Der Bericht zur "Lage der IT-Sicherheit in Deutschland 2014" (PDF) des deutschen Bundesamts für Sicherheit (BSI) in der Informationstechnik kann einem ganz schön Angst machen. In unseren Augen am eindrücklichsten ist die Schilderung eines erfolgreichen und bisher unbekannten Angriffs auf ein deutsches Stahlwerk. Um welches es sich handelt und wann der Angriff erfolgt ist, legt das BSI nicht offen.

Der Angriff ist mittels "Spear Phishing" erfolgt. Man hat also mit gezielten gefälschten Nachrichten (per E-Mail oder anders) jemanden in der angegriffenen Firma dazu verführt, Zugangsdaten preiszugeben. Es sei ausgefeiltes "social engineering" verwendet worden, schreibt das BSI. So kamen die Angreifer ins Büronetzwerk des Stahlwerks. Weiter heisst es in dem Bericht: "Von dort aus arbeiteten sie (die Angreifer) sich sukzessive bis in die Produktionsnetze vor. Es häuften sich Ausfälle einzelner Steuerungskomponenten oder ganzer Anlagen. Die Ausfälle führten dazu, dass ein Hochofen nicht geregelt heruntergefahren werden konnte und sich in einem undefinierten Zustand befand. Die Folge waren massive Beschädigungen der Anlage."

Das BSI wertet die technischen Fähigkeiten der Angreifer als "sehr fortgeschritten". Sie hätten Know-how nicht nur in IT-Sicherheit sondern auch in Produktionssteuerungen bewiesen.

Der Angriff erinnert an Stuxnet. Mit dem Einsatz dieser Malware ist es Geheimdiensten, wohl aus der USA und / oder Israel, gelungen, die iranischen Urananreicherungsanlagen zu beschädigen. Diese wurden übrigens durch Siemens Industriesteuerungen kontrolliert – welche Produktionssteuerungsanlagen das Stahlwerk einsetzt, schreibt das BSI nicht.

Der Begriff "undefinierter Zustand" tönt in Zusammenhang mit einem Hochofen schon eindrücklich genug. In Zusammenhang mit einem Atomkraftwerk, einem Staudamm, einem militärischem System, einem Kraftwerk oder einer Chemieanlage würden wir ihn noch viel weniger gerne lesen. (hc)

Foto: Ein Hochofen. Autor: Timothy Fröhlich.