Shamoon (Saudi Aramco)
Eine Wiper-Malware löschte 2012 rund 30'000 Büro-Rechner von Saudi Aramco – die getrennte Öl-Produktion lief weiter.
Saudi Aramco, der grösste Öl-Konzern der Welt: Büro-Netz und Produktionsnetz (OT) sind getrennt aufgebaut – eine Entscheidung, die bald Gold wert ist.
In 30 Sekunden
Am 15. August 2012 löschte die Schadsoftware «Shamoon» (auch «Disttrack» genannt) die Daten von rund 30'000 Arbeitsplatz-Rechnern des saudischen Öl-Konzerns Saudi Aramco. Statt zu spionieren, zerstörte sie: Die Festplatten wurden überschrieben, unter anderem mit dem Bild einer brennenden US-Flagge. Die Öl-Produktion lief weiter, weil die Produktions- und Steuerungsnetze (OT) vom Büro-Netz getrennt waren. Der Konzern musste aber wochenlang improvisieren und zehntausende Festplatten ersetzen. Der Fall gilt bis heute als einer der zerstörerischsten IT-Angriffe auf ein einzelnes Unternehmen.
Was geschah
2012
Ziel war das Büro-IT-Netz von Saudi Aramco, dem grössten Öl-Konzern der Welt. Die Produktions- und Steuerungssysteme (OT) waren nicht direkt betroffen.
Der Angriffsweg
- Die Angreifer verschaffen sich Zugang zum Büro-Netzwerk von Saudi Aramco; der genaue Einstiegsweg wurde nie offiziell bestätigt.
- Die Wiper-Malware «Shamoon/Disttrack» verbreitet sich über das interne Netz (Netzfreigaben und gestohlene Zugangsdaten) auf zehntausende Windows-Rechner.
- Am 15. August 2012 – an einem religiösen Feiertag, als nur wenige Mitarbeitende im Haus waren – löst eine eingebaute Zeitsteuerung die Löschfunktion aus.
- Die Malware überschreibt Dateien und den Startbereich der Festplatten (Master Boot Record), unter anderem mit dem Bild einer brennenden US-Flagge – die Rechner starten danach nicht mehr.
- Eine zuvor unbekannte Gruppe namens «Cutting Sword of Justice» bekennt sich in einem Online-Posting zum Angriff.
- Kurz darauf trifft ein sehr ähnlicher Angriff den Gas-Konzern RasGas in Katar.
Auswirkung
Rund 30'000 Arbeitsplatz-Rechner waren auf einen Schlag unbrauchbar. Saudi Aramco musste tagelang ohne Firmennetz arbeiten – mit Fax, Telefon und Papier. Der Wiederaufbau dauerte Wochen; laut Berichten kaufte der Konzern dafür zehntausende neue Festplatten auf dem Weltmarkt auf. Die Öl-Förderung selbst lief dank der Trennung von Büro-IT und Produktionsnetz durchgehend weiter.
So schützt du dich
Fakten
- 2012 (15. August)
- Saudi Aramco (Öl-Konzern, Saudi-Arabien)
- Shamoon, auch «Disttrack»
- Wiper (Lösch-Malware)
- rund 30'000 Arbeitsplatz-Rechner
- «Cutting Sword of Justice»
- RasGas (Katar), kurz danach
- Shamoon 2 (2016/2017)
Im Detail
Der grösste Öl-Konzern der Welt als Ziel
Saudi Aramco fördert einen bedeutenden Teil des weltweiten Öls. Ein erfolgreicher Angriff auf diesen Konzern ist deshalb nicht nur ein Firmenproblem, sondern berührt die Energieversorgung ganzer Volkswirtschaften. Umso bemerkenswerter ist, was am 15. August 2012 geschah – und was eben nicht geschah.
Zerstören statt spionieren
Die meisten Schadprogramme jener Zeit wollten unauffällig bleiben und Daten stehlen. Shamoon war anders: Ein sogenannter Wiper (Lösch-Malware) überschrieb Dateien und den Startbereich der Festplatten – teils mit dem Bild einer brennenden US-Flagge. Die Rechner waren danach nicht mehr startfähig. Es ging sichtbar um Zerstörung und um eine Botschaft, nicht um Spionage.
Der Zeitpunkt war kein Zufall
Die Löschfunktion war auf einen religiösen Feiertag terminiert, an dem ein Grossteil der Belegschaft frei hatte. So konnte sich der Schaden ausbreiten, bevor jemand eingreifen konnte. Angreifer wählen solche Zeitfenster gezielt – Nachtstunden, Wochenenden, Feiertage – weil dann Reaktionszeiten am längsten sind.
Fax und Papier statt E-Mail
Nach dem Schlag war das Büro-Netz tagelang offline. Verträge, Lieferpapiere und interne Kommunikation liefen über Fax, Telefon und Papier. Der Wiederaufbau dauerte Wochen: Laut Berichten kaufte der Konzern zehntausende neue Festplatten auf und beeinflusste damit zeitweise sogar den Weltmarktpreis für Festplatten.
Warum die Produktion weiterlief
Der wichtigste Punkt des Falls: Die Öl-Förderung und die Steuerungssysteme (OT) waren vom Büro-Netz getrennt und blieben verschont. Diese Segmentierung – oft als lästige Pflicht belächelt – hat hier den Kernbetrieb eines Weltkonzerns gerettet. Wären Büro und Produktion ein flaches Netz gewesen, hätte der Schaden eine andere Dimension gehabt.
Die Rückkehr als Shamoon 2
Ende 2016 und 2017 tauchte die Malware in kaum veränderter Form wieder auf («Shamoon 2») und traf erneut Organisationen in Saudi-Arabien. Wiper sind seither ein festes Werkzeug im Arsenal politisch motivierter Angreifer – die Lehren aus 2012 gelten unverändert.
