Triton (Trisis)
Triton (2017): erste Schadsoftware, die gezielt das Notfall-Schutzsystem einer Industrieanlage angriff.
Das Sicherheits-System (SIS) ist die letzte Schutzebene: Es schaltet die Anlage im Notfall sicher ab und schützt so Mensch und Maschine.
In 30 Sekunden
Triton, auch Trisis oder Hatman genannt, wurde 2017 in einer petrochemischen Anlage in Saudi-Arabien entdeckt. Es gilt als die erste bekannte Schadsoftware, die gezielt ein Sicherheits-System (Safety Instrumented System, kurz SIS) angriff, also genau jenes System, das eine Anlage im Notfall sicher abschaltet und Menschen schützt. Die Angreifer arbeiteten sich vom Anlagennetz über den Programmier-Rechner der Anlage (die Engineering-Station) bis zu den Sicherheits-Steuerungen vor. Dort versuchten sie, die Schutzfunktion umzuprogrammieren, was im schlimmsten Fall eine gefährliche Situation wie eine Explosion hätte zulassen können. Ein Fehler der Angreifer löste stattdessen eine sichere Notabschaltung aus, wodurch der Angriff überhaupt erst auffiel. Berichten zufolge hatten sich die Angreifer schon Jahre zuvor Zugang zum Unternehmensnetz verschafft und bewegten sich lange unbemerkt. Das Erschreckende: Der Angriff zielte nicht auf Produktion oder Daten, sondern auf die letzte Schutzebene für Leib und Leben.
Was geschah
2017
Eine petrochemische Anlage in Saudi-Arabien, konkret deren Sicherheits-Steuerungen (Typ Schneider Electric Triconex, ein weit verbreitetes Sicherheits-Steuerungssystem).
Der Angriffsweg
- Die Angreifer verschafften sich zunächst Zugang zum Unternehmens- und Anlagennetz (dem IT-nahen Netz der Fabrik) und blieben dort Berichten zufolge lange unbemerkt.
- Von dort bewegten sie sich weiter, bis sie eine Engineering-Station erreichten, also den Programmier-Rechner, mit dem die Steuerungen der Anlage konfiguriert werden.
- Über diese Station nahmen sie Verbindung zu den Sicherheits-Steuerungen (SIS) vom Typ Triconex auf.
- Ziel war es, die Schutz-Logik dieser Steuerungen zu verändern und so die Schutzfunktion im Notfall auszuhebeln.
- Ein Fehler bei diesem Eingriff brachte betroffene Sicherheits-Steuerungen in einen sicheren Zustand.
- Dieser sichere Zustand löste eine Notabschaltung der Anlage aus, wodurch der Angriff auffiel.
Auswirkung
Es kam zu keinem physischen Schaden und zu keinen Verletzten, weil die betroffenen Steuerungen bei dem fehlerhaften Eingriff sicher in den abgeschalteten Zustand gingen und die Anlage stoppten. Genau diese ungeplante Notabschaltung machte den Angriff sichtbar und löste die Untersuchung aus. Der eigentliche Schaden ist ein anderer: Zum ersten Mal wurde belegt, dass Angreifer gezielt die letzte Schutzebene für Menschenleben ins Visier nehmen. Dass der Angriff Berichten zufolge einem staatlich unterstützten, also professionell und langfristig arbeitenden Akteur zugeschrieben wird, zeigt zusätzlich, mit welcher Entschlossenheit hier vorgegangen wurde.
So schützt du dich
Fakten
- 2017 (Zwischenfall und Entdeckung; Zugang lag Berichten zufolge Jahre früher)
- Petrochemie / kritische Industrie
- Saudi-Arabien
- Gezielte Schadsoftware gegen ein Sicherheits-System (SIS)
- Schneider Electric Triconex Safety Controller (weit verbreitet)
- Berichten zufolge einem staatlich unterstützten Akteur (staatlich finanzierte Gruppe, kein Einzeltäter)
- Kein physischer Schaden, keine Verletzten; sichere Notabschaltung
- Erste bekannte Malware, die gezielt die Schutzebene für Menschenleben angriff
Im Detail
Was ein Sicherheits-System (SIS) ist und warum es so wichtig ist
In einer Industrieanlage gibt es meist zwei getrennte Welten von Steuerungen. Die eine steuert den normalen Betrieb, also zum Beispiel Temperatur, Druck oder Durchfluss. Die andere ist das Sicherheits-System, auf Englisch Safety Instrumented System oder kurz SIS. Seine einzige Aufgabe ist es, einzugreifen, wenn etwas gefährlich zu werden droht, und die Anlage dann sicher abzuschalten.
Man kann sich das SIS wie einen unabhängigen Notaus vorstellen, der immer wacht. Wenn der Druck in einem Behälter zu hoch steigt, sorgt das SIS dafür, dass Ventile öffnen oder der Prozess stoppt, bevor etwas passiert. Es ist bewusst so gebaut, dass es im Zweifel lieber abschaltet als weiterlaufen zu lassen. Diese Grundregel nennt man fail-safe: Im Fehlerfall geht die Anlage automatisch in den sicheren Zustand.
Genau deshalb ist ein Angriff auf das SIS so heikel. Wer diese Ebene ausschaltet, nimmt einer Anlage ihr letztes Sicherheitsnetz. Ein gefährlicher Betriebszustand könnte dann eintreten, ohne dass jemand automatisch eingreift. Das ist der Grund, warum Triton in der Fachwelt einen Schock auslöste.
Wie Triton vorging, auf hoher Ebene erklärt
Der Angriff verlief in Stufen. Die Angreifer waren zunächst im Unternehmens- und Anlagennetz, dem eher IT-nahen Teil der Fabrik, und blieben dort Berichten zufolge über lange Zeit unbemerkt. Von dort arbeiteten sie sich weiter vor, bis sie eine sogenannte Engineering-Station erreichten. Das ist ein besonderer Arbeitsplatz-Rechner, mit dem Fachleute die Steuerungen einer Anlage programmieren und warten. Wer diesen Rechner kontrolliert, hat oft einen direkten Draht zu den Steuerungen.
Über diese Station nahmen die Angreifer Kontakt zu den Sicherheits-Steuerungen vom Typ Triconex auf. Ihr Ziel war es, die Schutz-Logik zu verändern, also die Regeln, nach denen das SIS im Notfall abschaltet. Gelingt so etwas, könnte ein Angreifer die Schutzfunktion leise deaktivieren und die Anlage in einem gefährlichen Moment ohne Netz zurücklassen.
Wichtig ist: Dies ist bewusst nur eine grobe Beschreibung des Wegs von einer Station zur nächsten. Es geht hier nicht um eine Anleitung, sondern um das Verständnis, welche Stationen eine Rolle spielten. Genau dieses Verständnis brauchst du, um die richtigen Schutzmassnahmen einzuordnen.
Warum der Angriff scheiterte und dadurch auffiel
Der Angriff erreichte nie sein eigentliches Ziel. Bei dem Versuch, die Sicherheits-Steuerungen zu manipulieren, unterlief den Angreifern ein Fehler. Die betroffenen Steuerungen erkannten einen unerwarteten Zustand und taten genau das, wofür sie gebaut sind: Sie gingen in den sicheren Zustand und lösten eine Notabschaltung der Anlage aus.
Diese ungeplante Abschaltung war für den Betrieb erst einmal ein Ärgernis, denn die Anlage stand still. Doch sie war zugleich ein Glücksfall für die Sicherheit. Weil eine Abschaltung ohne erkennbaren Grund verdächtig ist, begannen Fachleute zu untersuchen, was passiert war. So kam die Schadsoftware überhaupt erst ans Licht.
Daraus folgt eine wichtige Lehre für Geschäftsführung und Technik gleichermassen. Eine unerklärliche Notabschaltung ist kein reines Produktions-Problem, das man schnell wegdrücken sollte. Sie kann ein Warnsignal sein. Ernsthaftes Nachforschen bei solchen Ereignissen kann einen laufenden Angriff sichtbar machen, bevor grösserer Schaden entsteht.
Was du aus Triton für den eigenen Schutz mitnimmst
Die zentrale Lehre lautet: Das Sicherheits-System verdient den strengsten Schutz von allen. Es sollte so vom übrigen Netz getrennt sein, dass man es weder vom Büronetz noch ohne Weiteres vom normalen Anlagennetz aus erreichen kann. Je weniger Wege zu diesen Steuerungen führen, desto schwerer wird ein Angriff wie Triton. Das gilt für die Technik ebenso wie für die Geschäftsführung, die die nötigen Mittel dafür freigeben muss.
Ein einfacher, aber wirksamer Baustein ist der Schlüsselschalter an vielen Sicherheits-Steuerungen. In der Stellung PROGRAM darf die Steuerung per Software umprogrammiert werden, und genau das brauchte Triton. Steht der Schalter dagegen auf RUN, ist das Umprogrammieren gesperrt, egal was ein Angreifer über das Netz versucht. Das ist eine physische Hürde, die niemand aus der Ferne umgehen kann, solange der Schalter richtig steht.
Ebenso wichtig sind die Menschen und Prozesse rundherum. Engineering-Stationen gehören streng kontrolliert, denn sie sind das Sprungbrett zu den Steuerungen. Jede Änderung an der Sicherheits-Logik sollte festgehalten werden, also wer wann was geändert hat, damit ungewöhnliche Eingriffe auffallen. Triton zeigt, dass Sicherheit in der Industrie nicht nur eine Frage der Technik ist, sondern auch von Trennung, Kontrolle und Aufmerksamkeit.
