Wie in den vergangenen Beiträgen thematisiert, wurden in der letzten Dekade vier professionelle Malwareprogramme entdeckt, mit denen groß angelegte, gezielte Cyberangriffe auf industrielle Kraftwerksanlagen bzw. deren leittechnische Steuerungssysteme in unterschiedlichen Ländern durchgeführt wurden. Im Dezember 2017 wurde über ein weiteres Schadprogramm berichtet, von dem nach Angaben von IT-Experten eine noch größere Bedrohung für kritische Infrastrukturen ausgeht.
Nach Stuxnet (vgl. Art. „IT-Schutz von Kraftwerken vor Cyberbedrohungen“), Havex (vgl. Art. „Cyberangriffe auf westliche Industrieanlagen“), BlackEnergy (vgl. Art. „Cyberangriffe auf die ukrainische Stromversorgung I“) und Industroyer (vgl. Art. „Cyberangriffe auf die ukrainische Stromversorgung II“) ist die neue Malware namens TRISIS, nach der gleichnamigen Hackergruppe auch als TRITON oder HatMan bekannt, der fünfte komplexe Schadcode, der von Programmierern speziell zur Attackierung industrieller Kontrollsysteme und deren Übernahme, Manipulation und Sabotage entwickelt wurde. Die Benennung rührt von der Infiltrierung speziell von Triconex Safety Instrumented Systems (SIS) des französischen Elektrotechnik-Konzerns Schneider Electric her. Kritische Sicherheitslücken wurden dort beispielsweise in den beiden Industrial Control Systems (ICS) „InduSoft Web Studio“ und „InTouch Machine Edition“ festgestellt, die auch in Atomkraftwerken zum Einsatz kommen.
Aufgedeckt wurden die Angriffe mit dem Schadprogramm auf die industriellen Sicherheitssteuerungen von Forschern der US-amerikanischen IT-Unternehmen FireEye und DRAGOS. Die beiden ersten Attacken ereigneten sich demgemäß im Juni sowie im August 2017 gegen ein saudi-arabisches Ölunternehmen. Ziel und Zweck der Kompromittierung über das Firmennetzwerk in Form der Deaktivierung und Steuerungsübernahme der Sicherheitssysteme war jedoch nicht nur die leittechnisch verursachte Störung oder Abschaltung des Kraftwerks – wie in den oben genannten vorangegangenen Zwischenfällen –, sondern offenbar die gezielte Herbeiführung einer Explosion der petrochemischen Fabrik und damit die bewusste Gefährdung von Menschenleben. Im April 2019 wurde von IT-Forensikern der Fa. FireEye nun von einem weiteren Vorfall berichtet, wobei in diesem Zusammenhang jedoch lediglich bekannt wurde, dass ein neuer Angriff mit TRITON – ebenfalls wiederum gegen kritische Infrastruktur – ausgeführt wurde.
Ein Katastrophenszenario wie im Buch „BLACKOUT – Morgen ist es zu spät“ skizziert – derzeit noch im kleineren Ausmaß – ist somit bereits zur Realität geworden. Im Hinblick auf die firmeninterne Cyberabwehr hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Intrusion-Prevention-Lösung sogenannte SNORT-Regeln veröffentlicht, die unter anderem von der Fa. FireEye und vom National Cybersecurity and Communications Integration Center (NCCIC) entwickelt wurden und die IT-Verantwortlichen von Kraftwerken der Energie-, Pharma- und Chemieindustrie dabei unterstützen sollen, Hackerangriffe auf Sicherheitssysteme für industrielle Anlagen der Fa. Schneider Electric unmittelbar ereignisgesteuert automatisch zu blockieren und somit ihre Erzeugungseinheiten entsprechend abzusichern.