exklusiv
Stand: 28.07.2022 05:02 Uhr
Deutsche Behörden warnen seit Jahren vor einer Hackergruppe, die gezielt das Stromnetz ausspioniert. Den Ermittlern gelang es, einen mutmaßlichen Täter zu identifizieren. Der Weg führt zum russischen Geheimdienst FSB.
Von Hakan Tanriverdi, BR, und Florian Flade, WDR
Es handelte sich um eine weitreichende Spionageaktion, bei der allein in Deutschland mehr als 150 Unternehmen gehackt werden sollten, insbesondere im Bereich der sogenannten kritischen Infrastruktur. Konkret wollten die Hacker die Strom- und Wasserversorgung ausloten. Nach Informationen von BR und WDR ist es dem Landeskriminalamt Baden-Württemberg nach jahrelangen Ermittlungen gelungen, einen der mutmaßlichen Täter zu identifizieren.
Pawel A. soll einer Gruppe von Hackern angehören, die von Computersicherheitsfirmen “Berserk Bear” oder “Dragonfly” genannt werden. Das US-Justizministerium geht davon aus, dass die Hacker für den russischen Geheimdienst FSB arbeiten, genauer gesagt für die Abteilung „Center 16“ mit Sitz in Moskau. Laut der Anklageschrift des US-Justizministeriums beabsichtigen die Hacker, der russischen Regierung zu erlauben, “bedeutende Stromerzeugungsanlagen zu stören und zu beschädigen, wenn sie dies wünscht”.
Nichtöffentlicher Haftbefehl
Pawel A. ist für den Hackerangriff auf das Netz Netcom BW im Sommer 2017 verantwortlich. Im September 2021, mehr als vier Jahre später, erwirkte die Staatsanwaltschaft Karlsruhe einen Haftbefehl. Heute ist es nicht öffentlich. Netcom BW gehört zum Energiekonzern EnBW und verantwortet den Glasfaserausbau sowie das Routing wichtiger EnBW-interner Daten rund um die Stromversorgung über ein besonders gesichertes Netz.
Hacker verschafften sich durch eine Schwachstelle in Netcom BW-Routern Zugang zum Internetverkehr. Das hätte manipulieren können.
Die EnBW erklärte auf Anfrage, die Hacker hätten zuvor einen externen Dienstleister gehackt. “Dadurch wurde ihre Infrastruktur kompromittiert.” Die Hacker verschafften sich dann über einen Wartungszugriff Zugriff auf das Verwaltungssystem für öffentliche Telekommunikationsnetzwerke von Netcom BW.
„Die Kontrolle der EnBW über das Strom- und Gasnetz war nie betroffen, da es in einem separaten, besonders gesicherten Netz geführt wird“, so das Unternehmen. Netcom BW werde seit dem Angriff regelmäßig von unabhängigen Stellen überprüft und zertifiziert, EnBW habe “ihre Cyber-Abwehrfähigkeiten ausgebaut”. Die EnBW begrüßt den Erfolg der Ermittlungen: „Sollte es zu einer Verurteilung kommen, wären wir natürlich sehr daran interessiert, etwas über die Motivation und die Ziele des Angreifers zu erfahren.“
E.Where auch in Sicht
BR- und WDR-Reporter konnten anhand bisher unbekannter Fälle nachvollziehen, wie die „Berserk Bear“-Hacker strategisch vorgegangen sind. So hatten es die Hacker beispielsweise auch auf den Stromkonzern E.On abgesehen. Dazu hatten sie ein 35-seitiges Dokument vorbereitet, das wie ein internes Dokument eines Beratungsunternehmens aussah. Das Dokument, das BR und WDR vorliegt, trägt den Titel: „Bewertung des langfristigen Investitionsbedarfs der dezentralen Stromnetze von E.On“. Sobald ein Benutzer das Dokument öffnet, wird versucht, seine Zugangsdaten unentdeckt an einen von den Hackern kontrollierten Server zu senden. Hacker könnten dies verwenden, um sich bei anderen Diensten anzumelden, die Benutzer verwenden, z. B. bei ihrem E-Mail-Posteingang. Computersicherheitsexperten sprechen von Phishing.
Auf Nachfrage lehnte E.On eine Stellungnahme ab. Das Beratungsunternehmen bestätigt, dass es im Sommer 2017 „einen Angriff auf eine Holding“ gegeben habe. Ob das Dokument ursprünglich von dieser Firma stammte, wollte das Unternehmen nicht sagen.
Vice BND: Netzzugang vorab vertraglich vereinbart
Seit Ausbruch des Krieges Russlands gegen die Ukraine warnen deutsche Sicherheitsbehörden vor Cyberangriffen auf das Stromnetz. Auf einer Konferenz Ende Juni sagte Wolfgang Wien, stellvertretender Vorsitzender des Bundesnachrichtendienstes: “Wir müssen uns darüber im Klaren sein, dass Russland in unseren Netzen steckt.” Dieser Netzzugang würde in einer Anfangsphase realisiert. „Nehmen wir an, er ist bereit“, sagte Wien. “Berserk Bear” gilt in Fachkreisen als Gruppe, deren Aufgabe es ist, diesen Zugang zu erreichen.
Im Dezember 2015 verübten Hacker einen umfangreichen Angriff auf die Stromversorgung in der Ukraine. Computersysteme mehrerer Umspannwerke wurden mit Malware namens „Black Energy“ infiziert und heruntergefahren. Mehr als 200.000 Menschen waren betroffen und der Strom fiel für bis zu sechs Stunden aus. Für den Angriff wird die Gruppe “Sandworm” verantwortlich gemacht, die nach Angaben europäischer Sicherheitsbehörden einem anderen russischen Geheimdienst, dem GRU, zugeordnet ist.
Gabby Roncone arbeitet als IT-Sicherheitsexpertin bei Mandiant und beobachtet die Gruppe ‚Berserk Bear‘ seit Jahren: „Eine unserer größten Sorgen ist, dass sich Hacker dauerhaft in kompromittierten Netzwerken festsetzen und sich dann Zugang verschaffen können, wenn es soweit ist Verwenden Sie es für destruktive Angriffe.“ Roncone betont, dass es dafür derzeit keine Hinweise gibt. Er weist darauf hin, dass Hacker heute vor allem Büronetzwerke ausspähen, keine Industrieanlagen. Dies würde völlig neue Werkzeuge und tiefgreifendes Wissen erfordern.
Vom Verfassungsschutz überwachte Tätigkeiten
In wie viele Unternehmensnetzwerke die Hacker des „Berserk Bear“ eindringen konnten, ist unklar. Nur Unternehmen, die zu kritischen Infrastrukturen gehören, müssen solche Vorfälle melden. Dem Bundesamt für Verfassungsschutz gelang es, zumindest einen Teil des ein- und ausgehenden Internetverkehrs der Hacker zu überwachen. Denn einer der von den Hackern genutzten Server stand in Deutschland.
…