Telvent-Einbruch
Angreifer drangen beim SCADA-Hersteller Telvent ein und kopierten Projektdateien — die Baupläne der Kundenanlagen.
Telvent liefert SCADA-Software (OASyS DNA) für Strom-, Öl- und Gasnetze. Beim Hersteller lagern Projektdateien — Detailwissen über Kundenanlagen.
In 30 Sekunden
Im September 2012 räumte Telvent, eine Tochter von Schneider Electric, einen Einbruch in ihr Firmennetz ein. Die Firma liefert SCADA-Software (Leittechnik-Software) für Strom-, Öl- und Gasnetze in Nordamerika. Die Angreifer installierten Schadsoftware und griffen Projektdateien des Produkts OASyS DNA ab — Dateien, die Kundenanlagen im Detail beschreiben. Berichte ordneten den Angriff einer chinesischen Spionagegruppe («Comment Group») zu. Öffentlich wurde der Fall durch den Sicherheitsjournalisten Brian Krebs.
Was geschah
2012
Ziel war der Software-Hersteller Telvent selbst — und damit indirekt dessen Kunden: Energieversorger und Pipeline-Betreiber, deren Anlagen in den gestohlenen Projektdateien beschrieben sind.
Der Angriffsweg
- Angreifer verschaffen sich Zugang zum Firmennetz von Telvent und überwinden die interne Firewall.
- Sie installieren Schadsoftware auf Systemen des Herstellers.
- Sie kopieren Projektdateien des SCADA-Produkts OASyS DNA — detaillierte Unterlagen zu Kundenanlagen.
- Telvent entdeckt den Einbruch, informiert die Kunden und kappt vorsorglich die Datenverbindungen zu Kundenanlagen.
- Die Spuren der Schadsoftware weisen laut Berichten auf die chinesische Spionagegruppe «Comment Group».
- Der Sicherheitsjournalist Brian Krebs macht den Fall im September 2012 öffentlich.
Auswirkung
Ein direkter Schaden an Energienetzen wurde nicht bekannt. Brisant war der Diebstahl selbst: OASyS DNA verbindet ältere IT-Systeme mit dem Smart Grid (intelligentes Stromnetz), und die Projektdateien sind faktisch Baupläne der Kundenanlagen — ideales Vorwissen, um spätere Angriffe auf kritische Infrastruktur vorzubereiten. Telvent musste zeitweise die Fernzugänge zu Kunden trennen, um sie zu schützen.
So schützt du dich
Fakten
- September 2012
- Telvent (Tochter von Schneider Electric)
- OASyS DNA (SCADA/Smart Grid)
- Projektdateien zu Kundenanlagen
- laut Berichten «Comment Group» (China)
- Brian Krebs (krebsonsecurity.com)
- Strom-, Öl- und Gasnetze in Nordamerika
Im Detail
Ein Hersteller als Generalschlüssel
Telvent lieferte nicht nur Software, sondern betreute Kundenanlagen auch über Fernzugänge und Support-Verbindungen. Wer den Hersteller kompromittiert, steht damit potenziell vor den Türen vieler Betreiber gleichzeitig. Genau das macht Angriffe auf die Lieferkette so attraktiv: Ein Einbruch, viele mögliche Ziele.
Was in Projektdateien steckt
Projektdateien eines SCADA-Systems beschreiben die Kundenanlage im Detail: Netzstrukturen, Komponenten, Konfigurationen, Abläufe. Für einen Angreifer sind sie ein Bauplan — sie verraten, wie eine Anlage aufgebaut ist und wo sich ein Angriff lohnen könnte. Der Diebstahl solcher Dateien richtet noch keinen Schaden an, senkt aber die Hürde für spätere, gezielte Angriffe erheblich.
Die Reaktion von Telvent
Telvent informierte die Kunden schriftlich über den Einbruch und trennte vorsorglich die Datenverbindungen zwischen dem eigenen Netz und den Kundenanlagen — ein harter, aber richtiger Schritt: Lieber auf Fernservice verzichten, als den Angreifern einen Weg in die Netze der Kunden zu lassen. Der Fall zeigt, wie wichtig vorbereitete Trennschalter für solche Verbindungen sind.
Spionage statt Sabotage
Die verwendete Schadsoftware und Infrastruktur wiesen laut Berichten auf die «Comment Group», eine mit China in Verbindung gebrachte Spionagegruppe (APT — Advanced Persistent Threat, ein langfristig und gezielt vorgehender Angreifer). Ziel war offenbar Informationsbeschaffung, nicht unmittelbare Zerstörung. Gerade das macht solche Fälle tückisch: Der eigentliche Schaden kann Jahre später entstehen — oder nie.
Die Lehre: Lieferkette ist Angriffsfläche
Der Telvent-Fall gilt als frühes Lehrstück für Lieferketten-Angriffe auf kritische Infrastruktur: Der Weg in die Anlage führt oft über den Hersteller, Integrator oder Dienstleister. Betreiber sollten Herstellerzugänge technisch isolieren, vertraglich Sicherheitspflichten festschreiben und im eigenen Zonenmodell einplanen, dass jeder externe Partner kompromittiert sein könnte.
