Industroyer
Die erste Schadsoftware, die Stromnetz-Anlagen ganz ohne Menschen fernsteuerte und in Kiew das Licht ausknipste.
In einem Umspannwerk steuert die Leittechnik die Leistungsschalter, also die grossen Schalter, die den Strom durchlassen oder trennen.
In 30 Sekunden
Im Dezember 2016 legte eine Schadsoftware namens Industroyer (auch CrashOverride genannt) einen Teil der Stromversorgung von Kiew für gut eine Stunde lahm. Das Besondere: Diese Malware war eigens für Stromnetze gebaut und beherrschte von sich aus die Fachsprachen der Leittechnik, also die digitalen Kommunikationsprotokolle der Steuerungsgeräte. Dadurch konnte sie direkt mit den Anlagen im Umspannwerk reden und automatisiert die grossen Schalter öffnen, die den Strom für den Stadtteil steuern, ohne dass ein Mensch am Knopf sass. Der Angriff wird der Gruppe Sandworm zugeschrieben. Er gilt als Weckruf, weil er zeigte, dass Angreifer das Spezialwissen der Industriewelt gezielt gegen kritische Infrastruktur einsetzen können. Die gute Nachricht: Die Lehren daraus sind bekannt und lassen sich umsetzen.
Was geschah
2016
Ein Uebertragungs-Umspannwerk der Stromversorgung nördlich von Kiew in der Ukraine, wodurch ein grosser Teil der Stadt kurzzeitig ohne Strom war.
Der Angriffsweg
- Vorbereitung: Laut Berichten verschafften sich die Angreifer bereits über längere Zeit unbefugt Zugang zum Unternehmensnetz, unter anderem über gestohlene Zugangsdaten und Fernwartungszugänge; der genaue erste Einstieg ist nicht abschliessend geklärt.
- Von dort gelangten sie ins interne Netz der Leittechnik, also in jenen Bereich, in dem die Steuerungssysteme des Umspannwerks laufen.
- Die Schadsoftware wurde im Steuerungsnetz platziert und erkundete, welche Geräte und Schaltanlagen dort erreichbar waren.
- Statt einen Menschen fernzusteuern, sprach die Malware selbst die Kommunikationsprotokolle der Stromnetz-Leittechnik (die digitalen Fachsprachen der Steuerungstechnik, oft OT genannt, für Operational Technology, also Anlagen- und Steuerungstechnik) wie IEC 60870-5-104 und IEC 61850.
- So gab sie direkt und automatisiert Schaltbefehle an die Leistungsschalter (die grossen Schutzschalter, die ganze Leitungsabschnitte mit Strom versorgen oder trennen) und öffnete diese, wodurch die Stromzufuhr für einen grossen Teil der Stadt unterbrochen wurde.
- Zusätzliche Module überschrieben Konfigurationsdaten und störten Geräte, offenbar mit dem Ziel, Wiederherstellung und Spurensuche zu erschweren; weil die Mitarbeiter die Schalter aber vor Ort von Hand wieder einlegen konnten, war der Strom nach rund einer Stunde zurück.
Auswirkung
Ein grosser Teil von Kiew war laut Berichten etwa eine Stunde ohne Strom, der Betreiber konnte die Versorgung danach von Hand wiederherstellen. Der direkte physische Schaden blieb begrenzt, doch die Wirkung war vor allem ein Signal: Erstmals wurde eine Malware bekannt, die eigenständig und wiederverwendbar mit Stromnetz-Anlagen kommunizieren konnte. Fachleute sahen darin einen Beweis, dass so ein Angriff grundsätzlich funktioniert und sich mit wenig Aufwand auf andere Stromnetze übertragen liesse, die dieselbe Technik nutzen.
So schützt du dich
Fakten
- Dezember 2016
- Stromversorgung / kritische Infrastruktur
- Uebertragungs-Umspannwerk nördlich von Kiew, Ukraine
- Netzspezifische OT-Schadsoftware (Industroyer / CrashOverride)
- Der Gruppe Sandworm zugeschrieben
- IEC 60870-5-101/104 und IEC 61850 (internationale Standard-Sprachen, über die Stromnetz-Anlagen Befehle austauschen)
- Rund ein Fünftel des Stromverbrauchs von Kiew, laut Berichten etwa eine Stunde ohne Strom
- Malware sprach selbst die Leittechnik-Protokolle und schaltete automatisiert ohne Menschen
Im Detail
Was Industroyer so besonders macht
Die meisten Schadprogramme sind für Büro-Computer gebaut. Sie stehlen Daten, verschlüsseln Dateien oder öffnen Hintertüren. Industroyer war anders: Es wurde eigens für Stromnetze entwickelt. Das Entscheidende ist, dass die Software von sich aus die Fachsprachen der Stromnetz-Leittechnik beherrschte. Diese Fachsprachen, im Fachjargon Kommunikationsprotokolle, legen fest, wie die Steuergeräte im Stromnetz digital miteinander reden; in der Stromwelt sind das zum Beispiel IEC 60870-5-104 und IEC 61850.
Weil die Malware diese Protokolle selbst sprach, brauchte sie keinen Menschen mehr, den sie fernsteuern musste. Sie konnte direkt mit den Schaltanlagen im Umspannwerk reden, so wie es sonst nur die legitime Steuerungssoftware des Betreibers tut. Damit gab sie eigenständig die Befehle, die zum Ausschalten führen.
Man kann es sich so vorstellen: Frühere Angriffe auf Stromnetze funktionierten wie ein Einbrecher, der sich in den Leitstand schleicht und selbst an den Knöpfen dreht. Industroyer dagegen war wie ein Roboter, der die Bedienung von Grund auf gelernt hat und sie ganz allein und in Sekunden ausführt. Es gilt als die erste bekannte Schadsoftware, die eigens für Angriffe auf Stromnetze entwickelt wurde.
Wie der Ausfall zustande kam
Wie die Angreifer ganz am Anfang hereinkamen, ist nicht vollständig geklärt. Berichte gehen davon aus, dass sie sich bereits vorher unbefugt Zugangsdaten und Fernzugänge verschafft und den Angriff über längere Zeit vorbereitet hatten. Am Ende dieser Kette stand der Zugriff auf das interne Netz der Leittechnik, also auf jenen Bereich, in dem die Steuerung der Anlage stattfindet.
Im Steuerungsnetz angekommen, nutzte die Malware ihre eingebauten Protokoll-Module. Sie sendete Schaltbefehle an die Leistungsschalter, also die grossen Schutzschalter, die einzelne Leitungsabschnitte mit Strom versorgen oder trennen. Durch das gezielte Oeffnen dieser Schalter wurde die Stromzufuhr für einen grossen Teil der Stadt unterbrochen; laut dem Netzbetreiber traf es ein 330-Kilovolt-Uebertragungs-Umspannwerk und rund ein Fünftel des nächtlichen Stromverbrauchs von Kiew.
Zusätzlich brachte Industroyer weitere Module mit, unter anderem zum Ueberschreiben von Konfigurationsdaten und zum Stören betroffener Geräte. Solche Bausteine sollen die Aufklärung erschweren und die Wiederherstellung verzögern. Weil die Mitarbeiter die Schalter jedoch vor Ort von Hand wieder einlegen konnten, war die Versorgung laut Berichten nach rund einer Stunde zurück. Genau das macht die Lehre der manuellen Notbedienung so greifbar.
Warum das für Geschäftsführer wichtig ist
Industroyer richtete zwar nur begrenzten physischen Schaden an, doch seine eigentliche Bedeutung liegt in der Botschaft. Zum ersten Mal wurde eine Schadsoftware bekannt, die das Spezialwissen der Industriewelt in sich trug und die im Prinzip wiederverwendbar war. Was einmal gegen ein Umspannwerk funktioniert, lässt sich gedanklich auf andere Anlagen übertragen, die dieselben Protokolle nutzen.
Für Verantwortliche heisst das: Sicherheit in der Produktions- und Anlagenwelt (oft OT genannt, für Operational Technology, also Anlagen- und Steuerungstechnik) ist kein reines IT-Thema mehr, sondern ein Führungsthema. Die Frage ist nicht nur, ob Daten sicher sind, sondern ob der Betrieb weiterläuft, wenn die Steuerung angegriffen wird.
Die praktischen Lehren sind klar und umsetzbar. Steuerungsnetze gehören strikt vom Internet und vom Büronetz getrennt, Fernzugänge müssen abgesichert und protokolliert sein, und ungewöhnliche Befehle im Leittechnik-Verkehr sollten auffallen. Ebenso wichtig ist, dass man den Wiederanlauf und die manuelle Notbedienung geübt hat, damit ein Vorfall nicht zur Dauerkrise wird.
