Code-Angriffe auf Kraftwerke
Von Dirk Bongardt
In seinem Thriller „Blackout“ skizziert der Autor Marc Elsberg einen erst europa-, dann weltweiten Stromausfall, in dessen Folge die globalen Infrastrukturen zu kollabieren drohen. Auch wenn dieses literarische Szenario überzogen scheint – die Folgen großflächiger und über mehr als ein paar Stunden andauernder Stromausfälle wären dramatisch: Die Kommunikationsnetze brächen zusammen, Krankenhäuser könnten ihre Patienten nicht mehr versorgen, Millionen von Tieren in Mastbetrieben bekämen kein Futter mehr, würden auch nicht mehr gemolken – und bald wäre auch an der Spitze der Nahrungskette der Nachschub knapp. Der Begriff „kritische Infrastruktur“ kommt nicht von ungefähr.
BlackEnergy gegen Umspannwerke
Dass Cyberangriffe auf lebenswichtige Systeme kein Science-Fiction-Szenario sind, bekamen Bürger der Ukraine bereits im Dezember 2015 zu spüren. Damals hatten Hacker einen umfangreichen Angriff auf die dortige Stromversorgung verübt. Dabei waren die IT-Systeme mehrerer Umspannwerke mit einer Schadsoftware namens BlackEnergy infiziert und abgeschaltet worden. Mehr als 200.000 Menschen waren rund sechs Stunden ohne Strom. Europäische Sicherheitsbehörden machen die Gruppe Sandworm für die Attacke verantwortlich, die sich dem russischen Geheimdienst GRU zurechnen lässt.
Seit kurz vor Beginn des Krieges 2022 häufen sich Cyberangriffe auf die digitale Infrastruktur der Ukraine. Betroffen davon sind etwa die Satellitenkommunikation, das Bankwesen und Websites der ukrainischen Ministerien.
Fahndungsaufruf des FBI: Bereits seit Oktober 2020 läuft eine Anklage gegen sechs Offiziere des russischen Militärnachrichtendienstes GRU, u.a. wegen Angriffen auf kritische Infrastrukturen in der Ukraine. Erfolgreich war bei der Feststellung der Identitäten einmal mehr die Open-Source-Intelligence-Plattform Bellingcat. (Bild: FBI)
EU-Infrastruktur im Visier
Aber auch jenseits der Ukraine registrieren Sicherheitsexperten vermehrt Cyberangriffe. Dass es in Österreich und anderen EU-Ländern dabei bisher kaum zu sichtbaren Schäden gekommen ist, könnte auch daran liegen, dass das – vorerst – gar nicht in der Absicht der Angreifer liegt.
So war etwa der Energieversorger E.ON nach Recherchen von BR und WDR Ziel einer Spear-Phishing-Attacke geworden. Die Angreifer hatten dazu ein 35-seitiges Dokument vorbereitet, das von einem Beratungsunternehmen zu stammen schien. Sobald das Dokument bei E.ON geöffnet wurde, versuchte eine eingebettete Schadroutine, die Anmeldedaten des Users an einen Server unter der Kontrolle der Angreifer zu schicken.
Erst ThyssenKrupp und E.ON, dann der Kupferkonzern Aurubis: In der Nacht auf den 28. Oktober 2022 wurden dessen IT-Systeme angegriffen. Die Produktionsanlagen konnten weiterlaufen. Über den Hintergrund der Attacke lagen zu Redaktionsschluss noch keine Informationen vor.
Sicherheitsexperten befürchten, dass sich Hacker in staatlichem Auftrag zunächst dauerhaft in den Netzen kritischer Infrastruktur festsetzen könnten, um später ohne langen Vorlauf zerstörerische Angriffe vorzunehmen. „Später“ muss allerdings nicht in ganz ferner Zukunft liegen: Je länger sich der Krieg in der Ukraine hinzieht, desto größer werden die Risiken für Angriffe in EU-Staaten, davon sind viele Sicherheitsexperten überzeugt.
Kooperative Kriminelle
Natürlich haben nicht alle Cyberattacken – sei es auf kritische Infrastruktur wie die von Kraftwerksbetreibern oder auf Industrie und Mittelstand allgemein – etwas mit Russland oder dem Krieg in der Ukraine zu tun. Cyberkriminelle greifen Unternehmen ganz unabhängig von der politischen Lage an, um Betriebsgeheimnisse oder Kundendaten auszuspähen, glaubhafte Drohkulissen für Schutzgelderpressungen aufzubauen oder Finanzflüsse in die eigenen Kassen umzuleiten. In den letzten Jahren hat allerdings der Organisationsgrad dieser Kriminellen spürbar zugenommen. Das wiederum liegt daran, dass einigen Staaten weniger daran gelegen ist, die kriminellen Strukturen zu zerschlagen, als daran, sie unter staatliche Aufsicht zu stellen und gegen – aus ihrer eigenen Sicht – legitime Ziele in Stellung zu bringen.
Einige kriminelle Organisationen haben mit Beginn der Invasion Russlands offen ihre Unterstützung zugesagt, darunter die Gruppe Wizard Spider, die sich unter anderem mit einer Ransomware-Attacke auf die irische Gesundheitsbehörde im Mai 2021 einen Namen machen konnte. Ihr Aushängeschild in der Cybercrime-Szene ist die modulare Schadsoftware Trickbot, deren Name zum Synonym für Wizard Spider geworden ist.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Heise-Beilagenreihe „IT-Unternehmen in Österreich stellen sich vor“. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Aus Fehlern lernen
Die große Zahl entdeckter Cyberangriffe der vergangenen Jahre ist einerseits ein Alarmsignal, andererseits aber auch eine Chance. Erfolgreiche Angriffe decken immer auch eine oder mehrere Schwachstellen auf: Fehlkonfigurationen, nicht gepatchte Software, längst überholte Authentifizierungsmethoden etc. Lässt sich ein erfolgreicher Angriff rekonstruieren, lässt sich meist auch sicherstellen, dass Angreifer an dieser Stelle keine zweite Chance erhalten.
Allerdings erweist sich das Patchen frisch bekannt gewordener Sicherheitslücken oft als zeitaufwendiger als das Entwickeln von Exploits. Auch das musste die ukrainische Regierung sogar noch vor Beginn der eigentlichen Kriegshandlungen erfahren: Cyberkriminelle attackierten die Ukraine aus der Lieferkette heraus, über eine IT-Firma, die einen Teil der Website der Regierung verwaltet. Die war – wie Unternehmen im ganzen Rest der Welt auch – von der Log4j-Sicherheitslücke betroffen, die erst wenige Wochen zuvor entdeckt worden war. Und genau auf diese Lücke zielten die Angreifer. Solche Zero-Day-Attacken sind kaum zu verhindern. Wie groß die dabei verursachten Schäden sind, variiert allerdings stark, je nachdem, wie schnell den Verantwortlichen auffällt, dass ihre Systeme angegriffen werden. Werden die Systeme rechtzeitig vom Netz getrennt, lassen sich Datendiebstahl, -manipulation oder -zerstörung oft verhindern.
Erfolgreich abwehren konnten die IT-Verantwortlichen des Hafens von Houston (Texas) in den USA eine Cyberattacke im August 2021. Die Angreifer nutzten dabei eine bis dahin unbekannte Lücke in einem Passwortmanager aus, um sich Zugang zu den Systemen des Hafens zu verschaffen. Dabei fielen ungewöhnliche Aktivitäten im angegriffenen Netzwerk auf, worauf das Sicherheitsteam des Hafens das betroffene System abschaltete. Von einem kurzen Arbeitsausfall in einem kleinen Teilbereich abgesehen, blieb der Angriff deshalb ohne Folgen.
Angriffe präventiv erkennen
Um Schäden zu verhindern oder zu minimieren, setzen Organisationen neben dem schnellen Schließen von Sicherheitslücken auf Systeme, die es ihnen erlauben, Angriffe frühzeitig zu erkennen. Moderne Angriffserkennungssysteme analysieren einerseits den Datenverkehr von und zu dem zu schützenden System, um verdächtige Datenflüsse zu identifizieren. Zum anderen setzen sie auf die Überwachung direkt auf dem Host, wo sie durch Monitoring von Log-Dateien, Kernel und anderen Systemdaten ungewöhnliche Aktivitäten erkennen.
In der Praxis sind das Monitoring und die Analyse zwei in Echtzeit aufeinander folgende Schritte: Die vom Monitoring-System gesammelten Daten wertet der Analyzer in Echtzeit aus. Stößt er dabei auf ein bereits bekanntes Angriffsmuster, kann er vordefinierte Gegenmaßnahmen ergreifen. Legt der Datenverkehr, der von einer IP-Adresse stammt, eine Brute-Force-Attacke nahe, könnte bis auf Weiteres jeder Datenverkehr von und zu dieser IP-Adresse unterbunden werden.
Neben dem Entdecken bekannter Angriffsmuster achten Analyzer auch auf Abweichungen vom Normalzustand. Eine ungewöhnlich hohe CPU-Auslastung etwa oder eine vom Normalzustand abweichende Abfolge von Systemereignissen ist an sich kein Beleg für einen Cyberangriff, aber eine häufige Begleiterscheinung. In einem solchen Fall alarmiert der Analyzer das Sicherheitsteam, dessen Mitglieder sich einen Überblick über die Vorgänge im System verschaffen und geeignete Maßnahmen einleiten. Tatsächlich gilt bereits als Binsenweisheit, dass ohne derartige, mitunter KI-gestützte Analysen und die entsprechend automatisierten Maßnahmen eine Gefahrenabwehr allein durch Personal kaum mehr möglich wäre.
VDP und Bug Bounty
Sowohl das britische als auch das US-Verteidigungsministerium sind schon einen Weg gegangen, den andere Organisationen oft noch scheuen: Sie haben dazu aufgerufen, ihre Systeme zu hacken. Bug Bounty nennen sich solche Programme, bei denen die Organisationen Prämien für Sicherheitslücken ausloben, die von Dritten in den eigenen Systemen entdeckt werden. Die Logik ähnelt letztlich der von Penetrationstests: Hacker, denen es gelingt, einzudringen, werden für ihre Mühe entlohnt. Einerseits schaffen Regierungen, Organisationen und Unternehmen damit natürlich weitere Anreize, nach Lücken in ihren Systemen zu suchen, andererseits erfahren sie, anders als von den ohnehin aktiven Cyberkriminellen, als Erste, wo sich diese Lücken befinden.
Ein mit Bug Bountys verwandter Ansatz ist das Einrichten einer VDP (Vulnerability Disclosure Policy). Damit definieren Organisationen einen eindeutigen Kommunikationskanal für die Schwachstellenmeldung. Ethische Hacker haben damit eine Möglichkeit, über entdeckte Lücken zu informieren, ohne Nachteile befürchten zu müssen. Immerhin räumt jemand, der eine Organisation über gefundene Schwachstellen in Kenntnis setzt, damit oft implizit ein, dass er in deren Systeme eingedrungen ist.
Früherkennung ist entscheidend
Droht Europa nun der Blackout? Wie stabil die kritische Infrastruktur auf Cyberattacken reagiert, wird sich wohl erst im Ernstfall zeigen. Dass es zu einem Szenario wie dem in Marc Elsbergs Roman „Blackout“ kommt, ist sehr unwahrscheinlich, auch wenn Kriminelle, mit und ohne staatlichen Auftrag, in der Vergangenheit einige Male Erfolge bei Attacken auf Organisationen der kritischen Infrastruktur verzeichnen konnten.
Mit dem Angriff Russlands auf die Ukraine hat sich die Bedrohungslage in Europa definitiv verschärft. „Die Bedrohung im Cyber-Raum ist […] so hoch wie nie“, warnt das BSI. Entsprechend sieht auch Bundesinnenministerin Nancy Faeser eine „seit dem russischen Angriffskrieg auf die Ukraine anhaltend erhöhte Cyber-Bedrohungslage“. Mit VDPs, Bug-Bounty-Programmen, Systemen zur Angriffserkennung und weiteren Sicherheitsmaßnahmen halten die Organisationen dagegen. Damit die Lichter anbleiben.
Dirk Bongardt hat vor Beginn seiner journalistischen Laufbahn zehn Jahre Erfahrung in verschiedenen Funktionen in Vertriebsabteilungen industrieller und mittelständischer Unternehmen gesammelt. Seit 2000 arbeitet er als freier Autor. Sein thematischer Schwerpunkt liegt auf praxisnahen Informationen rund um Gegenwarts- und Zukunftstechnologien, vorwiegend in den Bereichen Mobile und IT.
Dirk Bongardt, Tel.: 05262-6400216, mail@dirk-bongardt.de, netknowhow.de