Cyberangriff:Eine Spur zu den "gefährlichsten Hackern der Welt"

To match Analysis SAUDI-CRUDE/GAS

Ein saudi-arabisches Gaskraftwerk (nicht das abgebildete Kraftwerk No. 10 südlich von Riad) ist Ziel eines mutmaßlich russischen Cyber-Angriffs geworden.

(Foto: REUTERS)
  • Ein beispielloser Angriff alarmierte 2017 weltweit Sicherheitsbehörden. Hacker hatten es gezielte auf jene Systeme abgesehen, die in einem saudi-arabischen Kraftwerk Mensch und Umwelt schützen sollen.
  • In Deutschland setzen hunderte Industrieanlagen ähnliche Systeme ein. Deshalb ist auch das zuständige Bundesamt für IT-Sicherheit alarmiert.

Von Jan Lukas Strozyk und Hakan Tanriverdi

Die Hacker verschwendeten keine Zeit für Nebensächlichkeiten. Sie spähten das Büronetz nicht aus, machten keine Anstalten, Daten auszuleiten, setzten keine Software ein, die unbemerkt den Bildschirm abfotografiert. Das hier war keine der üblichen Spionage-Operationen, die digitalen Angreifer verfolgten bei dem Gas-Kraftwerk in Saudi-Arabien ein anderes Ziel. Sie hatten es auf die Sicherheitssysteme abgesehen, die Mensch und Umwelt schützen. Damit nahmen sie in Kauf, dass Menschen sterben.

Damals, im Sommer 2017, schlichen sie sich direkt in die Produktionsnetze. Dort, wo die Anlagen des Gas-Kraftwerks betrieben wurden.

Der folgende Cyberangriff gilt als einer gefährlichsten der vergangenen Jahre. IT-Sicherheitsexperten werten ihn als krasse Eskalation der ohnehin immer aggressiveren digitalen Einbrüche. Nun gibt es eine Spur zu den Tätern. Ein staatliches Labor, das an das russische Militär angeschlossen ist, soll eine essentielle Rolle bei der Vorbereitung des Angriffs gespielt haben: das "Zentrale wissenschaftliche Forschungsinstitut für Chemie und Mechanik", das in Moskau steht. Das geht aus einem Bericht der IT-Sicherheitsfirma Fireeye an ihre zahlenden Kunden hervor - öffentlich ist er nicht. Der Bericht liegt Süddeutscher Zeitung, NDR und WDR vor.

Enorme Aufregung in deutschen Sicherheitsbehörden

Fireeye gilt als einer der Marktführer in der Analyse von Hackerangriffen. Die Firma war vom Betreiber des Kraftwerks mit der Aufklärung des Angriffs beauftragt worden. Das in Verdacht stehende Moskauer Institut befindet sich in Staatsbesitz und existiert seit 1894. In der Zarenzeit fing man hier an, mit Schießpulver zu experimentieren. Heutzutage habe sich das Labor unter anderem auf die Entwicklung militärischer Gerätschaften spezialisiert. Im Bericht heißt es, die Mitarbeiter des Moskauer Instituts hätten unter anderem die Aufgabe gehabt, Hackern zu ermöglichen, unbemerkt in das Netzwerk einzudringen.

Direkt nachdem der Angriff im Dezember 2017 öffentlich bekannt wurde, trafen sich Mitarbeiter des für IT-Sicherheit zuständigen Bundesamtes für Sicherheit in der Informationstechnik (BSI) über Wochen mit Unternehmen der Chemieindustrie. Denn schließlich setzen hunderte Industrieanlagen in Deutschland ähnliche Sicherheitssysteme ein. Das Vorgehen der Angreifer in Saudi-Arabien wurde im Detail analysiert. Zwei Quellen bestätigten, dass Experten der Behörde und der Unternehmen in einer extra eingerichteten Test-Umgebung zentrale Schritte des Angriffs rekonstruiert haben. Im Juni 2018 veröffentliche das BSI technische Hilfsmittel, mit denen Firmen solche Angriffe frühzeitig erkennen können.

Auf Nachfrage teilte ein Sprecher der Behörde mit, dass man Angriffe auf Sicherheitssysteme sehr ernst nehme, Attacken wie die in Saudi-Arabien seien "als sehr kritisch zu betrachten". Seit Ende 2017 habe man "bereits zwei Warnungen an den Kreis möglicher Betroffener herausgegeben". In deutschen Sicherheitsbehörden löste die Fireeye-Analyse enorme Aufregung aus. Das BSI bestätigt, das Thema in das Nationale Cyber-Abwehrzentrum "eingebracht" zu haben, wo es behördenübergreifend analysiert und bewertet werde. Das Bundesamt für Verfassungsschutz sitzt ebenfalls in diesem Abwehrzentrum und teilte auf Anfrage mit, dass der Angriff der Behörde bekannt sei. Man wolle aber nicht über Details sprechen.

Wer die Systeme kontrolliert, kann sie manipulieren

Kaum waren die Hacker in den Netzen, versuchten sie, die Kontrolle über diejenigen Systeme zu erlangen, die die Sicherheit in so einem Gas-Kraftwerk aufrecht erhalten sollen. Kommt es zum Beispiel zum Überdruck, kann der entsprechende Teil einer Anlage sicher heruntergefahren werden. Wer diese Systeme kontrolliert, kann Teile der Anlage manipulieren - und damit unter Umständen eine Explosion herbeiführen.

Aus diesem Grund sagt Robert Lee, man müsse die Hacker "sehr ernst" nehmen solle. Lee ist Chef der IT-Sicherheitsfirma Dragos, die sich vor allem um den Schutz kritischer Infrastruktur kümmert, zum Beispiel von Kraftwerken. Auch Dragos hat den Angriff analysiert, und Lee sagt in einem Interview per Chat: Die Hacker "repräsentieren die schlimmste Sorte von Angreifern, da sie beim Angriff in Saudi Arabien mit voller Absicht Menschenleben in Gefahr gebracht haben". Dragos spricht von der "mit Abstand gefährlichsten Gruppe, die öffentlich bekannt ist".

Der Angriff schlug fehl, bis heute ist unklar, warum

Der Angriff in Saudi-Arabien schlug fehl. Bis heute ist unklar, an welchem Punkt den Hackern ein Fehler unterlief. Teile der Anlage schalteten sich ab, so wurden die Betreiber auf den Angriff aufmerksam. Der Energie-Konzern Saudi Aramco, der einem Bericht des Tech-Portals Cyberscoop zufolge mit der Fabrik in Geschäftsbeziehung stehen soll, lehnte eine Stellungnahme zu dem Vorfall ab und teilte lediglich mit, firmeneigene Infrastruktur sei nicht betroffen gewesen.

"Wir reden hier von einem Angriff, der sich technisch auf dem Level von Stuxnet befindet", sagt ein IT-Sicherheitsexperte, der namentlich nicht zitiert werden will. Der Stuxnet-Angriff ist legendär. Vor einem Jahrzehnt sabotierten amerikanische und israelische Hacker in einer gemeinsamen Aktion das iranische Atomprogramm. Über den aktuellen Fall in Saudi-Arabien sagt der Experte: Erstens stecke auch hinter Triton sehr wahrscheinlich ein Staat. Zweitens sei es kein Angriff, der wahllos gegen beliebige Kraftwerke eingesetzt werden könne. Dazu sei die Schadsoftware zu passgenau auf eine Anlage und vor allem ein Gerät eines Herstellers zugeschnitten. Auch der BSI-Sprecher betont, der Angriff funktioniere "nur unter eng definierten Rahmenbedingungen, die nur mit großem Aufwand auf andere Anlagen oder Hersteller übertragen werden können."

Außerordentlich präzische Zuschreibung

In seinem Bericht trifft Fireeye eine außerordentlich präzise Zuschreibung, wer in den Angriff involviert gewesen sein soll. Normalerweise werden solche Hackerangriffe Staaten zugewiesen, deutlich seltener einzelnen Nachrichtendiensten. Fireeye habe das Institut und vor allem einen Mitarbeiter aufgrund einer Vielzahl von Indizien enttarnen können. Einige davon werden im Bericht beschrieben.

Zum Beispiel habe man eine Datei gefunden, in der ein sogenannter PDB-Pfad enthalten gewesen sei. Wenn Programmierer ihren Code testen wollen, sucht der Rechner zusätzliche Informationen über diesen Pfad. Er kann auch den Namen enthalten, unter dem eine Person auf dem Rechner angemeldet ist. Nach Angaben von Fireeye handelt es sich dabei um einen Spitznamen, der mit einem russischen Hacker in Verbindung gebracht wird. Dieser stehe in Verbindung zum Moskauer Institut - auf seinem Profil in einem sozialen Netzwerk finden sich zusätzliche Fotos des Hacker, die in unmittelbarer Nähe zum Institut geschossen wurden. Den Spitznamen nennen die Forscher von Fireeye nicht.

Schwer zu überprüfen

Für Außenstehende ist der Bericht deshalb schwer zu überprüfen. SZ, NDR und WDR haben mit insgesamt sieben Fachleuten über den Bericht gesprochen. Alle wollen anonym bleiben und alle merken an, dass er unvollständig sei. Ein IT-Sicherheitsforscher sagt: . "Dadurch, dass sie den Nutzernamen nicht nennen, nehmen sie uns die Möglichkeit, die Argumentation zu prüfen."

Ein Grund dafür, den Namen zu verheimlichen, könnte sein, dass der Bericht sich an zahlende Kunden richtet, merkt ein weiterer Forscher an. "Diese Kundenberichte sind selten auf Hochglanz poliert wie jene, die für die Öffentlichkeit geschrieben werden." Der PDB-Pfad mit dem Nutzernamen sei ein "verdammt guter Hinweis". Keiner der Experten zweifelte an, dass das beschriebene Szenario grundsätzlich plausibel sei. Auf Nachfrage teilt ein Sprecher von Fireeye mit, dass man keine Personen identifizieren wollte.

Hackerangriffe zuzuordnen gilt als äußerst schwierig. Fireeye schreibt, dass sich eine der verwendeten IP-Adressen dem russischen Militär-Institut zuordnen lasse. Betrachtet man IP-Adresse und den PDB-Pfad gemeinsam, wirken die Indizien stimmig. Allerdings kann es ebenfalls sein, dass die IP-Adresse von unbekannten Dritten verwendet wurde, um von der Infrastruktur des Instituts aus den Angriff auszuführen, quasi unter falscher Flagge. Das Institut selbst wäre also unwissend - und nur rein technisch - an dem Angriff beteiligt.

Gerade weil die Schadsoftware als technisch herausragend gilt, wirkt es für Experten umso merkwürdiger, dass während der Vorbereitung des Angriffs so ein Fehler gemacht worden sein soll. Denn einen Angriff von der eigenen Infrastruktur aus zu starten, gilt als dilettantisch. Ein Sprecher von Fireeye sagt: "Auch bei solchen Angriffen passieren mitunter banale Fehler."

Für derart dilettantisches Vorgehen gibt es Beispiele: Der kanadische Geheimdienst schrieb über digitale Werkzeuge russischer Hacker einmal, dass sie von Genies entwickelt werden, aber von Trotteln eingesetzt. Auf Nachfrage äußerte sich das Institut nicht.

Zur SZ-Startseite
An analyst looks at code in the malware lab of a cyber security defense lab at the Idaho National Laboratory

IT-Sicherheit
:Na, wer hat hier gehackt?

Hacker zu enttarnen, ist schwierig, aber möglich. Vor einem Richter würden die Indizien der IT-Sicherheitsforscher aber oft nicht standhalten.

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: