EnBW-Tochter Hacker haben deutschen Energieversorger angegriffen

Wenn es Hackern gelingt, die Stromversorgung lahmzulegen, hätte das fatale Folgen.

(Foto: dpa)
  • Mutmaßlich russische Hacker sind in das Netz einer Tochter des Stromkonzerns EnBW eingedrungend.
  • Es handelt sich um Netcom BW, einen regionalen Internetanbieter. Das Stromnetz war nicht in Gefahr.
  • Der Angriff könnte der Beginn einer groß angelegten Hackerattacke gewesen sein.
Von Till Krause und Hakan Tanriverdi

Kein Licht, kein Kühlschrank, keine Ampeln - ein langer, flächendeckender Stromausfall in Deutschland würde das öffentliche Leben zum Erliegen bringen. Neben technischen Pannen können mittlerweile auch Hacker für Unterbrechungen im Stromnetz sorgen - eine Gefahr, die immer bedrohlicher wird, da die Hacker ihre technischen Fähigkeiten in den letzten Jahren stark verbessert haben. In der ukrainischen Hauptstadt Kiew gelang es Hackern 2016, den Strom für mehr als eine Stunde abzuschalten und wichtige Anlagen zu zerstören.

Immer wieder betonen Experten, dass auch das deutsche Netz angreifbar sei. Recherchen der Süddeutschen Zeitung und des SZ-Magazins haben nun ergeben, dass unbekannte Hacker im Sommer 2017 in das Netz einer Tochterfirma des Stromkonzerns EnBW eindrangen.

Dabei gelang es den Angreifern aber nicht, auf Netze zuzugreifen, die die Energieversorgung regeln. Bei der Firma handelt es sich um Netcom BW, einen regionalen Internetanbieter. Das bestätigten sechs Quellen der SZ. Mittlerweile liegt das Verfahren beim Generalbundesanwalt. Auf Nachfrage hieß es dort, man wolle den Fall nicht kommentieren, da noch Ermittlungen liefen.

Hacker-Angriff auf deutsche Stromlieferanten

Digitale Attacken werden zunehmend aggressiver. Eine der gefährlichsten Hackergruppen hat auch Deutschland im Visier. Von Till Krause und Hakan Tanriverdi mehr ...

Die Gefahr eines Stromausfalls bestand offenbar nicht. Doch der Angriff könnte der Beginn einer groß angelegten Hackerattacke gewesen sein. Angriffe auf Industrieanlagen geschehen meist in mehreren Phasen. Zunächst kundschaften die Hacker Büronetze aus. Das kann Monate dauern. Die Angreifer suchen nach detaillierten Informationen über den Aufbau einer Anlage. Von den Büronetzen aus arbeiten sie sich weiter vor in die Industrieanlagen. Da sie bereits wissen, wie die Anlage aufgebaut ist, können sie diese live beobachten - und dabei lernen, wie sie sabotierende Hackerangriffe aufbauen müssten.

"Es ist zutreffend, dass es 2017 einen Angriff auf das Netzwerk der NetCom gegeben hat", teilte eine Pressesprecherin mit. Der Angriff habe "bereits in einer frühen Phase erfolgreich abgewehrt werden" können. Die ersten "kaum erkennbaren Aktivitäten" auf die EnBW-Tochterfirma fanden im Mai 2017 statt. Im Juli und August 2017 gab es weitere Angriffsversuche. Der Hackerangriff fiel auf, weil EnBW eine Warnung vom Bundesamt für Verfassungsschutz erhielt. Der Konzern informierte darauf auch das Bundesamt für Sicherheit in der Informationstechnik und erstattete beim Landeskriminalamt in Baden-Württemberg Anzeige gegen unbekannt.

Die Hacker übernahmen das Mitarbeiterkonto eines externen Dienstleisters

Die Hacker nutzten nach SZ-Informationen unter anderem Schwachstellen in der Router-Software des Herstellers Cisco aus. Es gelang ihnen, die Kontrolle über die Router zu übernehmen. Auf diese spielten die Hacker Programme auf, mit denen sie Daten ausleiten konnten. Damit kann man zum Beispiel den Internetverkehr mitlesen: Für einen Zeitraum von wenigen Minuten hätten die Hacker "einen kleinen Teil des Internetverkehrs des besagten Netzes gespiegelt", teilte EnBW mit. Auf die Router hatten die Hacker Zugriff, weil sie zuvor das Mitarbeiterkonto eines externen Dienstleisters übernehmen konnten.

Wissen Hacker erst einmal, auf welchen Webseiten Firmenmitarbeiter unterwegs sind, können sie diese Seiten manipulieren. IT-Sicherheitsexperten sprechen von einem "Waterholing"-Angriff. Benannt ist der Angriff nach Wasserstellen in Steppen, die zum Beispiel Giraffen aufsuchen. Die Löwen lauern bereits im Gebüsch und eröffnen die Jagd. Über Waterholing-Angriffe gelangen Hacker an weitere Zugangsdaten, zum Beispiel Passwörter. Sie werden deshalb gerne verwendet, um tiefer in Netzwerke einzudringen. Das ist laut EnBW jedoch nicht passiert: "Eine Überprüfung hat ergeben, dass ein solcher Angriff auf die Bürokommunikation der EnBW-Mitarbeiter ausgeschlossen werden kann."

Die Angreifer seien noch dabei gewesen, "die Türen zu öffnen", beschreibt es eine Person, die namentlich nicht zitiert werden will. Erbeutet wurden Zugangsdaten, die es ermöglicht hätten, an einer anderen Stelle ins Netzwerk einzudringen. Diese wurden mittlerweile wohl geändert. EnBW sagt, es sei "keinerlei Schaden" entstanden. Die Sprecherin betonte, dass zu keinem Zeitpunkt ein Versuch stattgefunden habe, auf das Versorgungsnetz der EnBW zuzugreifen. "Dies wäre überdies gar nicht möglich gewesen, da die Netze vollständig voneinander getrennt sind."

Der Angriff auf EnBW wird auf mutmaßlich russische Angreifer zurückgeführt

Mitte April veröffentlichten USA und Großbritannien eine gemeinsame Warnung. Dort hieß es, dass im Auftrag Russlands agierende Hackergruppen über Routerangriffe sowohl geistiges Eigentum entwenden als auch sich dauerhaften Zugang in Firmennetze verschaffen. So könnte eine Art digitale Zeitbombe gelegt werden, die sich im Falle eines Konflikts aus der Ferne zünden ließe.

Das SZ-Magazin berichtete Anfang Mai, wie in Deutschland über Angriffe auf das Stromnetz diskutiert wird. Monatelang beratschlagten Behörden und Energieversorger, größtenteils unter Ausschluss der Öffentlichkeit. Ein Angriff, bei dem der Strom ausfällt, wird von IT-Sicherheitsexperten zwar als unwahrscheinlich eingestuft, gilt aber als machbar. Hinzu komme, dass das Vorgehen von Hackern im digitalen Raum immer aggressiver wird.

Die konkrete Zuschreibung eines Hackerangriffs ist äußerst komplex. Der Angriff auf EnBW wird auf mutmaßlich russische Angreifer zurückgeführt. Drei Personen teilten der SZ mit, dass es sich um die Hackergruppe handelt, die Sandworm genannt wird und für zwei Hackerangriffe auf das Stromnetz in der Ukraine verantwortlich ist. Anderen Experten zufolge ist es eine Gruppe, die Berserk Bear oder Dragonfly genannt wird. Laut Bundesamt für Verfassungsschutz liegen Indizien vor, die darauf hindeuten, dass Berserk Bear russischen staatlichen Stellen zuzuordnen ist.

Kalter Frieden

Russische Agenten waren was für Thriller und James-Bond-Filme. Aber nun merkt der Westen: Die Spione sind unter uns. Über die im Dunklen, die man nicht sieht. Von Georg Mascolo und Nicolas Richter mehr...