Russlands gefährliche Viren-Waffe - Handelsblatt Insight: Cyberattacken - Mai 2022
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Handelsblatt Insight: Cyberattacken - 27. Mai 2022 Russlands gefährliche Viren-Waffe Vor Wochen sorgten Attacken auf Windkraftunternehmen für Aufsehen. Doch jetzt bereiten kremlnahe Hacker womöglich größere Angriffe vor - die auch versorgungskritische Energienetze und Industrieanlagen in Deutschland treffen könnten. Einblicke in eine verborgene Arena des Ukrainekriegs. Von Catiana Krapp und Claudia Scholz Ein russischer Hackerangriff auf Webseiten des Verteidigungsministeriums und des Bundestags. Eine Cyberattacke auf den US-Landmaschinenhersteller Agco, der auch bei der Tochterfirma Fendt im Allgäu die Produktion stoppte. Anhaltende Probleme beim Windturbinenhersteller Nordex, der noch immer die Auswirkungen einer Hackerattacke im März spürt: Seit Beginn des russischen Überfalls auf die Ukraine halten Cyberattacken aus dem Osten auch Deutschland auf Trab. Politiker sind alarmiert. Volker Wissing, Bundesminister für Verkehr und Digitales, sagte jüngst bei einem Digitalministertreffen der G7-Staaten: "Dies ist auch ein Krieg im Internet." Und der SPD- Bundestagsabgeordnete und Kriminalbeamte Sebastian Fiedler sieht die Cyberattacken auf deutsche Behörden-Websites als "die Vorboten dessen, was an Angriffen noch auf uns zukommen kann". Der Verfassungsschutz warnt mittlerweile speziell die Wirtschaft vor russischen Spionageversuchen und Cybergruppen. Seit Beginn des russischen Angriffskriegs auf die Ukraine mehren sich die Anzeichen, dass russische Hacker kritische Infrastruktur ins Visier nehmen, also all jene Unternehmen und Organisationen, die für die Versorgung der Bevölkerung besonders wichtig sind, seien es Krankenhäuser, Wasser- und Umspannwerke, Energieversorger oder Tankstellen. Die aufsehenerregenden Attacken auf die Windkraftunternehmen sind dabei noch das kleinere Übel. Experten haben jüngst besonders ausgeklügelte Schadprogramme mit bedenklichen Fähigkeiten entdeckt. Sie bringen die Bedrohungslage auf eine neue Ebene und werfen die Frage auf, ob ein Cyberangriff Deutschland lahmlegen könnte. Zumal wirklich ernsthafte Großangriffe womöglich erst noch bevorstehen. Denn so anstrengend Cyberattacken privater Hacker wie im Fall Nordex für Unternehmen sind - für die Gesamtbevölkerung sind sie eher harmlos im Vergleich zu staatlich orchestrierten Angriffen.
Es sind vor allem solche groß angelegten Attacken, die Experten wie Kai Thomsen ernsthafte Sorgen bereiten. Thomsen leitet bei der US- IT-Firma Dragos die sogenannten "Global Incident Response Services" - jene Abteilung also, die Cyberattacken auf Unternehmen abwehren soll. "Bei staatlichen Attacken geht es darum, industrielle Prozesse zu destabilisieren, um möglichst großen Schaden zu erreichen", sagt Thomsen. Dabei würden teils Tote und große Umweltschäden in Kauf genommen. Einen aufsehenerregenden, groß angelegten Cyberangriff gab es im April in der Ukraine. In mehreren Umspannwerken von Stromnetzbetreibern sollte dabei der Stromfluss lahmgelegt werden. Ein flächendeckender Stromausfall in der Ukraine war das Ziel. Hinter der Attacke vermuten Experten die Hackergruppe "Sandworm", die als Einheit des russischen Geheimdienstes GRU gilt. Gezielte Angriffe auf Anlage für erneuerbare Energien Valentin Weber, Wissenschaftler bei der Deutschen Gesellschaft für Auswärtige Politik (DGAP), sagt: "Mit der zunehmenden russischen Frustration über mangelnde Erfolge im Krieg gegen die Ukraine sowie weitere EU-Sanktionen wächst auch Russlands Risikobereitschaft und wohl auch die Bereitwilligkeit, Cyberangriffe auf Deutschland und die EU durchzuführen." 2
Vor allem kämen Russland dabei Angriffe gelegen, die auf erneuerbare Energien abzielten. Denn diese seien entscheidend für die Bestrebungen Deutschlands und des Westens, unabhängiger von Russlands Gas zu werden. Doch der Westen muss gar nicht bewusst zum Ziele der Kreml-Hacker werden. Bereits die russische Cyberangriffe in der Ukraine sind für die EU aus zwei Gründen riskant. Zum einen ist das ukrainische Stromnetz seit Kriegsbeginn nicht mehr an das russische, sondern an das europäische Netz angeschlossen. Die Stiftung Wissenschaft und Politik (SWP) schreibt in einem Beitrag zu diesem Thema: "Sind die Netze gekoppelt, kann ein Stromausfall etwa in der Ukraine auf andere Teile Europas übergreifen." Der Verband Europäischer Übertragungsnetzbetreiber (Entso-E) sieht sich gut gegen einen solchen Fall gewappnet. Der Vorstandschef Joachim Vanzetta sagt: "Wir haben Sicherungen eingebaut. Wenn es in der Ukraine zu massiven Stromausfällen kommt, werden wir sie automatisch von unserem Netz abtrennen, so, wie man einen Reißverschluss öffnet." So bleibe das restliche Netz stabil. Ein weiteres Problem ist aber laut Thomsen, dass Russland die Ukraine als Testfeld für Cyberangriffe verwende. Dort kommen auch Programme zum Einsatz, die im ersten Schritt vor allem Informationen sammeln: "Bei vielen Angriffen geht es zunächst um die Entwicklung von Fähigkeiten, um später gezielt Sicherheitssysteme und industrielle Prozesse auszuschalten." Die in der Ukraine kürzlich neu eingesetzte Schadsoftware namens Industroyer2 könnte ein solcher Testballon sein. Die Malware sei dazu entwickelt worden, die Kontrolle über industrielle Steuerungen zu übernehmen, analysiert die Firma Eset, die sie entdeckt hat. Dabei kommen in der Ukraine im Prinzip die gleichen elektronischen Steuerungen etwa von Fabriken zum Einsatz wie in Deutschland. Thorsten Urbanski, IT-Sicherheitsexperte bei Eset, sagt: "Es ist möglich, dass bereits deutsche Unternehmen mit der Malware Industroyer2 erfolgreich angegriffen wurden." Derartige Schadprogramme erhöhten die Cybergefahr in Deutschland und Europa deutlich. Auch die oberste deutsche Cybersicherheitsbehörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI), warnt, kritische Infrastrukturen in Deutschland könnten ebenfalls getroffen werden. "Ein Ausfall von Energienetzkomponenten als Folge eines erfolgreichen Angriffs mit Industroyer2 kann nicht ausgeschlossen werden." Durch die Vorgängersoftware Industroyer (ein Wortspiel aus Industrie und zerstören) lösten Hacker 2016 bereits einen großflächigen Stromausfall in der Ukraine aus. Das BSI geht davon aus, dass Industroyer2 ein ähnliches Schadenspotenzial hat. Stromerzeuger und Netzbetreiber werden verstärkt ausspioniert 3
Was Experten wie Thomsen zudem beunruhigt, ist das zunehmende Auskundschaften bei großen Stromerzeugern, Übertragungsnetzbetreibern und Flüssiggas-Terminals (LNG) weltweit. Angreifer versuchen laut Thomsen oft zunächst, in das IT-Netz einzudringen und zu spionieren, also an Unterlagen heranzukommen. Sie wollen die technischen Vorgänge in einer Industrieanlage verstehen - und wie man sie beeinflussen kann. Im nächsten Schritt, dem eigentlichen Angriff, versuchten die Kriminellen, Schaden in der Industrieanlage anzurichten. Sie könnten mit den erbeuteten Zugangsdaten in das sogenannte OT- Netz eindringen. Hier könnten sie Leitungen abschalten, Transformatoren zerstören oder Schäden in LNG-Terminals verursachen. Eine Schadsoftware, die auf solche Schritte ausgelegt ist, entdeckte die Firma Dragos kürzlich in den USA. Sie nannten sie Pipedream - das englische Wort für Hirngespinst, das gleichzeitig auf Gasleitungen ("pipe") anspielt. Ein bewusster Seitenhieb: Die Bedeutung von Flüssiggas für die globale Wirtschaft wächst enorm. Das schwächt Russlands strategische Position als Lieferant von Gas via Pipeline. Cyberexperten vermuten auch hier Russland hinter der Malware. Thomas Hemker von der Deutschen Cyber-Sicherheitsorganisation (DCSO) sagt: "Die Wandelbarkeit des Schadprogramms zeugt von langfristigen Bemühungen, nützliche und erweiterbare Tools zu entwickeln, um das Funktionieren der kritischen Infrastrukturen eines gegnerischen Staates zu stören." Das sei ein bedeutender Fortschritt im Vergleich zu früheren Programmen. Auch der Einsatz von sogenannten Wipern bei den Angriffen auf die Energieunternehmen in der Ukraine und den USA deute auf die große finanzielle Ausstattung der Angreifer hin, ebenso wie auf ihre Motivation: Bei Industriespionage oder Sabotage möchten die Angreifer meist ihre Spuren verwischen oder bei künftigen Angriffen nicht entdeckt werden. Die Wiper löschen Angriffsspuren. Zu den großen, staatlichen Schadprogrammen kommen noch private Cyberattacken hinzu, die Unternehmen zusätzlich belasten. Die Attacke auf den Windturbinenhersteller Nordex etwa hat die Hackergruppe Conti für sich reklamiert. Conti gehört nach eigenen Aussagen zu den Unterstützern Russlands und schreckt auch vor Attacken auf "die kritische Infrastruktur eines Feindes" nicht zurück. Primär dürfte es der Gruppe allerdings um Lösegeld gehen. Denn es handelte sich um eine sogenannte Ransomware-Attacke. Ransomware ist Erpressersoftware. Sie nimmt Unternehmen den Zugang zu ihren Daten weg, die Täter verlangen dann Lösegeld für die Freigabe. Der bisher umfangreichste Cyberangriff gegen staatliche Einrichtungen mit Ransomware traf jüngst Costa Rica - auch diesen Angriff reklamiert Conti für sich. Costa Rica hatte erklärt, das von den Hackern geforderte Lösegeld in Höhe von zehn Millionen US-Dollar nicht zahlen zu wollen. 4
Ransomware-Angriffe gibt es immer häufiger, wie Kai Thomsen sagt. Er erklärt, warum die Attacken oft kritische Infrastruktur treffen: "Kriminelle Organisationen haben in den vergangenen Jahren gemerkt, dass sich viel besser Geld verdienen lässt, wenn man auf die Industrie zielt, als wenn man dem Massenmarkt Phishingmails schickt. Privatpersonen zahlen oft nicht." Branchenkenner bezweifeln, dass Unternehmen grundsätzlich gut genug gerüstet sind, um all den Angriffen standzuhalten. Kleinere kommunale Unternehmen wie etwa Wasserwerke haben nur geringe Ressourcen für Cybersicherheit. Bei großen Energieversorgern und Stromnetzbetreibern sieht das zumindest theoretisch anders aus. Viele dieser Unternehmen halten ihr Industrienetzwerk für gut geschützt und verweisen darauf, dass es physisch isoliert sei, also nicht mit dem Internet und der restlichen IT des Unternehmens verbunden. Noch will Russland wohl keine Vergeltungsattacken riskieren Doch Experte Thomsen sagt: "Wir können aus unserer Erfahrung klar sagen, dass es solch eine physische Trennung in den allermeisten Fällen nicht gibt - egal, ob es um Strom, Wasser, Gas, Öl oder industrielle Fertigung geht." Das liege daran, dass Strom beispielsweise übers IT-System bestellt und übers OT-System bereitgestellt werden müsse. Deshalb gebe es doch Verbindungen. Bisher blieb ein Cyberangriff aus, der die Grundversorgung in Deutschland erschütterte. Matthias Schulze, stellvertretender Forschungsgruppenleiter für Sicherheitspolitik bei der SWP, vermutet allerdings eine Strategie Russlands hinter der relativen Zurückhaltung. Das Land versuche zwar, Angriffe im Westen zu lancieren, die schmerzhaft seien. Aber doch nicht so schmerzhaft, dass sie einen Gegenschlag in Form von Vergeltungsattacken provozieren. Denn käme es in Deutschland zu einem Cyberanschlag, der so stark ist, dass man ihn als bewaffneten Angriff nach dem Völkerrecht interpretieren könnte, dann dürfte die Bundeswehr theoretisch mit dem Kommando Cyber- und Informationsraum zurückschlagen. Das könnte der Fall sein, wenn etwa das Stromnetz ausgeschaltet würde und dabei Menschen sterben. Ein deutscher Cybergegenschlag, Hackback genannt, könnte im schlimmsten Fall auch einen Nato- Verteidigungsfall auslösen. Bisher lehnt Bundesinnenministerin Nancy Faeser Hackbacks ab. Schulze sieht indes nicht nur eine Notwendigkeit, cybertechnisch aufzurüsten. Der Schutz vor Cyberangriffen und den durch sie verursachten Schäden wie Stromausfällen müsse nicht digital sein. Ein guter Schutz könne es auch sein, Solarpanels auf jedes Dach zu bauen und Diesel-Stromgeneratoren für Notfälle vorzuhalten. Schulze sagt: "Wir müssen auch weg davon, immer mehr kritische Dienste mit dem Internet zu verbinden." 5
Das etwa nahm sich die Firma Ökotech zu Herzen. Sie betreibt ein Biomasse-Heizkraftwerk. Hacker hatten sich in die Turbinensteuerung eingeschleust und diese ausspioniert. Seitdem hält Ökotech die Turbine vom Internet getrennt. Sollte doch mal eine Ferndiagnose übers Internet nötig sein, ruft der Chef vorher in der Zentrale an, und das Internetkabel wird zeitlich begrenzt eingesteckt. Diese simple Lösung hat sich bereits bewährt: Ukrainer konnten den Stromausfall durch den Hackerangriff 2016 auch dadurch begrenzen, dass sie einen physischen Notausschalter für den Stromzufluss zum Rechenzentrum hatten. „Mit der zunehmenden russischen Frustration über mangelnde Erfolge im Krieg gegen die Ukraine wächst Russlands Risikobereitschaft, Cyberangriffe auf die EU durchzuführen.“ Valentin Weber, Wissenschaftler bei der DGAP 6
Sie können auch lesen