https://www.faz.net/-gwz-8c6ow

Cyber-Sicherheit : Die Hackerdämmerung

  • -Aktualisiert am

Auch der stärkste Strom steht still, wenn „Black Energy“ es will. Bild: Illustration F.A.S./Foto Krzysztof Laso

Ein Stromausfall in der Ukraine könnte durch einen Cyber-Angriff ausgelöst worden sein. Es wäre das erste Mal, dass ein Stromnetz über das Internet lahmgelegt wurde.

          4 Min.

          Kurz vor Weihnachten fiel im Westen der Ukraine der Strom aus. Laut Medienberichten waren am 23. Dezember 700.000 Haushalte für Stunden ohne Elektrizität. An sich ist das nichts Spektakuläres in einem Land, in dem seit Monaten ein Konflikt schwelt. Im November und auch an Silvester kam es beispielsweise zu Blackouts auf der Krim: Unbekannte hatten Strommasten gesprengt. Der Fall kurz vor Weihnachten in der Westukraine liegt jedoch anders. Wie Sicherheitsfirmen Anfang vergangener Woche berichteten, hatten wahrscheinlich Hacker den Stromausfall vorsätzlich ausgelöst.

          Sabotage per Email

          Die Sicherheitsfirmen haben in den Computern eines Stromversorgers die Schadsoftware „Black-Energy“ gefunden. Die Angriffe sollen folgendermaßen abgelaufen sein: Die Opfer erhielten gefälschte E-Mails mit dem Absender der Werchowna Rada, des Ukrainischen Parlaments. Darin befanden sich Word-Dokumente, die dazu aufforderten, ein kleines Programm zu starten. Ein klassischer Fall des sogenannten „Social Engineerings“, bei dem Hacker ihre Opfer dazu bringen etwas zu tun, was sie eigentlich nicht sollten.

          Starteten die Empfänger das Programm, hatten die Hacker einen Brückenkopf bei dem Versorger: Es installierte einen Teil des Black-Energy-Paketes, das den Hackern den Zugriff auf das System erlaubte, und es zog weitere Komponenten aus dem Internet, unter anderem eine Funktion, die Dateien löschen kann. Und hier wird die Sache kompliziert, denn diese Funktion, „Wiper“ genannt, verwischt Spuren.

          Ukraine-Konflikt : Notstand auf der Krim nach Sprengung von Strommasten

          Das entscheidende Modul wurde offenbar gelöscht

          „Man sieht nur Bruchstücke des Angriffs, welche Module jedoch wirklich zu dem Stromausfall geführt haben, das kann man noch nicht sagen“, erklärt Michael Kasper vom Darmstädter Fraunhofer-Institut für Sichere Informationstechnik. Was die Angreifer taten, während sie auf das System zugreifen konnten, ist nicht klar: „Für mich wäre plausibel, dass das eigentliche Modul, das den Schaden verursacht hat, in der Öffentlichkeit noch gar nicht bekannt ist“, sagt Kasper, der anhand der wenigen bekannten Indizien in diesem Fall bislang nur spekulieren kann.

          Etwas mehr Informationen meint die slowakische Sicherheitsfirma ESET zu haben. In einem Bericht schreiben ihre Mitarbeiter, im Zusammenhang mit dem Angriff in der Westukraine sei das Programm „Kill-Disk“ gefunden worden. Dieses dient dazu, wichtige Daten auf Computer zu überschreiben, damit sich diese nicht mehr hochfahren lassen. Auf den ukrainischen Rechnern sei eine spezielle Version gewesen: Sie habe explizit Rechenprozesse ausgeschaltet, die für industrielle Kontrollsysteme genutzt werden. Welchen Verlauf die Attacke im Detail genommen haben soll, weiß auch ESET nicht: „Am plausibelsten ist, dass es über einen ferngesteuerten Zugang zu dem System geschehen ist“, sagt Robert Lipovsky, der sich in der Firma mit diesem Fall beschäftigt.

          Es begann mit Stuxnet

          Falls sich die Vermutung bestätigt, wäre das der erste durch Hacker verursachte Stromausfall – und die dritte Cyber–Attacke überhaupt, die bekanntermaßen zu physikalischen Schäden führte. Der erste Fall, war der des Computerwurms „Stuxnet“, der laut Medienberichten Tausende Zentrifugen des Iranischen Atomprogramms zerstörte. Der zweite war die Attacke auf ein Deutsches Stahlwerk, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2014 in einem Bericht beschrieb. Wann und wo genau der Angriff stattfand, verrät das BSI nicht, doch wird deutlich, dass die Angreifer Erfolg hatten. Wie vermutlich auch in der Ukraine verschafften sie sich per Social Engineering Zugriff auf das Büronetz des Werks, von wo aus sie sich ins Produktionsnetz vortasteten. Daraufhin hätten sich Ausfälle gehäuft und diese, heißt es in dem BSI-Bericht, „führten dazu, dass ein Hochofen nicht geregelt heruntergefahren werden konnte. Die Folge waren massive Beschädigungen der Anlage.“

          Auch Ölscheichs und New Yorker waren schon Ziele

          Cyberattacken auf Industrieanlagen ohne direkte Schäden gab es allerdings schon öfter. Im Jahr 2012 befiel ein Virus 30000 Computer der Erdölfirma Saudi Aramco. 2013 drangen Hacker aus dem Iran in das Kontrollsystem eines kleinen Damms nahe New York vor. Und erst im Dezember berichtete Associated Press“ über Angriffe auf einen der größten Stromerzeuger in den Vereinigten Staaten. Dabei wurden Netzwerke geentert, über die das amerikanische Stromnetz gesteuert wird, und Passwörter sowie Dutzende Pläne von Kraftwerken und Stromnetzen erbeutet: Informationen, so die Nachrichtenagentur, mit denen man einen Stromausfall verursachen könnte.

          „Um einen Blackout in größerem Maßstab durchzuführen, braucht man gutes Insiderwissen“, sagt der Darmstädter Sicherheitsexperte Kasper. Falle lediglich ein Kraftwerk aus, könne das Netz das ausgleichen. „Ein Angreifer kann aber über das Übertragungsnetz gehen, auf die Umspannwerke, auf die Leitstellen oder das Verteilnetz und versuchen, dort Kaskadeneffekte durchzuführen.“ Man kann das Stromnetz so treffen, dass sich der Schaden aufschaukelt und immer stärker wird.

          Wäre so etwas auch in Deutschland möglich?

          Dass solche Kettenreaktionen möglich sind, zeigte ein Missgeschick im November 2006. Damals mussten Hochspannungsleitungen über der Ems abgeschaltet werden, während ein Kreuzfahrtschiff den Gewässerabschnitt passierte. Weil die Aktion schlecht geplant war, kam es zur Kettenreaktion. Knapp zwei Stunden lang hatten Teile Europas keinen Strom.

          Kaskadeneffekte können demnach in europäischen Netzen vorkommen. Aber wie realistisch ist es, dass Hacker sie hervorrufen und nutzen? „Potentiell“ sei die Gefahr hierzulande gegeben, sagt Kasper. „Das Bewusstsein dafür ist in der deutschen Industrie nicht ausreichend hoch, und wir sehen in unseren Bewertungen immer wieder Systeme, die mit zielgerichteten Angriffen aushebelbar wären.“ Allerdings bestehe keine Motivation für solche Attacken.

          Trotzdem existieren Gegenmaßnahmen. Und Mitte 2015 beschloss der Bundestag das IT-Sicherheitsgesetz, das unter anderem vorsieht, Unternehmen aus dem Energiesektor Mindeststandards in der Cyber-Sicherheit sowie eine zentrale Meldung von Hackerangriffen vorzuschreiben. „Um die Hürde für einen Angreifer zu erhöhen, muss man die Sicherheit bereits beim Entwurf beachten“, sagt Kasper. Zum Beispiel teilt man die Systeme auf und schottet sie ab, damit ein Angreifer nicht einfach von einem Bereich in einen anderen gelangt. Ein hundertprozentiger Schutz sei aber selbst durch tief gestaffelte Schutzmaßnahmen nicht zu garantieren, räumt Kasper ein.

          Strategien und Sicherheitsarchitekturen sind aber wenig hilfreich, wenn sie nicht umgesetzt werden, wie ein jüngeres Beispiel aus Europa zeigt. „Es gab Testinstallationen mit Smart Metern, die typischerweise Zehntausende Zähler umfassen“, erklärt Michael Kasper. Es handelte sich dabei um „intelligente“ Stromzähler, diese werden an ein Kommunikationsnetz angeschlossen und lassen sich fernsteuern. Weil sie als potentielle Einfallstore für Hacker gelten, sind sie umstritten. Auch in dem konkreten Fall ist etwas schiefgelaufen, erinnert sich der Sicherheitsexperte: „Es wäre möglich gewesen, sich mit einem speziellen Modem an das Netz zu hängen, dieses große Testsystem aus dem Tritt zu bringen und damit potentiell einen Lastabwurf zu erreichen.“ Die Abschaltung hätte passieren können, weil den Zählern eine Sicherheitsarchitektur fehlte: Die habe man schlicht vergessen.

          Weitere Themen

          Hacker greifen Kliniken an

          F.A.S. Exklusiv : Hacker greifen Kliniken an

          Systemrelevante Computernetze werden immer öfter von Kriminellen geknackt. In diesem Jahr trifft es die Krankenhäuser besonders hart. Das kann lebensgefährlich werden.

          Wie Kunststoffe die Umwelt belasten Video-Seite öffnen

          Videografik : Wie Kunststoffe die Umwelt belasten

          Der Bundestag befasst sich abschließend mit einem Verbot leichter Plastiktüten. Mit der Neuregelung des Verpackungsgesetzes will die Bundesregierung den Verbrauch der Tüten weiter reduzieren. Denn Kunststoffe belasten die Umwelt schwer.

          Street View anno 1940

          Netzrätsel : Street View anno 1940

          Es gibt so gut wie nichts, was es nicht gibt im Netz der Netze: Geniales, Interessantes, Nützliches und herrlich Überflüssiges. Diesmal: New York in den Vierzigern.

          Topmeldungen

          Unser Autor: Oliver Georgi

          F.A.Z.-Newsletter : Die Spielchen des Markus Söder

          Viele Karten sind im Spiel, wenn es um den künftigen Vorsitz der Union geht. Eine trägt sicherlich den Namen von CSU-Chef Markus Söder. Der gab sich bei der Jungen Union vielsagend zu dieser Frage. Der Newsletter für Deutschland.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.