Neue Terror-Gefahr Kriminelle spionieren Kraftwerke aus
Berlin · Die Furcht vor Sabotage wichtiger Versorgungseinrichtungen über das Internet wächst seit Jahren. Sicherheitsforscher beobachten nun immer häufiger Versuche von Hackern, die dafür nötigen Informationen zu sammeln.
Eine seit Jahren aktive Hacker-Gruppe kundschaftet laut IT-Sicherheitsexperten Kraftwerke aus, um sie sabotieren zu können. Dabei gehe es derzeit darum, in Computernetze einzudringen und Informationen zu sammeln, erklärte die Sicherheitssoftwarefirma Symantec. Die Hacker seien in Netze von 20 Unternehmen in den USA, sechs in der Türkei und eines Branchenzulieferers in der Schweiz eingedrungen. Auch Kraftwerke in Deutschland, Frankreich, den Niederlanden und Belgien seien dabei ins Visier geraten, Symantec habe aber in diesen Ländern keine erfolgreichen Angriffe entdeckt.
Die Angreifer hätten in einigen Fällen Screenshots der Steuersoftware der Industrieanlagen angefertigt, um sie zu studieren. Dadurch seien die Angreifer dem Ziel näher gekommen, die Kontrolle über die Anlagen zu übernehmen, sagte Symantec-Forscher Candid Wüest. Auch seien gezielt Dokumente gestohlen worden. Es sei davon auszugehen, dass unter den PDF- und Word-Dateien auch Aufbaupläne für einzelne Komponenten seien. „Das ermöglicht jetzt, mit diesem Wissen einen nächsten Angriff besser vorzubereiten, selbst wenn die Passwörter geändert wurden.“ Symantec habe dabei keine Angriffe auf Atomkraftwerke festgestellt.
„Wir sehen, dass die wahrscheinlichsten Ziele Fernzugriff und Sabotage sind“, sagte Candid Wüest zum Vorgehen der Angreifer. „Wir gehen nicht davon aus, dass es sich hier um Industriespionage handelt.“ In den bisher bekannten Fällen war es Hackern 2015 und 2016 gelungen, Kraftwerke in der Ukraine zu stören.
Die Gruppe, die derzeit in die Netze der Kraftwerke einzudringen versucht, ist laut Symantec bereits seit 2011 aktiv und wird unter dem Namen „Dragonfly“ geführt. Die Sicherheitsforscher legen sich nicht auf die Herkunft der Gruppe fest. Im Softwarecode seien Fragmente auf Russisch und Französisch gefunden worden, das könnten aber auch falsche Fährten sein.
Die höhere Erfolgsquote in den USA und der Türkei liege daran, dass Anlagen in diesen Ländern besonders massiv angegriffen worden seien, sagte Wüest. Da Symantec nicht alle Energieunternehmen als Kunden habe, sei davon auszugehen, dass mehr Firmen von den Attacken betroffen seien.
Industrieanlagen in Kraftwerken werden zwar grundsätzlich vom Internet getrennt, um die Gefahr von Online-Angriffen gering zu halten. „Aber es gibt auch immer mehr Wind- und Wasserkraftwerke, die sehr wohl am Internet hängen, allein damit alles zentral gesteuert werden kann“, betonte der Symantec-Experte. Gleichzeitig helfe die Spionage potenziellen Angreifern selbst bei vom Internet isolierten Systemen, deren Bestandteile und Aufbau zu kennen.
Die Angriffe hätte im Mai 2017 einen Höchststand erreicht und seien danach etwas zurückgegangen, die Hacker seien aber bis zuletzt aktiv gewesen. „Für uns legt das nahe, dass die ganze Aktion noch nicht beendet und vielleicht erst in der Vorbereitungsphase ist“, sagte Candid Wüest.
Auch Militäranlagen gelten als potenzielle Angriffsziele von Hackern. Die Europäische Union hat den Cyber-Krieg mittlerweile als Priorität in ihrer Sicherheitsstrategie definiert und ihre Schutzsysteme zuletzt deutlich ausgebaut. Es wurden ein IT-Notfallteam für den Luftverkehr und eine Sondereinheit für Cybersicherheit aufgebaut.
Beim EU-Außenministertreffen vergangene Woche in Estland wurde eine Notfallsituation simuliert, bei der Unbekannte einen Cyber-Angriff auf ein militärisches Hauptquartier in der EU verüben. Dabei wurde durchgespielt, was passiert, wenn Befehle herausgegeben würden, die weder von der Nato noch von einem nationale Befehlshaber kamen, Viren und Trojaner Rechner lahmlegen und im Internet massenhaft falsche Informationen auftauchen. Estland war 2007 einer flächendeckenden Cyber-Attacke ausgesetzt: Online-Angebote waren tagelang gestört, Regierung, Wirtschaft und Medien nur eingeschränkt handlungsfähig.
