Mörderische Malware
Der Schadcode Triton kann Sicherheitssysteme in Fabriken deaktivieren und dadurch katastrophale Unfälle verursachen. Er ist das bislang extremste Beispiel für eine neue Form der Bedrohung.
(Bild: Ariel Davis)
- Martin Giles
Als erfahrener IT-Sicherheitsfachmann hat Julian Gutmanis schon viele Cyberangriffe gesehen. Aber als der australische Berater im Sommer 2017 zu einer petrochemischen Fabrik in Saudi-Arabien gerufen wurde, fand er etwas vor, was ihm das Blut in den Adern gefrieren ließ: Unbekannte Angreifer hatten Malware eingeschleust, mit der sie die Sicherheitssysteme der Produktionsanlagen übernehmen konnten. Damit hätten sie Unfälle verursachen können, die innerhalb und außerhalb des Werks lebensgefährlich sein könnten – von der Freisetzung giftiger Gase bis hin zu Explosionen.
Die bisher schwerste Industriekatastrophe der Welt war ein Störfall in der Pestizidfabrik von Union Carbide im indischen Bhopal. Im Dezember 1984 setzte es eine riesige Wolke giftiger Dämpfe frei, die mindestens 3800 Menschen tötete und bis zu 500000 Menschen schwer verletzte. Ursache waren Wartungsmängel, menschliches Versagen – und fehlerhafte beziehungsweise abgeschaltete Sicherheitssysteme.
Glücklicherweise gab es im saudischen Werk einen Fehler im Code, der die Malware verriet, bevor sie Schaden anrichten konnte. Der Fehler löste im Juni 2017 eine Reaktion des Sicherheitssystems aus, die das Werk zum Stillstand brachte. Der erste Ausfall wurde fälschlicherweise auf eine mechanische Störung zurückgeführt. Im August kam es zu einer weiteren Abschaltung. Nun zogen die Betreiber Ermittler hinzu. Diese fanden eine Malware, die mittlerweile Triton (oder Trisis) genannt wird. Sie greift die Triconex-Sicherheitssteuerung an, die vom französischen Unternehmen Schneider Electric hergestellt wird.
Damit haben die Programmierer der Malware eine Grenze überschritten. Zum ersten Mal sah die IT-Welt einen Schadcode, der bewusst darauf ausgelegt war, Leben zu gefährden – und das zu einer Zeit, in der die Industrie ihre Anlagen in bisher nicht gekanntem Ausmaß vernetzt, um sie aus der Ferne zu überwachen oder effizienter betreiben zu können. Dies gibt Hackern mehr potenzielle Ziele.
Tritons Existenz wurde im Dezember 2017 bekannt gegeben. Seitdem mühen sich IT-Sicherheitsexperten, die Malware zu dekonstruieren und herauszufinden, wer dahintersteckt. Sie zeichnen das beunruhigende Bild einer ausgeklügelten Waffe, die von einer entschlossenen und geduldigen Hackergruppe gebaut wurde, deren Identität noch nicht feststeht.
(wst)
