Spionage im Stromnetz "Russland ist in unseren Netzen"
Seit Jahren warnen deutsche Behörden vor einer Hackergruppe, die gezielt das Stromnetz ausspioniert. Ermittlern ist es gelungen, einen mutmaßlichen Täter zu identifizieren. Die Spur führt zum russischen Geheimdienst FSB.
Es war eine breit angelegte Spionageoperation, bei der allein in Deutschland mehr als 150 Unternehmen gehackt werden sollten - vor allem aus dem Bereich der sogenannten Kritischen Infrastrukturen. Konkret ging es den Hackern darum, die Strom- und Wasserversorgung auszukundschaften. Nach Informationen von BR und WDR ist es dem Landeskriminalamt Baden-Württemberg nach jahrelangen Ermittlungen gelungen, einen der mutmaßlichen Täter zu identifizieren.
Pawel A. soll zu einer Hackergruppe gehören, die IT-Sicherheitsfirmen "Berserk Bear" oder "Dragonfly" nennen. Das Justizministerium der USA geht davon aus, dass die Hacker für den russischen Geheimdienst FSB arbeiten, genauer: für die Abteilung "Center 16", deren Sitz sich in Moskau befindet. Laut Anklageschrift des US-Justizministeriums sollen die Hacker der russischen Regierung ermöglichen, wichtige Anlagen für die Stromerzeugung "wenn gewünscht zu unterbrechen und zu beschädigen".
Nicht öffentlicher Haftbefehl
Pawel A. wird verantwortlich gemacht, im Sommer 2017 das Netzwerk der Firma Netcom BW gehackt zu haben. Im September 2021, also mehr als vier Jahre später, erwirkte der Generalbundesanwalt in Karlsruhe einen Haftbefehl. Er ist bis heute nicht öffentlich.
Netcom BW gehört zum Stromkonzern EnBW und kümmert sich sowohl um den Glasfaserausbau als auch darum, für EnBW wichtige interne Daten über die Stromversorgung über ein eigens abgesichertes Netzwerk zu leiten.
Den Hackern war es gelungen, über eine Schwachstelle in den Routern von Netcom BW auf den Internetverkehr zuzugreifen. Es wäre möglich gewesen, diesen zu manipulieren.
EnBW teilte auf Anfrage mit, die Hacker hätten zuvor einen externen Dienstleister gehackt. "Dessen Infrastruktur wurde dadurch kompromittiert." Über einen Wartungszugang hätten die Hacker dann Zugang zum Managementsystem des öffentlichen Telekommunikationsnetzes von Netcom BW erlangt.
"Die EnBW-Strom- und Gasnetzsteuerung war zu keinem Zeitpunkt betroffen, da diese in einem getrennten, extra gesicherten Netz geführt wird", so das Unternehmen. Seit dem Angriff werde Netcom BW regelmäßig durch unabhängige Stellen geprüft und zertifiziert, EnBW habe seine "Cyber Defence Fähigkeiten erweitert". Dass die Ermittlungen erfolgreich waren, begrüßt EnBW: "Falls es zu einer Verurteilung kommen sollte, wären wir natürlich sehr daran interessiert, etwas über die Motivation und die Ziele des Angreifers zu erfahren."
Auch e.on im Visier
Wie strategisch die Hacker von "Berserk Bear" vorgegangen sind, konnten Reporter von BR und WDR anhand von bisher öffentlich nicht bekannten Fällen nachvollziehen. So hatten die Hacker es zum Beispiel auch auf den Stromkonzern e.on abgesehen. Dazu hatten sie ein 35-seitiges Dokument vorbereitet, das dem Anschein nach wie ein internes Dokument eines Beratungsunternehmens aussieht. Das Dokument, das BR und WDR vorliegt, trägt den Titel: "Bewertung des langfristigen Investitionsbedarfs der dezentralen e.on-Stromnetze".
Sobald ein Nutzer das Dokument öffnet, wird unbemerkt versucht, dessen Anmeldedaten an einen Server zu schicken, den die Hacker kontrollieren. Damit könnten sich die Hacker bei anderen Diensten anmelden, die dieser Nutzer verwendet, zum Beispiel im E-Mail-Postfach. IT-Sicherheitsexperten sprechen von Spearphishing.
Auf Nachfrage wollte e.on sich nicht äußern. Das Beratungsunternehmen bestätigt, dass es im Sommer 2017 "einen Angriff auf eine Beteiligungsgesellschaft" gegeben habe. Ob das Dokument im Original von dieser Firma stammt, wollte das Unternehmen nicht beantworten.
BND-Vize: Zugänge zum Netz frühzeitig beschafft
Seit Ausbruch des russischen Krieges gegen die Ukraine warnen deutsche Sicherheitsbehörden vor Cyberangriffen auf das Stromnetz. So sagte Wolfgang Wien, Vizepräsident des Bundesnachrichtendienstes auf einer Konferenz Ende Juni: "Uns muss bewusst sein: Russland ist in unseren Netzen." Solche Zugänge ins Netz würden frühzeitig beschafft. "Gehen wir doch bitte davon aus, dass das vorbereitet ist", sagte Wien. "Berserk Bear" gilt unter Experten als Gruppe, deren Aufgabe es ist, solche Zugänge zu beschaffen.
In der Ukraine hatten Hacker im Dezember 2015 einen umfangreichen Angriff auf die Stromversorgung verübt. Dabei waren die IT-Systeme mehrerer Umspannwerke mit einer Schadsoftware namens "Black Energy" infiziert und abgeschaltet worden. Mehr als 200.000 Menschen waren betroffen, der Strom fiel bis zu sechs Stunden aus. Für den Angriff verantwortlich gemacht wird die Gruppe "Sandworm", die europäischen Sicherheitsbehörden zufolge einem anderen russischen Geheimdienst zugeordnet wird, dem GRU.
Gabby Roncone arbeitet als IT-Sicherheitsexpertin bei der Firma Mandiant und beobachtet die Gruppe "Berserk Bear" seit Jahren: "Eine unserer größten Sorgen ist es, dass es den Hackern gelingt, sich auf Dauer in den kompromittierten Netzwerken festzusetzen und diesen Zugang später, wenn die Zeit gekommen ist, für zerstörerische Angriffe zu verwenden." Dafür gebe es derzeit aber keine Hinweise, betont Roncone. Sie weist darauf hin, dass die Hacker derzeit vor allem Büronetzwerke ausspähen und nicht Industrieanlagen. Dafür bräuchte es komplett neue Werkzeuge und tiefer gehende Expertise.
Verfassungsschutz überwachte Aktivitäten
Es ist unklar, in wie viele Unternehmensnetze die Hacker von "Berserk Bear" eindringen konnten. Nur Firmen, die zu den Kritischen Infrastrukturen gehören, müssen solche Vorfälle melden. Dem Bundesamt für Verfassungsschutz gelang es, den ein- und ausgehenden Internet-Verkehr der Hacker zumindest teilweise zu überwachen. Denn einer der Server, den die Hacker verwendet haben, stand in Deutschland.
Neben Phishing-Angriffen hackten die Hacker von "Berserk Bear" auch strategisch relevante Webseiten und bauten diese kaum merklich um, um vertrauliche Informationen abzugreifen, vor allem Anmeldedaten. Das betraf sowohl die Seite einer Firma, die für Energieversorger Internetauftritte konzipiert, als auch die Webseite einer Firma, die Software in diesem Bereich anbietet.
Das Kalkül der Hacker: Viele Webseiten-Besucher dieser spezialisierten Firmen dürften im Bereich Kritische Infrastrukturen aktiv und somit interessante Spionageziele sein. Beiden Firmen war offenbar nicht bewusst, dass ihre Seiten gehackt worden war.
Die Bundesanwaltschaft hat sich nicht zu den Ermittlungen geäußert. Die russische Botschaft ließ eine Anfrage unbeantwortet.