Spätestens seit Beginn der russischen Invasion in der Ukraine ist deutlich geworden, dass neben der tatsächlichen Front ein Nebenschauplatz des Krieges zunehmend an Bedeutung gewinnt: das Internet. Während internationale Hackerkollektive wie "Anonymous" im Namen der Ukraine möglichst viel Schaden im russischsprachigen Web anrichten, kämpfen andere Gruppen für – oder gar im Auftrag – des Kremls. Wie "BR" und "WDR" nun aufzeigen, laufen die Angriffe auf systemkritische Infrastruktur aber schon seit Jahren.
In einem seltenen Ermittlungserfolg kann das Landeskriminalamt Baden-Württemberg verkünden, einen mutmaßlichen Täter identifiziert und einen Haftbefehl ausgestellt zu haben. Das geschieht nicht oft. Der Mann soll bereits vor fünf Jahren in das Netzwerk der EnBW-Tochter Netcom BW eingedrungen sein, ohne dort seinerzeit nennenswerten Schaden angerichtet zu haben.
Spionage für den Ernstfall
Dafür gab es wohl einen Grund. Denn der Hacker namens Pawel A. soll zu einer Hackergruppe gehören, die sich "Berserk Bear" oder "Dragonfly" nennt – und laut US-Justizministerium im Namen des russischen Geheimdienstes FSB arbeitet. Die Angriffe 2017 sollen offenbar der Auslotung von Möglichkeiten gedient haben, kritische Infrastruktur, wie Anlagen zur Stromerzeugung, bei Bedarf zu stören oder zu beschädigen.
Die Vorgehensweise war in zwei Fällen offenbar sehr ähnlich – und basiert auch auf den Grundlagen des sogenannten "Social Engineering", also dem Beeinflussen von Personen, deren Zugriff oder Anmeldedaten man für den Hack benötigt. So sollen die Hacker täuschend echte Dokumente an ihre Opfer gesendet haben, deren bloßes Öffnen es ermöglicht, Daten abzufangen oder die Kontrolle über Zielsysteme zu übernehmen.
Meist ist es dann nur noch eine Frage der Zeit, bis die kritischen Zugänge gefunden sind und dort eingedrungen wird. Im Falle der Netcom BW war es offenbar eine Router-Schwachstelle, die es den Hackern erlaubte, einzudringen. Wie der Mutterkonzern EnBW der "Tagesschau" mitteilte, habe "Berserk Bear" sowohl einen Dienstleister gehackt, über dessen Wartungszugang die Türen zu Netcom BW offenstanden. Immerhin: Das Unternehmen erklärte der "Tagesschau", dass die EnBW-Strom- und Gasnetzsteuerung zu keinem Zeitpunkt betroffen war, da diese in einem getrennten, extra gesicherten Netz geführt werden.
Von der "Motte" zu Putin, dem Ewigen – der blutige Weg des Kreml-Chefs in Bildern
Deutsche Sicherheitsbehörden warnen davor, dass die Beschaffung der Zugänge und die Angriffe Teil eines größeren Plans seien. So sagte der Vizepräsident des Bundesnachrichtendienstes, Wolfgang Wien, auf einer Konferenz: "Uns muss bewusst sein: Russland ist in unseren Netzen. Gehen wir doch bitte davon aus, dass das vorbereitet ist."
Auch Manuel Atug, IT-Sicherheitsexperte der AG Kritis, betont die Gefahren. In einem ausführlichen Erklärstück auf Twitter schreibt er: "Den KRITIS Betreiberinnen sollte das alles bekannt sein und zum Beispiel Wartungszugänge echt nicht mehr das Problem darstellen. Insbesondere auch, da ja nach Paragraph 8a BSI-Gesetz alle Betreiber:innen kritischer Infrastruktur einen angemessenen und branchenspezifischen Stand der Technik umsetzen müssen." Wie das aber in der Realität aussieht, zeigt Atug in einem Videobeitrag des Chaos-Computer-Clubs, dessen Mitglied er ist.
Mehrere Schäden durch Hacker bereits bekannt
Sichtbare Auswirkungen solcher Angriffe auf die reale Welt gab es schon 2015. Damals legten russische Hacker das Stromnetz der Ukraine lahm, mehr als 200.000 Menschen mussten stundenlang ohne Strom auskommen. Über die Hacker-Gruppe Sandworm berichtete der stern bereits mehrfach – zuletzt im Februar 2022.
Am 20. Juli meldete sich die Hacker-Gruppe "Ghostsec" und bekannte sich zu einem Cyber-Anschlag auf ein Wasserkraftwerk im russischen Taliza, nahe einer Uran-Mine. Dort kam es Ende Juni zu einer Explosion, deren Ursache nicht klar war. Ohne ihre Tat wirklich belegen zu können, erklärten die Hacker auf Telegram genauer, was passiert war.
Dort heißt es, man habe das industrielle Steuerungssystem (ICS) angegriffen und wollte damit eigentlich nur einen Blackout auslösen. Dabei habe offenbar ein Transformator Schaden genommen und es sei zur Explosion gekommen. Die Gruppe betont, man habe das Timing so gewählt, dass es keine Todesopfer geben konnte – wie auch immer man sowas über tausende Kilometer Entfernung garantieren will.
Quellen: Tagesschau, Mirror, Ghostsec-Telegram
