// Security

Telvent-Einbruch

Angreifer drangen beim SCADA-Hersteller Telvent ein und kopierten Projektdateien — die Baupläne der Kundenanlagen.

Telvent (2012): Angreifer drangen beim SCADA-Hersteller ein und kopierten Projektdateien des Produkts OASyS DNA — Baupläne der Kundenanlagen in Strom-, Öl- und GasnetzenAngreifer«Comment Group»TelventSCADA-HerstellerProjektdateienOASyS DNAKundenanlagenStrom, Öl, GasAufbauTelvent liefert SCADA-Software (OASyS DNA) für Strom-, Öl- und Gasnetze.Beim Hersteller lagern Projektdateien — Detailwissen über Kundenanlagen.
Tempo:

Schritt 1 von 6

Telvent liefert SCADA-Software (OASyS DNA) für Strom-, Öl- und Gasnetze. Beim Hersteller lagern Projektdateien — Detailwissen über Kundenanlagen.

In 30 Sekunden

Im September 2012 räumte Telvent, eine Tochter von Schneider Electric, einen Einbruch in ihr Firmennetz ein. Die Firma liefert SCADA-Software (Leittechnik-Software) für Strom-, Öl- und Gasnetze in Nordamerika. Die Angreifer installierten Schadsoftware und griffen Projektdateien des Produkts OASyS DNA ab — Dateien, die Kundenanlagen im Detail beschreiben. Berichte ordneten den Angriff einer chinesischen Spionagegruppe («Comment Group») zu. Öffentlich wurde der Fall durch den Sicherheitsjournalisten Brian Krebs.

Was geschah

Jahr

2012

Ziel

Ziel war der Software-Hersteller Telvent selbst — und damit indirekt dessen Kunden: Energieversorger und Pipeline-Betreiber, deren Anlagen in den gestohlenen Projektdateien beschrieben sind.

Der Angriffsweg

  1. Angreifer verschaffen sich Zugang zum Firmennetz von Telvent und überwinden die interne Firewall.
  2. Sie installieren Schadsoftware auf Systemen des Herstellers.
  3. Sie kopieren Projektdateien des SCADA-Produkts OASyS DNA — detaillierte Unterlagen zu Kundenanlagen.
  4. Telvent entdeckt den Einbruch, informiert die Kunden und kappt vorsorglich die Datenverbindungen zu Kundenanlagen.
  5. Die Spuren der Schadsoftware weisen laut Berichten auf die chinesische Spionagegruppe «Comment Group».
  6. Der Sicherheitsjournalist Brian Krebs macht den Fall im September 2012 öffentlich.

Auswirkung

Ein direkter Schaden an Energienetzen wurde nicht bekannt. Brisant war der Diebstahl selbst: OASyS DNA verbindet ältere IT-Systeme mit dem Smart Grid (intelligentes Stromnetz), und die Projektdateien sind faktisch Baupläne der Kundenanlagen — ideales Vorwissen, um spätere Angriffe auf kritische Infrastruktur vorzubereiten. Telvent musste zeitweise die Fernzugänge zu Kunden trennen, um sie zu schützen.

So schützt du dich

Behandle Hersteller- und Wartungszugänge wie fremde Zugänge: eigene Zone, eigene Konten, lückenlose Protokollierung.
Prüfe die Sicherheit deiner Lieferanten (Lieferketten-Risiko) und verankere Sicherheitsanforderungen im Vertrag.
Halte Notfallpläne bereit, um Fernzugänge von Herstellern und Dienstleistern sofort trennen zu können.
Gehe davon aus, dass Anlagen-Dokumentation in fremde Hände geraten kann — Sicherheit darf nicht allein von der Geheimhaltung der Baupläne abhängen.
Segmentiere die Leittechnik so, dass gestohlenes Wissen allein noch keinen Zugriff ermöglicht.

Fakten

Jahr
September 2012
Betroffen
Telvent (Tochter von Schneider Electric)
Produkt
OASyS DNA (SCADA/Smart Grid)
Beute
Projektdateien zu Kundenanlagen
Zuordnung
laut Berichten «Comment Group» (China)
Öffentlich durch
Brian Krebs (krebsonsecurity.com)
Branche
Strom-, Öl- und Gasnetze in Nordamerika

Im Detail

Ein Hersteller als Generalschlüssel

Telvent lieferte nicht nur Software, sondern betreute Kundenanlagen auch über Fernzugänge und Support-Verbindungen. Wer den Hersteller kompromittiert, steht damit potenziell vor den Türen vieler Betreiber gleichzeitig. Genau das macht Angriffe auf die Lieferkette so attraktiv: Ein Einbruch, viele mögliche Ziele.

Was in Projektdateien steckt

Projektdateien eines SCADA-Systems beschreiben die Kundenanlage im Detail: Netzstrukturen, Komponenten, Konfigurationen, Abläufe. Für einen Angreifer sind sie ein Bauplan — sie verraten, wie eine Anlage aufgebaut ist und wo sich ein Angriff lohnen könnte. Der Diebstahl solcher Dateien richtet noch keinen Schaden an, senkt aber die Hürde für spätere, gezielte Angriffe erheblich.

Die Reaktion von Telvent

Telvent informierte die Kunden schriftlich über den Einbruch und trennte vorsorglich die Datenverbindungen zwischen dem eigenen Netz und den Kundenanlagen — ein harter, aber richtiger Schritt: Lieber auf Fernservice verzichten, als den Angreifern einen Weg in die Netze der Kunden zu lassen. Der Fall zeigt, wie wichtig vorbereitete Trennschalter für solche Verbindungen sind.

Spionage statt Sabotage

Die verwendete Schadsoftware und Infrastruktur wiesen laut Berichten auf die «Comment Group», eine mit China in Verbindung gebrachte Spionagegruppe (APT — Advanced Persistent Threat, ein langfristig und gezielt vorgehender Angreifer). Ziel war offenbar Informationsbeschaffung, nicht unmittelbare Zerstörung. Gerade das macht solche Fälle tückisch: Der eigentliche Schaden kann Jahre später entstehen — oder nie.

Die Lehre: Lieferkette ist Angriffsfläche

Der Telvent-Fall gilt als frühes Lehrstück für Lieferketten-Angriffe auf kritische Infrastruktur: Der Weg in die Anlage führt oft über den Hersteller, Integrator oder Dienstleister. Betreiber sollten Herstellerzugänge technisch isolieren, vertraglich Sicherheitspflichten festschreiben und im eigenen Zonenmodell einplanen, dass jeder externe Partner kompromittiert sein könnte.