Die Nachricht verbreitete sich vor wenigen Tagen wie ein Lauffeuer: Ukrainische Umspannwerke wurden von Hackern angegriffen. Wie sich schnell herausstellte, zeichnete sich die berüchtigte Sandworm-Gruppe dafür verantwortlich. Sie setzte eine Malware namens Industroyer2 ein, um den Betrieb eines Energieversorgers im Land lahmzulegen. ESET-Forscher und die Experten des ukrainischen Computer Emergency Response Team (CERT) jedoch konnten in enger Zusammenarbeit das Netzwerk des Unternehmens erfolgreich schützen.
Bei Industroyer2 handelt es sich um eine neue Variante des Schadprogramms Industroyer. Dieses hatte bereits im Dezember 2016 die Stromversorgung in der Ukraine unterbrochen und in Teilen von Kiew das Licht ausgehen lassen. Bereits ein Jahr zuvor (Dezember 2015) unterbrachen Angreifer mithilfe der BlackEnergy-Malware die Stromversorgung in der ukrainischen Region Iwano-Frankiwsk. Hunderttausende von Menschen mussten für mehrere Stunden ohne Strom ausharren.
Die Vorfälle sorgten für ein böses Erwachen bei all jenen, die solche Ereignisse eher als Science-Fiction ansahen. Und doch war es nicht das erste Mal, dass eine Schadsoftware für eine Kritische Infrastruktur zur Bedrohung wurde.
Bereits im Juni 2010 war eine Anlage zur Anreicherung von Kernbrennstoff im iranischen Natanz Ziel eines Überfalls. Damals sorgte der Trojaner Stuxnet für die Zerstörung zahlreicher Zentrifugen und reduzierte so die iranische Kapazität zur Herstellung von angereichertem Uran. Heute gilt dieser Schädling als die erste dokumentierte Malware, die auf industrielle Systeme abzielte und hinter dem ersten digitalen Überfall auf moderne Kritische Infrastrukturen steckte.
KRITIS zu Zeiten Napoleons
Man mag es kaum glauben: Angriffe auf KRITIS geschahen schon vor über 200 Jahren, also weit bevor der erste Computer überhaupt entwickelt wurde.
Ende des 18. Jahrhunderts baute der französische Kaiser Napoleon Bonaparte ein Kommunikationsnetz auf. Damit wollte er seiner Armee ein schnelles und zuverlässiges System für die Übermittlung geheimer Informationen zur Verfügung stellen. Das optische Telegrafensystem, das auf den Namen „Semaphor“ getauft wurde, war eine Erfindung des französischen Ingenieurs Claude Chappe. Es ermöglichte eine verschlüsselte optische Kommunikation, die sich nur mithilfe eines geheimen Codebuchs entziffern ließ, das ausgewählte Offiziere auf den Übermittlungstürmen besaßen.
Das System beruhte auf einem Netz von Türmen, die in einem Abstand von 16 Kilometern auf hohen Hügeln errichtet wurden. Auf der Spitze jedes Turms befanden sich jeweils zwei mechanische Holzarme. Sie bewegten sich wie die Arme einer Marionette und wurden von einem mit einem Teleskop ausgestatteten Offizier gesteuert. Die durch die Position der Arme verschlüsselte Nachricht wurde von Turm zu Turm weitergegeben, bis sie ihr Ziel erreichte.
Auf diese Weise war es der französischen Regierung möglich, eine Nachricht über weite Entfernungen mit einer Geschwindigkeit zu übermitteln, die weit über der eines reitenden Boten lag. Wenn der letzte Turm erreicht war, übersetzte ein Offizier die Symbole mithilfe des Codebuchs ins Französische.
Für die damalige Zeit war das eine echte Innovation, denn damit verfügte Napoleons Armee über eine geheime und zudem exklusive Kommunikationslinie. Zumindest dachte man das. Bereits einige Jahre später wurde dieses erste Fernkommunikationsnetz jedoch zu einem der ersten Kritischen Infrastruktursysteme, das gehackt wurde. Denn im Jahr 1834 verübten François und Joseph Blanc das, was heute oft als der erste Kabelbetrug oder sogar als der erste Cyberangriff bezeichnet wird.
Börseninformationen durch „Datenmissbrauch“
Die Brüder Blanc handelten mit Staatsanleihen an der Börse von Bordeaux, die den Pariser Aktienmarkt als Indikator für das Auf und Ab ihrer Kurse nutzte. Da diese wichtigen Informationen jedoch per Pferd transportiert wurden, brauchten sie bis zu fünf Tage, um den Südwesten Frankreichs zu erreichen. Deshalb überlegten sich die beiden Brüder, wie sie vor allen anderen erfahren könnten, was an der Pariser Börse vor sich ging.
Das Semaphor bot die perfekte Lösung, und der Trick war einfach: Eine Routine-Nachricht mit einem speziellen, von den Blancs kreierten Symbol wurde von einem Komplizen im Pariser Turm weitergeleitet, bis sie die Brüder erreichte. Dieser winzige Code sollte als unschuldiger Fehler erscheinen. Wie im Semaphor-Protokoll festgelegt, sollten solche Fehler ausschließlich von den Turmverwaltern, die in einigen wenigen Posten in den großen Städten stationiert waren, überprüft und beseitigt werden. Auch der Turm in Tours, das sich auf dem Weg nach Bordeaux befindet, hatte einen solchen Verwalter. François und Joseph bestachen ihn, damit er ihr Signal nicht korrigierte.
Ein letzter Komplize in Bordeaux beobachtete schließlich den Turm, um die Fehler zu ermitteln und dann direkt an die Blancs weiterzuleiten. Auf diese Weise gelang es François und Joseph, lange Zeit unbemerkt an die neuesten Daten der Pariser Börse heranzukommen. Sie nutzten ein teures, von der Regierung finanziertes Netzwerk zu ihrem persönlichen Vorteil, machten große Gewinne und störten dabei die Kommunikation der französischen Armee. Innerhalb von zwei Jahren machten sie so viel Geld, dass man an ihrem Glück zu zweifeln begann. Am Ende wurde der Betrug aufgedeckt.
Die Geschichte der Cyberattacken geht weiter ...
Die Intention der Angreifer ist über die Jahrzehnte gleichgeblieben, der Modus Operandi hat sich durch die digitalen Möglichkeiten selbstverständlich stark verändert. Heutzutage ist jeder ein potenzielles Ziel von Cyberangriffen: Einzelpersonen, kleine Privatunternehmen, Konzerne, öffentliche und staatliche Organisationen. Und eben auch Kritische Infrastrukturen in immer stärkerem Maße.
Für eine Studie von Claroty aus dem Jahr 2021 wurden 1.000 IT- und OT-Sicherheitsexperten (Operation Technology) befragt, die in Kritischen Infrastrukturen in den USA, Großbritannien, Deutschland, Frankreich und Australien arbeiten. 65 Prozent zeigten sich besorgt über KRITIS-Angriffe. Neunzig Prozent von ihnen gaben an, im Jahr 2021 selbst einen solchen Cyberüberfall erlebt zu haben.
Während der Telekommunikationsbetrug der Gebrüder Blanc keine Auswirkungen auf die breite Bevölkerung hatte, waren von den Angriffen auf das Stromnetz in der Ukraine Hunderttausende Menschen betroffen. Und das Risiko von solchen direkten Auswirkungen auf uns alle steigt stetig.
Eindrucksvoll sieht man das am Beispiel Estland. Bereits im Jahr 2007 war Estland eines der am stärksten digitalisierten Länder der Welt. Die Einwohner nutzten ihre Handys zum Bezahlen von Parkplätzen, Behördendienste waren online, sogar das Wahlsystem war online, und überall gab es WLAN. Doch dann kam der Morgen des 27. April 2007: Ein Cyberangriff ließ im gesamten Land die Kommunikationsnetze der Regierung, der Banken, der Telefonanbieter, der Medien-Websites, der Geldautomaten und der Website des Parlaments sowie viele andere Online-Dienste zusammenbrechen. Innerhalb eines Wimpernschlags verwandelte sich das baltische Land von einem Online-Traumland in eine digitale Katastrophe. Alle spürten die Auswirkungen dieser Attacke, die 22 Tage lang andauern sollte.
Die Aggressoren setzten verschiedene bekannte Taktiken ein, von Ping-Floods, einer Art Denial-of-Service (DoS)-Angriff, bis hin zu manipulierten Webanfragen und Spam, die zumeist außerhalb von Estland initiiert wurden. Für eine derart umfangreiche und konstante Angriffstätigkeit gab es nur wenige Schutzmaßnahmen. Auf jeden Fall waren es weniger, als man hätte implementieren können. Eine Zäsur für das ganze Land. Sie hätte als Vorbild dienen und andere Länder auf ihre eigenen Sicherheitslücken aufmerksam machen können.
Es gab keine direkt wirksamen Abwehrmechanismen und -lösungen. Die Attacken dauerten im Wesentlichen so lange, wie die Angreifer es wollten. Da die meisten dieser Cyberangriffe aus dem Ausland verübt wurden, begannen sowohl öffentliche als auch private Organisationen damit, den gesamten ausländischen Datenverkehr auf ihren Websites zu blockieren. So wollten sie Zeit gewinnen, um die bösartigen Quellen des Datenverkehrs mithilfe von Internetdienstanbietern in aller Welt zu identifizieren und herauszufiltern.
Nicht überraschend: Die anschließenden strafrechtlichen Ermittlungen führten nur zu wenigen Ergebnissen. Denn es gab keine rechtlichen Mechanismen und so war es kaum möglich, konkrete Adressen und Personen ausfindig zu machen. Dmitri Galuškevitš, ein 20-jähriger estnischer Universitätsstudent, war der einzige Angreifer, der identifiziert wurde, da er von Estland aus agierte. Galuškevitš nutzte seinen PC, um die Website der Partei des estnischen Premierministers, der Estnischen Reformpartei, anzugreifen, und wurde zu einer Geldstrafe von 17.500 Krooni verurteilt. Das waren damals etwa 700 US-Dollar (das sind heute ca. 665 Euro).
COVID-19: Ein Wettlauf um Informationen
Nichts einte die Welt so sehr wie die Notwendigkeit, einen COVID-19-Impfstoff zu finden. Die Ansätze für diese Aufgabe unterschieden sich jedoch von Land zu Land. Viele Labors in aller Welt starteten einen Marathon, um den ersten und sichersten Impfstoff zu entwickeln. Am 23. April 2020 meldete die Weltgesundheitsorganisation (WHO), dass sich die Zahl der Cyberangriffe auf ihre Mitarbeiter verfünffacht habe. Die WHO hoffte, dass diese Meldung als Warnung für die kommenden Monate dienen würde, um so drohende Angriffe zu verhindern.
Vergeblich: Nur wenige Tage später vermeldete das National Cyber Security Centre (NCSC) des Vereinigten Königreichs, dass die Universitäten und Laboratorien des Landes, die an COVID-19 forschten, Opfer mehrerer Hackerangriffe geworden waren. Darunter befanden sich auch Attacken von anderen Ländern, die Daten zur Entwicklung von Impfstoffen sammeln wollten.
Einige Monate später, am 9. Dezember, gab die Europäische Arzneimittelagentur (EMA), bekannt, dass sie ebenfalls Opfer eines Cyberangriffs geworden war. Am selben Tag bestätigte auch das deutsche Unternehmen BioNTech, dass auf den Servern der Behörde gespeicherte Dokumente für die Zulassung seines Impfstoffs „unrechtmäßig eingesehen“ worden waren. Wie die EMA am 22. Dezember 2020 mitteilte, hatten es die Hacker auf COVID-19-Informationen abgesehen und verschafften sich deshalb über eine nicht näher benannte IT-Anwendung unbefugt Zugriff. Am 13. Januar 2021 wurde dann bekannt, welche Daten gestohlen worden waren.
Der Fall wurde vom CERT-EU zusammen mit der niederländischen Polizei untersucht. Sie verrieten jedoch nichts über die Ergebnisse ihrer Ermittlungen. Nach Angaben der niederländischen Zeitung deVolkskrant verschafften sich die Angreifer jedoch Zugang zu den Systemen der EMA. Zuvor hatten sie einen Token gestohlen, das zur Einrichtung der Multi-Faktor-Authentifizierung für neue Mitarbeiter verwendet wurde. Die Zeitung schrieb auch, dass es sich bei dem Vorfall um Spionage durch einen Nationalstaat gehandelt habe, die auf die COVID-19-Strategie der EU abzielte.
Kontrollverlust über Treibstofflieferungen
Ein anderer Fall aus den USA zeigt ebenfalls, wie verletzlich Systeme in aller Welt sind. Am 7. Mai 2021 griff eine Ransomware-Bande namens „DarkSide“ Colonial Pipeline an. Für den Überfall missbrauchten die Kriminellen mehrere Schwachstellen und kompromittierte Passwörter. Mehr benötigte die Gruppe nicht, um den Betrieb des größten Pipelinesystems für die Kraftstoffverteilung in den USA für fünf Tage lahmzulegen. Das geschah erstmals in der 57-jährigen Geschichte des Unternehmens – sogar ein direktes Eingreifen des Weißen Hauses wurde notwendig.
Diese akute Ransomware-Bedrohung hatte schwerwiegende Folgen und zwang mehrere große Tankstellenketten dazu, wegen Kraftstoffmangel zu schließen. Die Kraftstoffpreise in den USA stiegen dann auf ein Niveau, das seit 2014 nicht mehr erreicht wurde.
Zunächst konzentrierten sich alle Bemühungen auf die Untersuchung eines möglichen staatlich unterstützten Hacking-Angriffs. Dann stellte sich jedoch heraus, dass es dabei ausschließlich darum ging, in kurzer Zeit möglichst viel Geld zu machen. Denn DarkSide räumte ein, für die Tat verantwortlich zu sein, bestritt aber jegliche politische Motivation: „Unser Ziel ist es, Geld zu verdienen und keine Probleme für die Gesellschaft zu schaffen“, hieß es. Die Gruppe ist dafür bekannt, dass sie Erpressungstrojaner als Dienstleistung für ihre Partner anbietet. Sie erhielt eine Lösegeldzahlung in Höhe von 4,4 Millionen US-Dollar, wovon die Hälfte später vom FBI wieder beschlagnahmt wurde.
Cyberattacken werden bleiben
Unsere vernetzte Welt ermöglicht es uns, jederzeit miteinander in Verbindung zu treten. Das jedoch hat seinen Preis. Mehr Konnektivität bedeutet auch mehr Schwachstellen, mehr Angriffe und ausgefeiltere Strategien von Kriminellen. Die zunehmende Vernetzung der digitalen und der realen Welt setzt den öffentlichen und privaten Infrastruktursektor unter Druck, neue Sicherheitsroutinen einzuführen.
Obwohl die KRITIS-Betreiber in den letzten Jahren erhebliche Sicherheitsanstrengungen unternommen haben, ist das noch längst nicht ausreichend, wie die jüngsten Beispiele gezeigt haben. Die Dienste rund um die Kritischen Infrastrukturen sind nach wie vor ein leichtes Ziel für Cyberangriffe. Deshalb ist es dringend notwendig, alles zu tun, um diese wesentlichen strukturellen Stützpfeiler der Gesellschaft besser und zuverlässiger vor Schaden zu bewahren.