Abbildung zum Thema Cyber Security

(Quelle: fotolia.com / bluebay2014)

Nach Angaben des Spezialist für datengestützte Sicherheit FireEye versuchten die Cyber Kriminellen die Controller der Sicherheitssteuerung über einen Remote-Zugang einer Workstation neu zu programmieren. Als eine Gültigkeitsprüfung eines Anwendungscodes zwischen zwei redundanten Prozessoren scheiterte, fuhr die Sicherheitssteuerung die Anlage sicher herunter. Bedingt durch diesen Vorfall wurde die komplette Anlage analysiert.
Das eindeutige Ziel war es die Industrieanlagen, die Umwelt oder der Produktion zu schaden. Da die Angreifer die Malware ‚Triton‘ eingesetzt haben, kurz nachdem sie Zugang zur Sicherheitssteuerung Triconex erhalten hatten, deutet darauf hin, dass die Schadsoftware vorher getestet haben müssen, was den Zugang zu spezieller Hard- und Sopftware erfordert. Triton wurde speziell dafür entwickelt, um mit dem proprietären Kommunikationsprotokoll ‚TriStation‘ zu interagieren.
Nach einer Meldung von Reuters haben sich weder FireEye noch Schneider Electric zum Unternehmen, zur Branche oder zur Region des Angriffs geäußert. Das Cyber-Security-Unternehmen Dragos gab an, dass das Ziel ein Unternehmen im Mittleren Osten war. Laut Aussage von CyberX, einem anderen Cyber-Security-Spezialisten ist das Opfer in Saudi-Arabien beheimatet.

Andy Kling, director of cybersecurity and architecture bei Schneider Electric unterstreicht in seinem Statement zu dem Angriff: “Wir wollen darauf hinweisen, dass das Ziel des Angriffs die Anlage bzw. der Anwender war. Obwohl Triton entwickelt wurde um mit unseren Produkten zu interagieren, war dies der Fall, weil genau diese Produkte an diesem Ort in dieser Anlage verwendet wurden. Die Schadsoftware hat sich keine inhärente Schwachstelle in den Produkten von Schneider Electric zu Nutze gemacht.”
Nach Aussage von Dragos war die Malware – die die Trisis – nennen, explizit auf diese Anwendung zugeschnitten. Auch wenn von der Prozesssicherheitslösung Triconex mehr als 13000 installierte Systeme im Einsatz sind, ist nicht davon auszugehen, dass andere Systeme gefährdet sind. Jede Applikation sei so einzigartig, dass es spezifisches Prozess-know-how erfordern würde, die Schadsoftware entsprechend zu modifizieren. Zudem habe die Steuerung genau das getan, was von ihr erwartet wird: die Anlage bei einem Problem in den sicheren Zustand gefahren.

Obwohl der Angriff nicht skalierbar ist, weißt Dragos darauf hin, dass die Gefahr besteht, dass andere die Spionagepraxis als Vorlage verwenden könnten um Sicherheitssteuerungen anzugreifen. Es sei egal, welche industrielle Steuerung verwendet wird, mit dem entsprechenden Aufwand lässt sich alles hacken.
In seinem Kommtar meint Dr. Alexander Horch, Vice President Research, Development & Product Management bei Hima „Der Vorfall von unserem Mitbewerber sollte uns allen als Weckruf dienen, um das Bewusstsein in der Branche für das Thema Cybersecurity weiter zu schärfen. Arbeitsprozesse und organisatorische Mängel sind mit Abstand die häufigste Angriffsfläche für erfolgreiche Cyberattacken. Bleiben z.B. Schnittstellen an Systemen im laufenden Betrieb offen und diese dadurch programmierbar, wird Angreifern ein mögliches Einfallstor geöffnet. Wir raten Anlagenbetreibern dringend, nicht nur auf cybersichere Komponenten zu setzen, sondern ein ganzheitliches Security-Konzept für die eigenen Anlagen zu etablieren.“

1 / 2

Ähnliche Beiträge