← Wissen

// Security

Triton (Trisis)

Triton (2017): erste Schadsoftware, die gezielt das Notfall-Schutzsystem einer Industrieanlage angriff.

Triton: Schadsoftware griff das Sicherheits-System (SIS) einer Anlage an; ein Fehler löste die sichere Notabschaltung aus und verriet den AngriffAngreiferim AnlagennetzEngineeringProgrammier-PCSafety-SystemSISAnlageProzessAufbauDas Sicherheits-System (SIS) ist die letzte Schutzebene: Es schaltet die Anlageim Notfall sicher ab und schützt so Mensch und Maschine.
Tempo:

Schritt 1 von 7

Das Sicherheits-System (SIS) ist die letzte Schutzebene: Es schaltet die Anlage im Notfall sicher ab und schützt so Mensch und Maschine.

In 30 Sekunden

Triton, auch Trisis oder Hatman genannt, wurde 2017 in einer petrochemischen Anlage in Saudi-Arabien entdeckt. Es gilt als die erste bekannte Schadsoftware, die gezielt ein Sicherheits-System (Safety Instrumented System, kurz SIS) angriff, also genau jenes System, das eine Anlage im Notfall sicher abschaltet und Menschen schützt. Die Angreifer arbeiteten sich vom Anlagennetz über den Programmier-Rechner der Anlage (die Engineering-Station) bis zu den Sicherheits-Steuerungen vor. Dort versuchten sie, die Schutzfunktion umzuprogrammieren, was im schlimmsten Fall eine gefährliche Situation wie eine Explosion hätte zulassen können. Ein Fehler der Angreifer löste stattdessen eine sichere Notabschaltung aus, wodurch der Angriff überhaupt erst auffiel. Berichten zufolge hatten sich die Angreifer schon Jahre zuvor Zugang zum Unternehmensnetz verschafft und bewegten sich lange unbemerkt. Das Erschreckende: Der Angriff zielte nicht auf Produktion oder Daten, sondern auf die letzte Schutzebene für Leib und Leben.

Was geschah

Jahr

2017

Ziel

Eine petrochemische Anlage in Saudi-Arabien, konkret deren Sicherheits-Steuerungen (Typ Schneider Electric Triconex, ein weit verbreitetes Sicherheits-Steuerungssystem).

Der Angriffsweg

  1. Die Angreifer verschafften sich zunächst Zugang zum Unternehmens- und Anlagennetz (dem IT-nahen Netz der Fabrik) und blieben dort Berichten zufolge lange unbemerkt.
  2. Von dort bewegten sie sich weiter, bis sie eine Engineering-Station erreichten, also den Programmier-Rechner, mit dem die Steuerungen der Anlage konfiguriert werden.
  3. Über diese Station nahmen sie Verbindung zu den Sicherheits-Steuerungen (SIS) vom Typ Triconex auf.
  4. Ziel war es, die Schutz-Logik dieser Steuerungen zu verändern und so die Schutzfunktion im Notfall auszuhebeln.
  5. Ein Fehler bei diesem Eingriff brachte betroffene Sicherheits-Steuerungen in einen sicheren Zustand.
  6. Dieser sichere Zustand löste eine Notabschaltung der Anlage aus, wodurch der Angriff auffiel.

Auswirkung

Es kam zu keinem physischen Schaden und zu keinen Verletzten, weil die betroffenen Steuerungen bei dem fehlerhaften Eingriff sicher in den abgeschalteten Zustand gingen und die Anlage stoppten. Genau diese ungeplante Notabschaltung machte den Angriff sichtbar und löste die Untersuchung aus. Der eigentliche Schaden ist ein anderer: Zum ersten Mal wurde belegt, dass Angreifer gezielt die letzte Schutzebene für Menschenleben ins Visier nehmen. Dass der Angriff Berichten zufolge einem staatlich unterstützten, also professionell und langfristig arbeitenden Akteur zugeschrieben wird, zeigt zusätzlich, mit welcher Entschlossenheit hier vorgegangen wurde.

So schützt du dich

Sicherheits-Systeme (SIS) strikt von anderen Netzen trennen, sodass sie weder vom Büronetz noch ohne Weiteres vom normalen Anlagennetz aus erreichbar sind.
Den Schlüsselschalter der Sicherheits-Steuerungen im normalen Betrieb auf RUN stellen statt auf PROGRAM, denn nur in der Stellung PROGRAM lässt sich die Schutz-Logik per Software überschreiben.
Den Zugriff auf Engineering-Stationen streng kontrollieren, denn wer diese Programmier-Rechner erreicht, erreicht oft auch die Steuerungen.
Festhalten, wer wann welche Änderung an der Sicherheits-Logik vornimmt (etwa per automatischer Protokollierung), damit ein Eingriff, den niemand beauftragt hat, sofort auffällt.
Ungeplante Notabschaltungen ernst nehmen und untersuchen, statt sie nur schnell zu quittieren, denn sie können ein Warnsignal für einen Angriff sein.

Fakten

Jahr
2017 (Zwischenfall und Entdeckung; Zugang lag Berichten zufolge Jahre früher)
Betroffener Sektor
Petrochemie / kritische Industrie
Region
Saudi-Arabien
Angriffsart
Gezielte Schadsoftware gegen ein Sicherheits-System (SIS)
Betroffene Technik
Schneider Electric Triconex Safety Controller (weit verbreitet)
Zuschreibung
Berichten zufolge einem staatlich unterstützten Akteur (staatlich finanzierte Gruppe, kein Einzeltäter)
Ausmass
Kein physischer Schaden, keine Verletzten; sichere Notabschaltung
Besonderheit
Erste bekannte Malware, die gezielt die Schutzebene für Menschenleben angriff

Im Detail

Was ein Sicherheits-System (SIS) ist und warum es so wichtig ist

In einer Industrieanlage gibt es meist zwei getrennte Welten von Steuerungen. Die eine steuert den normalen Betrieb, also zum Beispiel Temperatur, Druck oder Durchfluss. Die andere ist das Sicherheits-System, auf Englisch Safety Instrumented System oder kurz SIS. Seine einzige Aufgabe ist es, einzugreifen, wenn etwas gefährlich zu werden droht, und die Anlage dann sicher abzuschalten.

Man kann sich das SIS wie einen unabhängigen Notaus vorstellen, der immer wacht. Wenn der Druck in einem Behälter zu hoch steigt, sorgt das SIS dafür, dass Ventile öffnen oder der Prozess stoppt, bevor etwas passiert. Es ist bewusst so gebaut, dass es im Zweifel lieber abschaltet als weiterlaufen zu lassen. Diese Grundregel nennt man fail-safe: Im Fehlerfall geht die Anlage automatisch in den sicheren Zustand.

Genau deshalb ist ein Angriff auf das SIS so heikel. Wer diese Ebene ausschaltet, nimmt einer Anlage ihr letztes Sicherheitsnetz. Ein gefährlicher Betriebszustand könnte dann eintreten, ohne dass jemand automatisch eingreift. Das ist der Grund, warum Triton in der Fachwelt einen Schock auslöste.

Wie Triton vorging, auf hoher Ebene erklärt

Der Angriff verlief in Stufen. Die Angreifer waren zunächst im Unternehmens- und Anlagennetz, dem eher IT-nahen Teil der Fabrik, und blieben dort Berichten zufolge über lange Zeit unbemerkt. Von dort arbeiteten sie sich weiter vor, bis sie eine sogenannte Engineering-Station erreichten. Das ist ein besonderer Arbeitsplatz-Rechner, mit dem Fachleute die Steuerungen einer Anlage programmieren und warten. Wer diesen Rechner kontrolliert, hat oft einen direkten Draht zu den Steuerungen.

Über diese Station nahmen die Angreifer Kontakt zu den Sicherheits-Steuerungen vom Typ Triconex auf. Ihr Ziel war es, die Schutz-Logik zu verändern, also die Regeln, nach denen das SIS im Notfall abschaltet. Gelingt so etwas, könnte ein Angreifer die Schutzfunktion leise deaktivieren und die Anlage in einem gefährlichen Moment ohne Netz zurücklassen.

Wichtig ist: Dies ist bewusst nur eine grobe Beschreibung des Wegs von einer Station zur nächsten. Es geht hier nicht um eine Anleitung, sondern um das Verständnis, welche Stationen eine Rolle spielten. Genau dieses Verständnis brauchst du, um die richtigen Schutzmassnahmen einzuordnen.

Warum der Angriff scheiterte und dadurch auffiel

Der Angriff erreichte nie sein eigentliches Ziel. Bei dem Versuch, die Sicherheits-Steuerungen zu manipulieren, unterlief den Angreifern ein Fehler. Die betroffenen Steuerungen erkannten einen unerwarteten Zustand und taten genau das, wofür sie gebaut sind: Sie gingen in den sicheren Zustand und lösten eine Notabschaltung der Anlage aus.

Diese ungeplante Abschaltung war für den Betrieb erst einmal ein Ärgernis, denn die Anlage stand still. Doch sie war zugleich ein Glücksfall für die Sicherheit. Weil eine Abschaltung ohne erkennbaren Grund verdächtig ist, begannen Fachleute zu untersuchen, was passiert war. So kam die Schadsoftware überhaupt erst ans Licht.

Daraus folgt eine wichtige Lehre für Geschäftsführung und Technik gleichermassen. Eine unerklärliche Notabschaltung ist kein reines Produktions-Problem, das man schnell wegdrücken sollte. Sie kann ein Warnsignal sein. Ernsthaftes Nachforschen bei solchen Ereignissen kann einen laufenden Angriff sichtbar machen, bevor grösserer Schaden entsteht.

Was du aus Triton für den eigenen Schutz mitnimmst

Die zentrale Lehre lautet: Das Sicherheits-System verdient den strengsten Schutz von allen. Es sollte so vom übrigen Netz getrennt sein, dass man es weder vom Büronetz noch ohne Weiteres vom normalen Anlagennetz aus erreichen kann. Je weniger Wege zu diesen Steuerungen führen, desto schwerer wird ein Angriff wie Triton. Das gilt für die Technik ebenso wie für die Geschäftsführung, die die nötigen Mittel dafür freigeben muss.

Ein einfacher, aber wirksamer Baustein ist der Schlüsselschalter an vielen Sicherheits-Steuerungen. In der Stellung PROGRAM darf die Steuerung per Software umprogrammiert werden, und genau das brauchte Triton. Steht der Schalter dagegen auf RUN, ist das Umprogrammieren gesperrt, egal was ein Angreifer über das Netz versucht. Das ist eine physische Hürde, die niemand aus der Ferne umgehen kann, solange der Schalter richtig steht.

Ebenso wichtig sind die Menschen und Prozesse rundherum. Engineering-Stationen gehören streng kontrolliert, denn sie sind das Sprungbrett zu den Steuerungen. Jede Änderung an der Sicherheits-Logik sollte festgehalten werden, also wer wann was geändert hat, damit ungewöhnliche Eingriffe auffallen. Triton zeigt, dass Sicherheit in der Industrie nicht nur eine Frage der Technik ist, sondern auch von Trennung, Kontrolle und Aufmerksamkeit.

Weiterführend