Außergewöhnlich
Stand: 28.07.2022 05:02 Uhr
Deutsche Behörden warnen seit Jahren vor einer Hackergruppe, die gezielt das Stromnetz ausspioniert. Die Ermittler konnten einen mutmaßlichen Täter ermitteln. Die Spuren führen zum russischen Geheimdienst FSB.
Von Hakan Tanriverdi, BR, und Florian Flaid, WDR
Es handelte sich um eine großangelegte Spionageaktion, bei der allein in Deutschland mehr als 150 Unternehmen gehackt werden sollten – vor allem im Bereich der sogenannten kritischen Infrastruktur. Konkret wollten die Hacker die Strom- und Wasserversorgung ausspionieren. Nach Informationen von BR und WDR ist es dem Landeskriminalamt Baden-Württemberg nach jahrelangen Ermittlungen gelungen, einen der mutmaßlichen Täter zu identifizieren.
Pawel A. soll einer Hackergruppe angehören, die IT-Sicherheitsfirmen “Berserk Bear” oder “Dragonfly” nennen. Das US-Justizministerium vermutet, dass die Hacker für den russischen Geheimdienst FSB arbeiten, konkret für die Operation Center 16, die ihren Sitz in Moskau hat. Laut der Anklageschrift des US-Justizministeriums wollten die Hacker es der russischen Regierung ermöglichen, “kritische Stromerzeugungsanlagen zu stören und zu beschädigen, wenn sie dies wünscht”.
Nichtöffentlicher Haftbefehl
Pawel A. wurde im Sommer 2017 für einen Hackerangriff auf das Netz Netcom BW verantwortlich gemacht. Im September 2021, mehr als vier Jahre später, erhielt die Oberstaatsanwaltschaft Karlsruhe einen Haftbefehl. Bis heute ist es nicht öffentlich zugänglich.
Netcom BW gehört zum EnBW-Stromkonzern und kümmert sich um die optische Verlängerung sowie das Routing wichtiger EnBW-interner Daten rund um die Stromversorgung über ein speziell gesichertes Netzwerk.
Hacker konnten sich über eine Schwachstelle in Netcom BW-Routern Zugang zum Internetverkehr verschaffen. Das wäre manipulierbar.
Auf Nachfrage sagte die EnBW, die Hacker hätten zuvor einen externen Dienstleister gehackt. „Infolgedessen wurde seine Infrastruktur kompromittiert.“ Die Hacker verschafften sich dann durch einen Wartungszugang Zugriff auf das öffentliche Telekommunikationsnetzwerk-Managementsystem von Netcom BW.
„Das Strom- und Gasnetzmanagement der EnBW war nie betroffen, da dieses in einem separaten, dedizierten Netz geführt wird“, sagte das Unternehmen. Seit dem Angriff werde Netcom BW regelmäßig von unabhängigen Stellen geprüft und zertifiziert, die EnBW habe „ihre Cyberabwehrfähigkeiten ausgebaut“. Die EnBW begrüßt den Erfolg der Ermittlungen: „Wenn es zu einer Verurteilung kommen sollte, sind wir natürlich sehr daran interessiert, etwas über die Beweggründe und Ziele des Angreifers zu erfahren.“
Auch E.On ist sichtbar
Wie strategisch die Hacker von Berserk Bear vorgingen, konnten Reporter von BR und WDR anhand bisher unbekannter Fälle herausfinden. So hatten es die Hacker beispielsweise auch auf den Stromkonzern E.On abgesehen. Dazu hatten sie ein 35-seitiges Dokument vorbereitet, das wie ein internes Dokument einer Beratungsfirma aussah. Das dem BR und dem WDR vorliegende Dokument trägt den Titel: „Bewertung des langfristigen Investitionsbedarfs der dezentralen Stromnetze von E.On“.
Sobald ein Benutzer das Dokument öffnet, wird versucht, seine Anmeldedaten unentdeckt an einen Server zu senden, den die Hacker kontrollieren. Hacker könnten dies verwenden, um sich bei anderen Diensten anzumelden, die Benutzer verwenden, z. B. Posteingang. IT-Sicherheitsexperten sprechen von Phishing.
Auf Nachfrage lehnte E.On eine Stellungnahme ab. Das Beratungsunternehmen bestätigt, dass es im Sommer 2017 einen „Angriff auf die Holding“ gegeben habe. Ob das Dokument ursprünglich von dieser Firma stammte, wollte die Firma nicht sagen.
BND-Vize: Netzzugang frühzeitig gesichert
Seit Ausbruch des Krieges Russlands gegen die Ukraine warnen deutsche Sicherheitsbehörden vor Cyberangriffen auf das Stromnetz. Auf einer Konferenz Ende Juni sagte Wolfgang Wien, Vizepräsident des Bundesnachrichtendienstes: “Wir müssen uns darüber im Klaren sein, dass Russland in unseren Netzen steckt.” Ein solcher Netzzugang wird frühzeitig bereitgestellt. „Nehmen wir an, das ist vorbereitet“, sagte Wien. „Berserk Bear“ gilt in Fachkreisen als eine Gruppe, die mit der Bereitstellung eines solchen Zugangs beauftragt ist.
Im Dezember 2015 verübten Hacker einen großangelegten Angriff auf die Stromversorgung in der Ukraine. Die IT-Systeme mehrerer Umspannwerke wurden mit Schadsoftware namens „Black Energy“ infiziert und heruntergefahren. Mehr als 200.000 Menschen waren betroffen, der Strom fiel für bis zu sechs Stunden aus. Für den Angriff wurde die Gruppe “Sandworm” verantwortlich gemacht, die nach Angaben europäischer Sicherheitsdienste einem anderen russischen Geheimdienst, dem GRU, zugeordnet war.
Gabby Roncone arbeitet als IT-Sicherheitsexpertin bei Mandiant und beobachtet die Gruppe Berserk Bear seit Jahren: „Eine unserer größten Sorgen ist, dass sich Hacker dauerhaft in kompromittierten Netzwerken festsetzen und sich später Zugang verschaffen können, wenn es soweit ist um es für destruktive Angriffe zu nutzen.“ Roncone betont, dass es dafür derzeit keine Beweise gibt. Sie weist darauf hin, dass Hacker derzeit vor allem Büronetzwerke ausspähen, nicht Industrieunternehmen. Das werde ganz neue Werkzeuge und tiefes Know-how erfordern.
Aktivitäten, die vom Verfassungsschutz überwacht werden
Es ist unklar, in wie viele Unternehmensnetzwerke die Hacker von Berserk Bear eindringen konnten. Nur Unternehmen, die zu kritischen Infrastrukturen gehören, sollten solche Vorfälle melden. Zu…
Add Comment