Im Dezember 2017 wurde ein Angriff auf ein Sicherheitssystem einer Industrieanlage im Nahen Osten bekannt. Für die Übertragung der Schadsoftware wurden gültige TriStation-Befehle eingesetzt, berichten die Sicherheitsexperten. Dabei handelt es sich um ein Kommunikationsprotokoll der Firma Schneider Electric , das in Sicherheitssystemen für industrielle Anlagen zum Einsatz kommt. Es ist vor allem in der chemischen Industrie verbreitet, wird heise.de zufolge aber auch in der Energie- und Pharmaindustrie genutzt. TriStation dient unter anderem zur Diagnose, Konfiguration und Programmierung von Safety-Controllern des Herstellers. Wie etz.de berichtet , war es bereits der dritte Hackerangriff auf eine industrielle Steuerung, doch sei zum ersten Mal eine Sicherheitssteuerung betroffen gewesen. Aufgrund einer fehlgeschlagenen Gültigkeitsprüfung fuhr diese die Anlage jedoch sicher herunter. „Das eindeutige Ziel war es, die Industrieanlagen, die Umwelt oder der Produktion zu schaden“, heißt es bei etz.de weiter. Auch Schneider Electric hat sich dort zu dem Vorfall geäußert.

Das Bundesamt für Sicherheit in der Informationstechnik hat nun Snort-Regeln für das Protokoll veröffentlicht, die vor ähnlichen Angriffen schützen sollen. Snort ist eine Open-Source-Lösung zur Überwachung von Netzwerken. Die Regeln setzen unter anderem auf den Erkenntnissen des Angriffs im vergangenen Jahr auf. So lösen gültige Pakete, die Auffälligkeiten aufweisen, einen Alarm aus. Darüber hinaus wird der Versand wichtiger gültiger Pakete in einem Logfile dokumentiert und kann auf seine Rechtmäßigkeit hin untersucht werden. TriStation ist jedoch nicht das einzige Protokoll, das in Sicherheitssystemen für industrielle Anlagen eingesetzt wird. Daher prüft das BSI nach eigenen Angaben die Erstellung weiterer Snort-Regeln für andere Protokolle.