// Security

Shamoon (Saudi Aramco)

Eine Wiper-Malware löschte 2012 rund 30'000 Büro-Rechner von Saudi Aramco – die getrennte Öl-Produktion lief weiter.

Shamoon (2012): eine Wiper-Malware löschte rund 30'000 Büro-Rechner von Saudi Aramco, die getrennte Öl-Produktion lief weiterMalwareShamoonBüro-IT~30'000 RechnerProduktionOT-Netz getrenntAufbauSaudi Aramco, der grösste Öl-Konzern der Welt: Büro-Netz und Produktionsnetz(OT) sind getrennt aufgebaut – eine Entscheidung, die bald Gold wert ist.
Tempo:

Schritt 1 von 6

Saudi Aramco, der grösste Öl-Konzern der Welt: Büro-Netz und Produktionsnetz (OT) sind getrennt aufgebaut – eine Entscheidung, die bald Gold wert ist.

In 30 Sekunden

Am 15. August 2012 löschte die Schadsoftware «Shamoon» (auch «Disttrack» genannt) die Daten von rund 30'000 Arbeitsplatz-Rechnern des saudischen Öl-Konzerns Saudi Aramco. Statt zu spionieren, zerstörte sie: Die Festplatten wurden überschrieben, unter anderem mit dem Bild einer brennenden US-Flagge. Die Öl-Produktion lief weiter, weil die Produktions- und Steuerungsnetze (OT) vom Büro-Netz getrennt waren. Der Konzern musste aber wochenlang improvisieren und zehntausende Festplatten ersetzen. Der Fall gilt bis heute als einer der zerstörerischsten IT-Angriffe auf ein einzelnes Unternehmen.

Was geschah

Jahr

2012

Ziel

Ziel war das Büro-IT-Netz von Saudi Aramco, dem grössten Öl-Konzern der Welt. Die Produktions- und Steuerungssysteme (OT) waren nicht direkt betroffen.

Der Angriffsweg

  1. Die Angreifer verschaffen sich Zugang zum Büro-Netzwerk von Saudi Aramco; der genaue Einstiegsweg wurde nie offiziell bestätigt.
  2. Die Wiper-Malware «Shamoon/Disttrack» verbreitet sich über das interne Netz (Netzfreigaben und gestohlene Zugangsdaten) auf zehntausende Windows-Rechner.
  3. Am 15. August 2012 – an einem religiösen Feiertag, als nur wenige Mitarbeitende im Haus waren – löst eine eingebaute Zeitsteuerung die Löschfunktion aus.
  4. Die Malware überschreibt Dateien und den Startbereich der Festplatten (Master Boot Record), unter anderem mit dem Bild einer brennenden US-Flagge – die Rechner starten danach nicht mehr.
  5. Eine zuvor unbekannte Gruppe namens «Cutting Sword of Justice» bekennt sich in einem Online-Posting zum Angriff.
  6. Kurz darauf trifft ein sehr ähnlicher Angriff den Gas-Konzern RasGas in Katar.

Auswirkung

Rund 30'000 Arbeitsplatz-Rechner waren auf einen Schlag unbrauchbar. Saudi Aramco musste tagelang ohne Firmennetz arbeiten – mit Fax, Telefon und Papier. Der Wiederaufbau dauerte Wochen; laut Berichten kaufte der Konzern dafür zehntausende neue Festplatten auf dem Weltmarkt auf. Die Öl-Förderung selbst lief dank der Trennung von Büro-IT und Produktionsnetz durchgehend weiter.

So schützt du dich

Trenne Büro-IT und Produktionsnetz (Segmentierung) konsequent – genau diese Trennung rettete hier die Öl-Produktion.
Halte Offline-Backups vor, die eine Schadsoftware im Netz nicht erreichen und mitlöschen kann.
Beschränke Administrator-Rechte und Netzfreigaben auf das Nötigste (Least Privilege), damit sich Malware nicht ungehindert ausbreitet.
Überwache das Netz auf ungewöhnliche Massen-Schreibvorgänge und schnelle interne Ausbreitung (Anomalie-Erkennung).
Übe den Notbetrieb ohne IT (Papier-Prozesse) und den Wiederanlauf – auch die Beschaffung von Ersatz-Hardware gehört in den Notfallplan.

Fakten

Jahr
2012 (15. August)
Betroffen
Saudi Aramco (Öl-Konzern, Saudi-Arabien)
Malware
Shamoon, auch «Disttrack»
Typ
Wiper (Lösch-Malware)
Zerstörte Rechner
rund 30'000 Arbeitsplatz-Rechner
Bekenner
«Cutting Sword of Justice»
Folgeangriff
RasGas (Katar), kurz danach
Rückkehr
Shamoon 2 (2016/2017)

Im Detail

Der grösste Öl-Konzern der Welt als Ziel

Saudi Aramco fördert einen bedeutenden Teil des weltweiten Öls. Ein erfolgreicher Angriff auf diesen Konzern ist deshalb nicht nur ein Firmenproblem, sondern berührt die Energieversorgung ganzer Volkswirtschaften. Umso bemerkenswerter ist, was am 15. August 2012 geschah – und was eben nicht geschah.

Zerstören statt spionieren

Die meisten Schadprogramme jener Zeit wollten unauffällig bleiben und Daten stehlen. Shamoon war anders: Ein sogenannter Wiper (Lösch-Malware) überschrieb Dateien und den Startbereich der Festplatten – teils mit dem Bild einer brennenden US-Flagge. Die Rechner waren danach nicht mehr startfähig. Es ging sichtbar um Zerstörung und um eine Botschaft, nicht um Spionage.

Der Zeitpunkt war kein Zufall

Die Löschfunktion war auf einen religiösen Feiertag terminiert, an dem ein Grossteil der Belegschaft frei hatte. So konnte sich der Schaden ausbreiten, bevor jemand eingreifen konnte. Angreifer wählen solche Zeitfenster gezielt – Nachtstunden, Wochenenden, Feiertage – weil dann Reaktionszeiten am längsten sind.

Fax und Papier statt E-Mail

Nach dem Schlag war das Büro-Netz tagelang offline. Verträge, Lieferpapiere und interne Kommunikation liefen über Fax, Telefon und Papier. Der Wiederaufbau dauerte Wochen: Laut Berichten kaufte der Konzern zehntausende neue Festplatten auf und beeinflusste damit zeitweise sogar den Weltmarktpreis für Festplatten.

Warum die Produktion weiterlief

Der wichtigste Punkt des Falls: Die Öl-Förderung und die Steuerungssysteme (OT) waren vom Büro-Netz getrennt und blieben verschont. Diese Segmentierung – oft als lästige Pflicht belächelt – hat hier den Kernbetrieb eines Weltkonzerns gerettet. Wären Büro und Produktion ein flaches Netz gewesen, hätte der Schaden eine andere Dimension gehabt.

Die Rückkehr als Shamoon 2

Ende 2016 und 2017 tauchte die Malware in kaum veränderter Form wieder auf («Shamoon 2») und traf erneut Organisationen in Saudi-Arabien. Wiper sind seither ein festes Werkzeug im Arsenal politisch motivierter Angreifer – die Lehren aus 2012 gelten unverändert.