Ukraine Bundesamt geht von Hackerangriff auf ukrainisches Stromnetz aus

Arbeiter reparieren eine Stromleitung im Osten der Ukraine.

(Foto: AFP)

Umspannwerke fielen reihenweise aus, Hunderttausende waren ohne Strom. Für den Angriff Ende Dezember soll eine russische Hackergruppe verantwortlich sein. War es Vergeltung?

Von Hakan Tanriverdi, New York

Ende Dezember waren Hunderttausende Menschen in der Ukraine stundenlang ohne Strom. Es passierte CNN zufolge in 103 Städten auf einen Schlag, weitere 186 waren teilweise betroffen. 27 Umspannwerke fielen aus. Die Stromversorger mussten Mitarbeiter quer durchs Land schicken, um betroffene Anlagen manuell wieder in Gang zu setzen. Mehrere IT-Sicherheitsexperten gehen mittlerweile davon aus, dass ein Cyberangriff den Stromausfall ausgelöst hat - und dass eine Hackergruppe aus Russland dahintersteckt. Diese Einschätzung teilen mehrere Sicherheitsfirmen aus den USA und der Ukraine sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Der ukrainische Inlandsgeheimdienst SBU beschuldigt ohnehin die russische Regierung. Der Angriff könnte eine Racheaktion gewesen sein: Wenige Wochen zuvor hatten ukrainische Nationalisten mehrere Strommasten gesprengt, über die Strom auf die von Russland annektierte Krim geliefert wurde.

Blackout am Schwarzen Meer

Nationalisten legen durch Anschläge das Stromnetz auf der Krim lahm, Russland ruft den Notstand aus. Die Verwundbarkeit des annektierten Gebietes ist in Moskau Dauerthema. Von Cathrin Kahlweit mehr ...

"Es war definitiv ein Cyberangriff", sagt der Computerforensiker Robert Lee, der auf die technische Sicherheit industrieller Anlagen spezialisiert ist und für die US-Luftwaffe im Bereich digitaler Kriegsführung gearbeitet hat, im Telefongespräch. Seit Wochen verfolgt er den Fall. Über inoffizielle Wege wurden ihm Teile des Schadcodes übermittelt, mit denen eine der Anlagen angegriffen wurde. So konnte er den Code sezieren und eine der ersten Analysen schreiben. Seine Analyse der ukrainischen Anlagen und ihren Aufbaus schließe andere Möglichkeiten aus.

Wie der Angriff konkret abgelaufen ist, lässt sich noch nicht mit absoluter Sicherheit sagen. Die Analysten gehen aber von einem dreistufigen System aus. Zunächst hatten Mitarbeiter der betroffenen Unternehmen E-Mails mit Word-Dateien im Anhang erhalten. Diese Anhänge enthielten Schadsoftware. Angreifer hoffen, dass ein Mitarbeiter den Anhang öffnet und ihr Programm so Zugriff auf die Netzwerke der Unternehmen erhält. Ist dieser Zugriff erst einmal hergestellt, können sich Angreifer durch die Netzwerke arbeiten. Über einen sogenannten Command and Control-Server können sie zusätzlichen Schadcode nachladen, um das Netzwerk weiter zu infizieren - und es in Teilen aus der Ferne kontrollieren. Das war wohl der erste Schritt. Klar ist auch Schritt Nummer drei: Nach dem Angriff wurde eine Software namens "Killdisk" eingesetzt. Sie kann sowohl Spuren verwischen als auch die Prozesssteuerung in der Anlage manipulieren. Wird diese Steuerung verändert, sind die Betreiber der Anlage praktisch blind: Ihnen werden falsche Daten übermittelt, die sie in dem Glauben lassen, dass Strom geliefert wird. Der zweite Schritt - der konkrete Auslöser des Stromausfalls - ist noch unbekannt.

Beachtenswert findet Lee die Koordination des Angriffs. Mehrere Anlagen wurden zeitgleich angegriffen. Parallel wurden Telefon-Hotlines der betroffenen Firmen mit einer sogenannten TDoS-Attacke lahmgelegt. Sie überlädt Nummern mit parallel geschalteten Anrufen. Die Leitungen brechen zusammen. So wurde verhindert, dass Kunden ihrem Stromlieferanten den Ausfall mitteilen konnten. Hinzu kam jene Killdisk-Komponente, durch die die Betreiber den Ausfall erst später bemerkten. "Der Angreifer musste über logistische Kapazität verfügen, um all diese Schritte auszuführen", sagt Lee. Das spreche für einen koordinierten Angriff.

Die Schadsoftware in den E-Mails und die Killdisk-Komponente werden ein und derselben Hackergruppe zugeschrieben. Die IT-Sicherheitsfirma iSight berichtet seit 2013 über die Gruppe, der sie den Namen "Sandworm" gegeben hat. Deren Angriffsziele sollen unter anderem europäische Telekommunikationsfirmen gewesen sein, ukrainische Regierungsmitarbeiter und die Nato. Die Gruppe besteht iSight zufolge aus russischen Hackern. Der Sicherheitsforscher Kyle Wilhoit von der japanischen Virenschutz-Firma Trend Micro berichtete, dass die Gruppe ihre Schadsoftware auch im Umfeld von Industrieanlagen einsetzte. Die Variante des Schadprogramms, das sie genutzt haben soll, heißt "Black Energy 3". Sie sei wohl nicht für gewöhnliche Cyber-Kriminalität, sondern speziell für Cyberspionage entwickelt worden, sagt Sean McBride, Analyst bei iSight.

Timo Steffens bestätigt das. Er ist Sicherheitsanalyst beim BSI. Sandworm sei die einzige Gruppe, die "Black Energy" "für gezielte Angriffe einsetzt, die eher staatlich-nachrichtendienstliche als kriminelle Motive zu haben scheinen", sagt er der SZ. Steffens ordnet der Gruppe kein Land zu. Seit der Ukraine-Konflikt eskaliert sei, hätten sich aber bis dahin aktive Spionage-Gruppen zurückgezogen und andere seien aktiv geworden - darunter Sandworm. Steffens verweist darauf, dass die Schadsoftware im Bereich der öffentlichen Versorgung, der Transports und der Eisenbahn-Gesellschaft eingesetzt wurde, um Informationen zu sammeln. "Wir nehmen an, dass diese nun genutzt werden", sagt Steffens. Offiziell bestätigt sei das nicht. Wahrscheinlich sei aber, "dass die Angriffe auf das Konto der Gruppe gehen. Man weiß, dass diese Gruppe Black Energy verwendet, in diesem regionalen Bereich aktiv ist und sich für bestimmte Branchen interessiert". Und die Spur der Gruppe führt nach Russland.