Nach Cyberangriff auf Ukraine Sorge um Deutschlands IT-Sicherheit
Die Ukraine hat erneut einen gezielten Cyber-Angriff gegen die Energieversorgung des Landes abwehren können. Der Vorfall führt dennoch zu wachsender Sorge um die kritische Infrastruktur auch in Deutschland.
Während sich die Ostukraine auf eine russische Offensive vorbereitet, konnte die ukrainische Cyberverteidigung (CERT-UA) nach eigenen Angaben mit Hilfe von Spezialisten von Microsoft und dem IT-Security Unternehmen ESET einen erneuten gezielten Angriff auf die Stromversorgung des Landes gerade noch abwehren.
Wie am Dienstag bekannt wurde, waren bei dem jüngsten Angriff Umspannwerke, also die Energieversorgung des Landes, das Ziel der Angriffe. CERT-UA erklärte dazu: "Die Abschaltung von Umspannwerken und die Stilllegung der Infrastruktur des Unternehmens waren für Freitagabend, den 8. April 2022, geplant."
Hybride Kriegsführung
An der Abwehr des Angriffs maßgeblich beteiligt waren Experten des IT-Sicherheitsunternehmen ESET, das bereits seit Ende 2013 ausgefeilte Cyber-Angriffe gegen wichtige Ziele in der Ukraine beobachtet und analysiert. Die Experten des in Bratislava ansässigen Unternehmens haben dokumentiert, wie von Beginn an die russische Invasion von Cyber-Angriffen begleitet wurde.
So beschreibt der leitende Cyber-Threat-Experte von ESET, Robert Lipovsky, in einer Analyse, die dem SWR vorliegt, wie bereits Angriffe zwischen dem 13. und 14. Januar mit einer bis dahin unbekannten Schadsoftware hunderte Systeme von mindestens fünf ukrainischen Organisationen befallen haben und dann die Festplatten unwiederbringlich zerstörten.
Neue Variante eines bekannten Schadprogramms
Auch bei dem aktuellen Angriff handele es sich um eine neue Schadsoftware, die in der Ukraine weltweit zum ersten Mal nachgewiesen worden sei. Im Interview mit dem SWR erklärt Thorsten Urbanski, Sicherheitsexperte bei ESET, es gehe um eine neue Variante der so genannten Industroyer-Malware, die Experten nun als Industroyer2 bezeichnen.
Industroyer ist ein Schadprogramm, das bereits 2016 eingesetzt wurde, um die Stromversorgung in der Ukraine zu unterbrechen. Hinter dem Angriff stehe die sogenannte Sandworm-Gruppe, die für ausgeklügelte Angriffe - sogenannte "Advanced Persistent Threat" (Fortgeschrittene andauernde Bedrohung, ATP) - verantwortlich ist. Nach Erkenntnissen amerikanischer Ermittlungsbehörden aus dem Jahr 2020 handelt es sich bei dieser ATP Gruppe um die Militäreinheit 74455 der Hauptverwaltung für Aufklärung (GRU) des russischen Militärnachrichtendienstes.
Angriff auf industrielle Steuerungen
Die jüngsten Angriffe gegen die Stromversorgung der Ukraine beobachten IT-Experten und Vertreter der kritischen Infrastruktur mit großer Sorge - auch und gerade mit Blick auf Deutschland.
"Die Gefahr für Energieversorger und Betreiber kritischer Infrastrukturen erhöht sich durch Industroyer2 massiv", warnt Hans-Wilhelm Dünn, Präsident des Cyber-Sicherheitsrat Deutschland e.V., in einer Stellungnahme gegenüber dem SWR. "In der Ukraine ist es gelungen den Angriff abzuwehren, jedoch haben wir in der Vergangenheit erlebt, dass Systeme nach einem Angriff nicht mehr steuerbar waren. Das kann zum Ausfall der Stromversorgung oder zur Beschädigung von Infrastruktur führen."
Im Cyber-Sicherheitsrat Deutschland haben sich namhafte Unternehmen, Behörden und politische Entscheidungsträger zusammengeschlossen. "Die Beschaffenheit der Energieversorgung in Deutschland mit großen Konzernen sowie kleinen und mittleren Versorgern begünstigt die Angreifer", erklärt Dünn weiter. "Je kleiner die Einheiten sind, desto einfach ist für Hacker das Kompromittieren der Systeme, da geringere Kapazitäten für Schutzmaßnahmen vorhanden sind."
Deutsche Technik womöglich anfällig
Hintergrund ist, dass die Industroyer-Schadsoftware-Familie sich dadurch auszeichnet, dass sie die Kontrolle über die industriellen Steuerungen der verschiedenen Hardware-Komponenten, etwa so genannte SCADA Steuerungen, gezielt übernimmt. "Die Technologie, die dort zum Einsatz kommt, ist vergleichbar mit den Steuerungen in Deutschland. Darum sind Schadprogramme, die dort zum Einsatz kommen, um den Energiesektor anzugreifen, grundsätzlich auch hier einsetzbar," erklärt ESET-Experte Thorsten Urbanski.
Auch Hans-Wilhelm Dünn vom Cybersicherheitsrat geht davon aus, dass vergleichbare Angriffe durch Industroyer2 in Deutschland bereits vorbereitet wurden. "Ich gehe davon aus, dass auch in deutschen SCADA-Systemen feindselige Hacker eingedrungen sind und dort auf den passenden Augenblick zum Angriff warten." Dünn fordert darum: "Kurzfristig müssen alle Systeme auf die entsprechende Schadsoftware geprüft werden. Zudem müssen Notfallkonzepte für den Ausfall von Systemen erprobt werden."
Langfristig brauche es einen firmen- und branchenübergreifenden Austausch sicherheitsrelevanter Informationen, um Schwachstellen und Malware frühzeitig zu erkennen und abzuwehren. Zudem müsse sich die Relevanz von Cybersicherheit auch im Budget für IT-Schutzmaßnahmen widerspiegeln. Dabei seien auch die Bundesregierung und die Bundeswehr gefragt.
BSI hält Angriffe für unwahrscheinlich
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt die Bedrohung durch die neue Schadsoftware Industroyer2 etwas anders ein. Dem SWR teilte die Behörde auf Anfrage mit, eine einfache Übertragung oder Wiederverwendung bei deutschen Energieversorgern sei "unwahrscheinlich”. Das IT-Sicherheitsniveau im Energiesektor sei hoch, bisher hätten die Betreiber kritischer Infrastrukturen angemessen auf Angriffe reagiert.
Dennoch habe man diese über den Vorfall in der Ukraine "gezielt” informiert. Allgemein erkenne man eine "erhöhte Bedrohungslage für Deutschland”.