BR24 Logo
BR24 Logo
Deutschland & Welt

Kritische Infrastruktur: Behörden warnen vor Hackerangriffen | BR24

© MEV / Jonas Krüger

Hacker haben es auf kritische Infrastruktur abgesehen

13
Per Mail sharen

    Kritische Infrastruktur: Behörden warnen vor Hackerangriffen

    Eine mutmaßlich russische Gruppe soll es auf Unternehmen in der Energie-, Wasser- und Telekommunikationsbranche abgesehen haben. Der Bund bietet betroffenen Betrieben Unterstützung an.

    13
    Per Mail sharen

    Drei Bundesbehörden, die sich um die IT-Sicherheit in Deutschland kümmern, haben in einer gemeinsamen Meldung vor Angriffen einer mutmaßlich russischen Hackergruppe gewarnt. Auf acht Seiten schildern Bundesnachrichtendienst (BND), Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI), wie die Hacker vorgehen. IT-Sicherheitsexperten haben der Gruppe den Namen "Berserk Bear" gegeben. Ausführlich wird in dem nicht-öffentlichen Dokument vom 18. Mai beschrieben, wie Unternehmen sich vor diesen Angreifern schützen können.

    Das Dokument liegt BR Recherche vor. In ihm wird kein direkter Bezug zum russischen Staat hergestellt. Jedoch wird auf Berichte der USA verwiesen, in denen die Gruppe Russland zugeordnet wird. Nachzuweisen, wer hinter einem Hackerangriff steckt, gilt generell als schwierig. Technische Indizien lassen sich fälschen. Dass es aber möglich ist, Urheber zu ermitteln, zeigt insbesondere der Fall des Bundestag-Hacks von 2015. Fünf Jahre später erließ die Bundesanwaltschaft Haftbefehl gegen einen der Hacker, der involviert gewesen sein soll.

    Warnungen vor Hackern ernst nehmen

    Das Dokument vom 18. Mai 2020 liest sich wie eine eindringliche Bitte, die Warnung ernst zu nehmen. So habe es bei "aktuellen Analysen im Rahmen von Vorfällen bei KRITIS-Unternehmen" Hinweise auf "länger bestehende Kompromittierungen" durch die Hackergruppe in Unternehmensnetzen gegeben. "Kritis" steht für kritische Infrastruktur und bezeichnet Einrichtungen und Unternehmen, die die Gesellschaft am Laufen halten, in dem sie zum Beispiel Strom oder Wasser bereitstellen.

    Die im Dokument beschriebene Vorgehensweise der Hacker sei "grundsätzlich nicht neu". Das ergeben auch Gespräche, die BR Recherche mit einem Dutzend IT-Sicherheitsforschern geführt hat. Alle Gesprächspartner haben um Anonymität gebeten. Zwei Personen, die den Inhalt des Dokumentes kennen, wollen es als Aufforderung verstanden wissen, die Warnungen der Behörden ernst zu nehmen. Denn in dem Schreiben wird auf eine bereits 2018 verschickte Warnung hingewiesen: Die nun entdeckten Vorfälle hätten bereits mit den vor zwei Jahren verschickten Empfehlungen "entdeckt werden können". In einem Fall befanden sich Dateien "seit dem Jahr 2017 auf Netzlaufwerken".

    Auf Anfrage des BR bestätigten Sprecher von BSI und BfV Vorfälle bei deutschen Konzernen. Dem Verfassungsschutz lägen "nachrichtendienstliche Hinweise auf fortlaufende Aktivitäten der Gruppierung in Deutschland vor".

    Zuerst berichtete die amerikanische Technik-Seite "Cyberscoop" über das Schreiben der Bundesbehörden.

    Erste Fälle wurden 2018 bekannt

    Wie solche Angriffe ablaufen können, zeigt ein Fall, den die "Süddeutsche Zeitung" 2018 veröffentlichte. Die Hacker von "Berserk Bear" verschafften sich damals Zugang in die IT-Netzwerke von mehreren Unternehmen, darunter einer Tochterfirma von EnBW. Dort übernahmen sie die Kontrolle über den Router und konnten für einen Zeitraum von wenigen Minuten "einen kleinen Teil des Internetverkehrs" spiegeln, wie EnBW damals mitteilte. Der Angriff konnte "in einer frühen Phase erfolgreich abgewehrt werden".

    Den Hackern war es gelungen, in einem ersten Schritt das Mitarbeiterkonto eines externen Dienstleisters zu übernehmen. Diesen Zugang verwendeten die Hacker anschließend, um E-Mails im Namen des Dienstleisters zu verschicken. Diese enthielten Links zu Webseiten oder Dokumente.

    Mail mit Schadsoftware im Anhang

    Ein solches Dokument, datiert auf August 2017, liegt BR Recherche vor. Das Dokument gaukelt dem Empfänger eine seriöse Analyse des Stromnetzes vor. Doch das Dokument enthält, ähnlich wie die Webseiten, Schadsoftware.

    Wird es geöffnet, erbeuten die Hacker Windows-Zugangsdaten und kommen so an "Username/Passwort-Kombinationen", wie es in der aktuellen Warnung heißt. Damit können die Hacker "legitim aussehende Zugriffe auf die Opfersysteme durchführen" und für lange Zeit unentdeckt bleiben.

    Ihnen gehe es darum, "Informationen zu stehlen oder gar Zugang zu Produktivsystemen" zu erlangen, also zum Beispiel zu den Turbinen, die Strom erzeugen. Dies könnte unter Umständen dazu führen, Anlagen zu sabotieren. Nach "aktuellem Sachstand der bislang untersuchten Vorfälle" konnte das "jedoch noch (!) nicht in deutschen Unternehmen nachvollzogen werden", heißt es in der Warnmeldung.

    In zwei Anhängen listen die Behörden technische Details auf, mit deren Hilfe Unternehmen Spuren der Hacker in ihren eigenen Netzen suchen können. Werden die Unternehmen fündig, können sie sich an das BfV oder das BSI wenden, um zusätzliche Unterstützung zu erhalten.