Cyberkrieg in Europa

Energiewirtschaft im Visier

Die durch "Norton Antivirus" bekannte Softwarefirma Symantec warnt vor Cyber-Angriffen auf Energie-Firmen Westeuropas (76% der Infektionen) und den USA (24% der Infektionen). Eine "Dragonfly" genannte Gruppierung geht mit großem Ressourceneinsatz strategisch vor. Sie kombiniert das Ausspähen von Unternehmensmitarbeitern durch kompromittierte PDF-Anhänge in eMails mit dem Einsatz von Trojaner-Software.

Die entdeckten Angriffe zielen offenbar darauf ab, Zugriff auf speicherprogrammierbare Steuerungen (SPS) von Maschinen zu bekommen, und dies inbesondere im Energiebereich. So benennt Symantec drei attackierte Firmen, denen in ihre Downloads auf ihrer Webseite Trojaner untergejubelt wurden. Alle drei sind Zulieferer von Industrieequipment. Die Downloads von deren Webseite transportierten die Trojaner also direkt zu den Nutzern dieses Industrieequipments:

• Ein Trojaner-System wurde einem Hersteller von Software untergeschoben, die VPN-Verbindungen zu SPS-Systemen herstellt. 250 Downloads dieser infizierten Spezialsoftware landeten also in Bereichen, bei denen sie Zugriff auf die (Fern-)Steuerung dieser Systeme haben.
• Über 6 Wochen im Sommer 2013 landeten kompromittierte Treiber für Geräte eines europäischen SPS-Zulieferers bei seinen Website-Besuchern.
• Die dritte Firma liefert Software zur Steuerung von Windturbinen, Biogasanlagen und anderer Energieinfrastruktur. Kompromittierte Software wurde voraussichtlich für 10 Tage im April 2014 angeboten.

Um diese Strategie umzusetzen, mussten die Angreifer also auch schreibenden Zugang zu den Webseiten der Firmen erlangen. Dafür nutzten sie offenbar die Tatsache aus, dass sich kleinere Firmen am Markt schlechter schützen, aber durch die Weiterverwendung ihrer Produkte trotzdem Zugang zu den strategisch wichtigen großen Organisationen haben.

Aufgrund der zielgerichteten und gut vorbereiteten Angriffe glaubt Symantec an staatliche Unterstützung für diese Angreifer. Sofern die Angreifer tagsüber gearbeitet haben, sind sie in Osteuropa beheimatet, denn die Hauptangriffe geschahen zu Zeiten, in denen in Osteuropa das Alltagsgeschäft brummt.

Symantec stellt die Angriffe in eine Reihe mit Stuxnet. Dem Trojaner dieses Namens wird die Torpedierung des iranischen Atomprogramms 2010 zugeschrieben. Offenbar gelang es den Programmierern von "Stuxnet", dieses in iranische Urananreicherungsanlagen einzuspeisen, um durch Manipulation der Geschwindigkeit der Zentrifugen und der Drucksteuerung (beides gesteuert durch Siemens-SPS-Controller) die Urananreicherung nahezu unbemerkt zu stören. Im Ergebnis wurde das iranische Atomprogramm stark verzögert, wenn nicht sogar untergebrochen. Stuxnet wird einer US-amerikanisch-israelischen Zusammenarbeit zugeschrieben. Addiert man dazu die NSA-Affäre wird deutlich, dass ein globaler Cyberkrieg im Gange ist, der stark von staatlichen Stellen getragen wird.

Die neuen Trojaner-Angriffe von "Dragonfly" zeigen, dass das Spielfeld des Cyber-Terrorismus immer intensiver genutzt wird und zunehmend die Kritische Infrastruktur (KRITIS), insbesondere den Energiebereich, betrifft. Der starke Einsatz von Computersystemen in der Energieversorgungsbranche und bei Maschinenbauern macht diese Entwicklung möglich.

Das gesellschaftliche Risiko besteht darin, dass die Energieversorgung getroffen wird und es zu Stromausfällen oder verzögerten Lieferungen von Öl und Gas kommt. Letztlich waren von den Dragonfly-Operationen Stromnetzbetreiber, große Energieerzeugerfirmen, Ölpipelinebetreiber und Maschinenzulieferer der Energiebranche betroffen. Dragonfly hat sich laut Symantec gezielt an strategisch wichtige Organisationen abgearbeitet und wären die Schadroutinen, die den Angreifern zur Verfügung standen, genutzt worden, hätte dies zur Beschädigung oder Unterbrechung der Energieversorgung in den betreffenden Ländern geführt.

2012 war der saudi-arabische Ölkonzern Saudi Aramco von einem Angriff betroffen, bei dem 30.000 Business-Computern die Festplatte gelöscht wurde und Bohr- und Förderdaten verlorengingen. Die damals eingesetzte Schadsoftware bekam den Namen "Shamoon". Die Öl-Industrie genau wie Saudi Aramco ließen später verlauten, dass man mit weiteren Cyber-Angriffen rechne (Saudi Aramco und die Ölbranche erwarten weitere Cyber-Angriffe). Der Dragonfly-Fall bestätigt die damaligen Erwartungen. Der weiterhin unaufgeklärte Shamoon-Angriff war im März 2014 Grund für eine Anfrage an die Bundesregierung. Der Bundesregierung antwortete, dass ihr "keine eigenen Erkenntnisse" über den Shamoon-Angriff noch über Cyber-Angriffe auf Energieinfrastrukturen in Deutschland vorliegen (Bundesministerium für Wirtschaft ohne Energie). Ein zentrales Register, in dem solche Angriffe auf Seiten der Behörden dokumentiert werden, um ihnen gezielt vorsorgend nachzugehen, wird bislang offenbar nicht gepflegt. Angesichts der politischen Verantwortung für eine stabile Energieversorgung wird der neuste Fall hoffentlich zu mehr Interesse in den deutschen Ministerien führen. Und natürlich bei den Energieversorgungsunternehmen.

Die österreichische Initiative "Plötzlich Blackout!" konnte inzwischen einige Unterstützer gewinnen, die möglichen europaweiten Stromausfällen vorbeugen wollen, sowie diverse Initiativen lancieren. So findet am 4. September in Zusammenarbeit mit dem österreichischen Bundeskanzleramt ein Workshop "Mein Unternehmen auf ein Strom-Blackout vorbereiten" statt (siehe auch: Blackout - Eine gesamtgesellschaftliche Herausforderung).

Eine deutsche Organisation mit ähnlichem Erfolg ist bislang nicht zu sehen. Der Schweizer Armeechef André Blattmann hat ein Operationskonzept "Blackout" initiiert und sieht im Interview mit der "Schweiz am Sonntag" einen möglichen Stromausfall als Einsatzfall für die Schweizer Armee. Allerdings ist weder die Schweiz noch Österreich als Angriffsziel von Dragonfly aufgeführt, dafür Deutschland mit 7% der bekannten Infektionen, Spanien mit 27%.