← Wissen

// Security

Industroyer

Die erste Schadsoftware, die Stromnetz-Anlagen ganz ohne Menschen fernsteuerte und in Kiew das Licht ausknipste.

Industroyer: Schadsoftware spricht selbst die Stromnetz-Protokolle und öffnet automatisiert die Leistungsschalter, ein Stadtteil verliert den StromMalwareim UmspannwerkSchalterSchaltanlageStromnetzStadtteilAufbauIn einem Umspannwerk steuert die Leittechnik die Leistungsschalter,also die grossen Schalter, die den Strom durchlassen oder trennen.
Tempo:

Schritt 1 von 6

In einem Umspannwerk steuert die Leittechnik die Leistungsschalter, also die grossen Schalter, die den Strom durchlassen oder trennen.

In 30 Sekunden

Im Dezember 2016 legte eine Schadsoftware namens Industroyer (auch CrashOverride genannt) einen Teil der Stromversorgung von Kiew für gut eine Stunde lahm. Das Besondere: Diese Malware war eigens für Stromnetze gebaut und beherrschte von sich aus die Fachsprachen der Leittechnik, also die digitalen Kommunikationsprotokolle der Steuerungsgeräte. Dadurch konnte sie direkt mit den Anlagen im Umspannwerk reden und automatisiert die grossen Schalter öffnen, die den Strom für den Stadtteil steuern, ohne dass ein Mensch am Knopf sass. Der Angriff wird der Gruppe Sandworm zugeschrieben. Er gilt als Weckruf, weil er zeigte, dass Angreifer das Spezialwissen der Industriewelt gezielt gegen kritische Infrastruktur einsetzen können. Die gute Nachricht: Die Lehren daraus sind bekannt und lassen sich umsetzen.

Was geschah

Jahr

2016

Ziel

Ein Uebertragungs-Umspannwerk der Stromversorgung nördlich von Kiew in der Ukraine, wodurch ein grosser Teil der Stadt kurzzeitig ohne Strom war.

Der Angriffsweg

  1. Vorbereitung: Laut Berichten verschafften sich die Angreifer bereits über längere Zeit unbefugt Zugang zum Unternehmensnetz, unter anderem über gestohlene Zugangsdaten und Fernwartungszugänge; der genaue erste Einstieg ist nicht abschliessend geklärt.
  2. Von dort gelangten sie ins interne Netz der Leittechnik, also in jenen Bereich, in dem die Steuerungssysteme des Umspannwerks laufen.
  3. Die Schadsoftware wurde im Steuerungsnetz platziert und erkundete, welche Geräte und Schaltanlagen dort erreichbar waren.
  4. Statt einen Menschen fernzusteuern, sprach die Malware selbst die Kommunikationsprotokolle der Stromnetz-Leittechnik (die digitalen Fachsprachen der Steuerungstechnik, oft OT genannt, für Operational Technology, also Anlagen- und Steuerungstechnik) wie IEC 60870-5-104 und IEC 61850.
  5. So gab sie direkt und automatisiert Schaltbefehle an die Leistungsschalter (die grossen Schutzschalter, die ganze Leitungsabschnitte mit Strom versorgen oder trennen) und öffnete diese, wodurch die Stromzufuhr für einen grossen Teil der Stadt unterbrochen wurde.
  6. Zusätzliche Module überschrieben Konfigurationsdaten und störten Geräte, offenbar mit dem Ziel, Wiederherstellung und Spurensuche zu erschweren; weil die Mitarbeiter die Schalter aber vor Ort von Hand wieder einlegen konnten, war der Strom nach rund einer Stunde zurück.

Auswirkung

Ein grosser Teil von Kiew war laut Berichten etwa eine Stunde ohne Strom, der Betreiber konnte die Versorgung danach von Hand wiederherstellen. Der direkte physische Schaden blieb begrenzt, doch die Wirkung war vor allem ein Signal: Erstmals wurde eine Malware bekannt, die eigenständig und wiederverwendbar mit Stromnetz-Anlagen kommunizieren konnte. Fachleute sahen darin einen Beweis, dass so ein Angriff grundsätzlich funktioniert und sich mit wenig Aufwand auf andere Stromnetze übertragen liesse, die dieselbe Technik nutzen.

So schützt du dich

Den Steuerungs-Datenverkehr laufend überwachen, damit ungewöhnliche oder unerlaubte Schaltbefehle sofort auffallen (sogenannte Anomalie-Erkennung).
Die Steuerungsnetze der Anlagen (oft OT-Netze genannt, für Operational Technology) strikt segmentieren und konsequent vom Internet und vom Büronetz trennen.
Fernzugänge absichern, etwa mit Zwei-Faktor-Anmeldung, klaren Freigaben und Protokollierung jedes Zugriffs.
Wiederanlauf-Prozeduren regelmässig üben, damit die Anlage nach einem Vorfall schnell und sicher wieder hochgefahren werden kann.
Manuelle Notbedienung und einen unabhängigen Rückfallmodus vorhalten, damit die Versorgung auch ohne die digitale Leittechnik funktioniert.

Fakten

Jahr
Dezember 2016
Betroffener Sektor
Stromversorgung / kritische Infrastruktur
Ort
Uebertragungs-Umspannwerk nördlich von Kiew, Ukraine
Angriffsart
Netzspezifische OT-Schadsoftware (Industroyer / CrashOverride)
Zuschreibung
Der Gruppe Sandworm zugeschrieben
Betroffene Protokolle
IEC 60870-5-101/104 und IEC 61850 (internationale Standard-Sprachen, über die Stromnetz-Anlagen Befehle austauschen)
Ausmass
Rund ein Fünftel des Stromverbrauchs von Kiew, laut Berichten etwa eine Stunde ohne Strom
Besonderheit
Malware sprach selbst die Leittechnik-Protokolle und schaltete automatisiert ohne Menschen

Im Detail

Was Industroyer so besonders macht

Die meisten Schadprogramme sind für Büro-Computer gebaut. Sie stehlen Daten, verschlüsseln Dateien oder öffnen Hintertüren. Industroyer war anders: Es wurde eigens für Stromnetze entwickelt. Das Entscheidende ist, dass die Software von sich aus die Fachsprachen der Stromnetz-Leittechnik beherrschte. Diese Fachsprachen, im Fachjargon Kommunikationsprotokolle, legen fest, wie die Steuergeräte im Stromnetz digital miteinander reden; in der Stromwelt sind das zum Beispiel IEC 60870-5-104 und IEC 61850.

Weil die Malware diese Protokolle selbst sprach, brauchte sie keinen Menschen mehr, den sie fernsteuern musste. Sie konnte direkt mit den Schaltanlagen im Umspannwerk reden, so wie es sonst nur die legitime Steuerungssoftware des Betreibers tut. Damit gab sie eigenständig die Befehle, die zum Ausschalten führen.

Man kann es sich so vorstellen: Frühere Angriffe auf Stromnetze funktionierten wie ein Einbrecher, der sich in den Leitstand schleicht und selbst an den Knöpfen dreht. Industroyer dagegen war wie ein Roboter, der die Bedienung von Grund auf gelernt hat und sie ganz allein und in Sekunden ausführt. Es gilt als die erste bekannte Schadsoftware, die eigens für Angriffe auf Stromnetze entwickelt wurde.

Wie der Ausfall zustande kam

Wie die Angreifer ganz am Anfang hereinkamen, ist nicht vollständig geklärt. Berichte gehen davon aus, dass sie sich bereits vorher unbefugt Zugangsdaten und Fernzugänge verschafft und den Angriff über längere Zeit vorbereitet hatten. Am Ende dieser Kette stand der Zugriff auf das interne Netz der Leittechnik, also auf jenen Bereich, in dem die Steuerung der Anlage stattfindet.

Im Steuerungsnetz angekommen, nutzte die Malware ihre eingebauten Protokoll-Module. Sie sendete Schaltbefehle an die Leistungsschalter, also die grossen Schutzschalter, die einzelne Leitungsabschnitte mit Strom versorgen oder trennen. Durch das gezielte Oeffnen dieser Schalter wurde die Stromzufuhr für einen grossen Teil der Stadt unterbrochen; laut dem Netzbetreiber traf es ein 330-Kilovolt-Uebertragungs-Umspannwerk und rund ein Fünftel des nächtlichen Stromverbrauchs von Kiew.

Zusätzlich brachte Industroyer weitere Module mit, unter anderem zum Ueberschreiben von Konfigurationsdaten und zum Stören betroffener Geräte. Solche Bausteine sollen die Aufklärung erschweren und die Wiederherstellung verzögern. Weil die Mitarbeiter die Schalter jedoch vor Ort von Hand wieder einlegen konnten, war die Versorgung laut Berichten nach rund einer Stunde zurück. Genau das macht die Lehre der manuellen Notbedienung so greifbar.

Warum das für Geschäftsführer wichtig ist

Industroyer richtete zwar nur begrenzten physischen Schaden an, doch seine eigentliche Bedeutung liegt in der Botschaft. Zum ersten Mal wurde eine Schadsoftware bekannt, die das Spezialwissen der Industriewelt in sich trug und die im Prinzip wiederverwendbar war. Was einmal gegen ein Umspannwerk funktioniert, lässt sich gedanklich auf andere Anlagen übertragen, die dieselben Protokolle nutzen.

Für Verantwortliche heisst das: Sicherheit in der Produktions- und Anlagenwelt (oft OT genannt, für Operational Technology, also Anlagen- und Steuerungstechnik) ist kein reines IT-Thema mehr, sondern ein Führungsthema. Die Frage ist nicht nur, ob Daten sicher sind, sondern ob der Betrieb weiterläuft, wenn die Steuerung angegriffen wird.

Die praktischen Lehren sind klar und umsetzbar. Steuerungsnetze gehören strikt vom Internet und vom Büronetz getrennt, Fernzugänge müssen abgesichert und protokolliert sein, und ungewöhnliche Befehle im Leittechnik-Verkehr sollten auffallen. Ebenso wichtig ist, dass man den Wiederanlauf und die manuelle Notbedienung geübt hat, damit ein Vorfall nicht zur Dauerkrise wird.

Weiterführend