Erst dadurch konnte auch die Malware entdeckt werden. Denn diese war in der Lage, fehlerhaft laufende Controller wieder in ihren Ursprungsstatus zu versetzen, um den Angriff zu verschleiern. Dazu konnte sie sich selbst mit Zufallsdaten überschreiben, wenn die Manipulation einer Steuereinheit nicht innerhalb eines gewissen Zeitfensters gelang.

Könnte staatlicher Angriff gewesen sein

Der Hack galt zwar Triconex, wurde aber nicht unter Ausnutzung einer Lücke dieses Systems durchgeführt. Es soll sich um einen isolierten Vorfall gehandelt haben, von ähnlichen Angriffen auf andere Anlagen ist nichts bekannt. Auch wenn die Abschaltung potenziell weiteren Schaden verhinderte, ist es besorgniserregend, dass sie möglich war.

Wer hinter dem Angriff steckt, ist unklar. Fire Eye selbst sieht Hinweise darauf, dass es sich um die Vorbereitung einer staatlich gesteuerten Cyberattacke handelt. (red, 18.12.2017)