Das BSI hat Snort-Regeln für TriStation herausgegeben (Foto: Bundesamt für Sicherheit in der Informationstechnik)
Im Dezember 2017 wurde ein Angriff auf ein Sicherheitssystem einer Industrieanlage im Nahen Osten bekannt. Für die Übertragung der Schadsoftware wurden gültige TriStation-Befehle eingesetzt, berichten die Sicherheitsexperten. Dabei handelt es sich um ein Kommunikationsprotokoll der Firma
Schneider Electric
, das in Sicherheitssystemen für industrielle Anlagen zum Einsatz kommt. Es ist vor allem in der chemischen Industrie verbreitet, wird
heise.de zufolge
aber auch in der Energie- und Pharmaindustrie genutzt. TriStation dient unter anderem zur Diagnose, Konfiguration und Programmierung von Safety-Controllern des Herstellers. Wie
etz.de berichtet
, war es bereits der dritte Hackerangriff auf eine industrielle Steuerung, doch sei zum ersten Mal eine Sicherheitssteuerung betroffen gewesen. Aufgrund einer fehlgeschlagenen Gültigkeitsprüfung fuhr diese die Anlage jedoch sicher herunter. „Das eindeutige Ziel war es, die Industrieanlagen, die Umwelt oder der Produktion zu schaden“, heißt es bei etz.de weiter. Auch Schneider Electric hat sich dort zu dem Vorfall geäußert.
Das
Bundesamt für Sicherheit in der Informationstechnik
hat nun
Snort-Regeln
für das Protokoll veröffentlicht, die vor ähnlichen Angriffen schützen sollen.
Snort
ist eine Open-Source-Lösung zur Überwachung von Netzwerken.
Die Regeln
setzen unter anderem auf den Erkenntnissen des Angriffs im vergangenen Jahr auf. So lösen gültige Pakete, die Auffälligkeiten aufweisen, einen Alarm aus. Darüber hinaus wird der Versand wichtiger gültiger Pakete in einem Logfile dokumentiert und kann auf seine Rechtmäßigkeit hin untersucht werden. TriStation ist jedoch nicht das einzige Protokoll, das in Sicherheitssystemen für industrielle Anlagen eingesetzt wird. Daher prüft das BSI nach eigenen Angaben die Erstellung weiterer Snort-Regeln für andere Protokolle.