Stand: 28.07.2022 05:02 Uhr
Seit Jahren warnen deutsche Behörden vor einer Hackergruppe, die gezielt das Stromnetz ausspioniert. Die Ermittler konnten einen mutmaßlichen Täter ermitteln. Die Spur führt zum russischen Geheimdienst FSB. Von Hakan Tanriverdi, BR, und Florian Flade, WDR
Es handelte sich um eine großangelegte Spionageaktion, bei der allein in Deutschland mehr als 150 Unternehmen gehackt werden sollten – vor allem im Bereich sogenannter kritischer Infrastrukturen. Insbesondere wollten die Hacker die Strom- und Wasserversorgung nachverfolgen. Nach Informationen von BR und WDR ist es dem Landeskriminalamt Baden-Württemberg nach jahrelangen Ermittlungen gelungen, einen der mutmaßlichen Täter zu identifizieren.
Pawel A. soll einer Gruppe von Hackern angehören, die IT-Sicherheitsfirmen “Berserk Bear” oder “Dragonfly” nennen. Das US-Justizministerium geht davon aus, dass die Hacker für den russischen Geheimdienst FSB arbeiten, konkret für die Abteilung “Center 16” mit Sitz in Moskau. Laut der Anklageschrift des US-Justizministeriums sollen die Hacker es der russischen Regierung ermöglichen, “bedeutende Stromerzeugungsanlagen zu stören und zu beschädigen, wenn sie dies wünscht”.
Nichtöffentlicher Haftbefehl
Pawel A. gilt als verantwortlich für den Einbruch in das Netz von Netcom BW im Sommer 2017. Im September 2021, mehr als vier Jahre später, erhielt die Generalstaatsanwaltschaft Karlsruhe einen Haftbefehl. Bis heute ist es nicht öffentlich. Netcom BW gehört zum EnBW-Stromkonzern und kümmert sich um den Glasfaserausbau sowie das Routing wichtiger EnBW-interner Daten rund um die Stromversorgung über ein speziell abgesichertes Netz.
Hacker konnten über eine Schwachstelle in Netcom BW-Routern auf den Internetverkehr zugreifen. Das wäre manipulierbar.
Auf Anfrage sagte die EnBW, die Hacker hätten zuvor einen externen Dienstleister gehackt. Dadurch wurde seine Infrastruktur kompromittiert.” Die Hacker verschafften sich dann über einen Wartungszugriff Zugriff auf das Verwaltungssystem für öffentliche Telekommunikationsnetzwerke von Netcom BW.
„Die Strom- und Gasnetzführung der EnBW war nie betroffen, da sie in einem separaten, besonders gesicherten Netz geführt wird“, so das Unternehmen. Netcom BW werde seit dem Angriff regelmäßig von unabhängigen Stellen geprüft und zertifiziert und die EnBW habe “ihre Cyber-Abwehrfähigkeiten ausgebaut”. Die EnBW begrüßt den Erfolg der Ermittlungen: „Sollte es zu einer Verurteilung kommen, wären wir natürlich sehr daran interessiert, etwas über die Beweggründe und Ziele des Angreifers zu erfahren.“
Auch E.On in Sicht
Wie strategisch die „Berserk Bear“-Hacker vorgingen, konnten Journalisten von BR und WDR anhand bisher unbekannter Fälle nachvollziehen. Hacker haben beispielsweise auch den Stromkonzern E.On ins Visier genommen. Dazu hatten sie ein 35-seitiges Dokument vorbereitet, das wie ein internes Dokument einer Beratungsfirma aussah. Das Dokument, das bei BR und WDR abrufbar ist, trägt den Titel: „Bewertung des langfristigen Investitionsbedarfs der dezentralen Stromnetze von E.On“. Sobald ein Benutzer das Dokument öffnet, wird versucht, seine Anmeldedaten unentdeckt an einen von den Hackern kontrollierten Server zu senden. Hacker könnten dies verwenden, um sich bei anderen Diensten anzumelden, die Benutzer verwenden, beispielsweise bei ihrem E-Mail-Posteingang. IT-Sicherheitsexperten sprechen von Spear-Phishing.
Auf Nachfrage lehnte E.On eine Stellungnahme ab. Das Beratungsunternehmen bestätigt, dass es im Sommer 2017 einen „Angriff auf eine Beteiligungsgesellschaft“ gegeben habe. Ob das Dokument ursprünglich von dieser Firma stammte, wollte die Firma nicht sagen.
BND-Vize: Auf das Netz wurde früh zugegriffen
Seit Ausbruch des Krieges Russlands gegen die Ukraine warnen deutsche Sicherheitsbehörden vor Cyberangriffen auf das Stromnetz. “Wir müssen wissen, dass Russland in unseren Netzwerken ist”, sagte der stellvertretende Vorsitzende des Bundesnachrichtendienstes, Wolfgang Wien, Ende Juni auf einer Konferenz. Dieser Netzzugang würde frühzeitig gesichert. »Angenommen, es ist fertig«, sagte Vien. “Berserk Bear” gilt in Fachkreisen als Team, dessen Aufgabe es ist, sich einen solchen Zugang zu verschaffen.
Im Dezember 2015 verübten Hacker einen umfangreichen Angriff auf die Stromversorgung in der Ukraine. Die IT-Systeme mehrerer Umspannwerke wurden mit Schadsoftware namens „Black Energy“ infiziert und heruntergefahren. Über 200.000 Menschen waren betroffen und der Strom war für bis zu sechs Stunden unterbrochen. Für den Angriff wird die Gruppe “Sandworm” verantwortlich gemacht, die nach Angaben europäischer Sicherheitsbehörden einem anderen russischen Geheimdienst, dem GRU, zugeordnet ist.
Gabby Roncone arbeitet als IT-Sicherheitsspezialistin bei Mandiant und begleitet das „Berserk Bear“-Team seit Jahren: „Eine unserer größten Sorgen ist, dass sich Hacker dauerhaft in den kompromittierten Netzwerken installieren und sich später diesen Zugang verschaffen können Es ist an der Zeit, es für destruktive Angriffe zu nutzen.“ Roncone betont, dass es dafür derzeit keine Beweise gibt. Er weist darauf hin, dass Hacker derzeit hauptsächlich Büronetzwerke ausspionieren, keine Industrieanlagen. Dies würde völlig neue Werkzeuge und tiefgreifende Erfahrung erfordern.
Aktivitäten, die vom Verfassungsschutz überwacht werden
In wie viele Unternehmensnetzwerke die Hacker von „Berserk Bear“ aus eindringen konnten, ist unklar. Nur kritische Infrastrukturunternehmen müssen solche Vorfälle melden. Das Bundesverfassungsschutzamt konnte zumindest einen Teil des ein- und ausgehenden Internetverkehrs der Hacker überwachen. Denn einer der von den Hackern genutzten Server stand in Deutschland.
Neben…
