Das geht aus zwei Berichten hervor, die IT-Sicherheitsforscher an diesem Montag veröffentlicht haben. Zwar sei von dem Angriff im Dezember nur die Ukraine betroffen gewesen, jedoch sei es kein Problem, auch andere Stromnetze in anderen Teilen der Welt, zum Beispiel in Europa, ins Visier zu nehmen, heißt es im Bericht der IT-Sicherheitsfirma Dragos, Inc. (hier als PDF-Version). Mit der Schadsoftware ließen sich mehrere Stromnetze gleichzeitig angreifen.

Am 17. Dezember 2016 fiel in Teilen der ukrainischen Hauptstadt Kiew für knapp 75 Minuten der Strom aus. IT-Sicherheitsexperten sind sich einig, dass der Stromausfall durch Hacker herbeigeführt wurde, die monatelang Zugriff auf das Netzwerk eines Umspannwerkes hatten.

Bis heute laufen die Ermittlungen, um sowohl die Täter als auch die von ihnen eingesetzte Technik zu analysieren. Beide Berichte liefern wertvolle Hinweise. Robert Lee, Chef von Dragos, sagte zur Süddeutschen Zeitung, dass seine Firma bereits die US-Regierung und nationale Anlaufstellen für IT-Sicherheit sowie betroffene Hersteller über die Schadsoftware informiert habe. Robert Lee gilt als Experte für Industrieanlagen.

Seine Firma geht davon aus, dass dieselbe Hackergruppe auch hinter einem Angriff stecken soll, bei dem im Jahr 2015, also ein Jahr zuvor, das Stromnetz in der Ukraine ausgeschaltet wurde. Diese Hackergruppe soll aus Russland kommen und Verbindungen zur Regierung haben, wie die Washington Post schreibt.

Zweiter Fall nach Stuxnet

Bei dem Angriff handelt es sich um den zweiten Fall, in dem Schadsoftware gezielt eingesetzt wurde, um Geräte physisch zu stören. Der Cyberangriff bleibt also nicht nur im digitalen Raum. Der erste bekannte Fall ist Stuxnet (Details dazu hier).

Der zweite Bericht stammt von Forschern der IT-Sicherheitsfirma Eset. In ihrem Bericht schreiben sie, dass die Schadsoftware speziell auf Industrieanlagen zugeschnitten ist. Sie nennen die Schadsoftware "Industroyer", eine Wortschöpfung aus "Industrie" und "Destroyer", dem englischen Wort für Zerstörer.

Die Einschätzung von Eset deckt sich mit Aussagen der Experten von Dragos, die die Schadsoftware "Crash Override" nennen. Sie "diene nicht der Spionage", sondern sei einzig dafür programmiert worden, um Stromausfälle zu verursachen. Der Stromausfall würde den Einschätzungen von Dragos zu stunden- bis tagelangen (nicht aber wochenlangen) Ausfällen führen.

Bei dem Angriff wird eine Hintertür im Computersystem genutzt, mit der sich die Hacker Zugriff auf Verteiler an Umspannwerken verschaffen können. Dadurch können die Hacker je nach Bedarf weitere Programme nachladen, die Angriffe ausführen. Diese Programme sind spezialisiert auf Infrastruktur, die in Industrieanlagen eingesetzt wird.

Agieren ohne Hindernisse

Deren Protokolle sind jahrzehntealt, nicht ausgelegt für moderne Netzwerke und damit nur schwer abzusichern. "Das ist die größte Schwachstelle", sagt Robert Lipovsky, der als Forscher für Eset arbeitet. Gelinge es einem Angreifer, in das Netzwerk einzudringen, sei erst einmal "Game Over". Die Angreifer agieren fortan ohne Hindernisse.

Sie müssen sich jedoch in den Netzwerken auskennen. Sie müssen wissen, welche Geräte vor Ort eingesetzt werden, und sie müssen das Protokoll verstehen, über das diese Geräte ihre Aktionen abwickeln. Detailliert beschreiben die Forscher, wie die Hacker vorgehen (in dieser PDF-Datei).

Der Angriff ist demnach zum Beispiel so programmiert, dass die Software automatisch das lokale Netzwerk erfasst, um Geräte zu finden, mit denen es kommunizieren kann. Ein anderer Teil der Software soll dazu führen, dass es zu einer Überlastung der Systeme kommt und diese herunterfahren.

Die Eset-Sicherheitsforscher waren für eine Analyse nicht vor Ort. Wie sie an die Schadsoftware gekommen sind, will Robert Lipovsky nicht sagen. "Wir sind in Kontakt mit den betroffenen Parteien", sagt er lediglich. Daher weist Eset im Bericht darauf hin, dass sie nicht mit absoluter Sicherheit sagen können, ob tatsächlich diese Software verwendet wurde. Jedoch ist in der Schadsoftware ein Zeitstempel enthalten, ein Datum, an dem sich die Software aktiviert. Es ist der 17. Dezember 2016. Also jener Tag, an dem in Kiew die Lichter ausgingen.

Die Forscher von Eset haben digitale Fingerabdrücke der Schadsoftware an die Forscher von Dragos weitergegeben. Diese haben dann ihre Analysen aufgenommen. In ihrem Bericht heißt es, dass der Angriff definitiv von dieser Schadsoftware ausgehe.

Viel Arbeit für 75 Minuten

Die vier Protokolle, mit denen die Schadsoftware kommunizieren kann, werden dem Eset-Bericht zufolge auch in anderem Umfeld eingesetzt, zum Beispiel für Wasserwerke. Doch die Angriffe müssen maßgeschneidert sein, sie lassen sich nicht ohne weiteres übernehmen.

Für Lipovsky ist es "rätselhaft", warum Hacker Monate mit einem Angriff verbringen, der dann nicht länger als 75 Minuten dauert. "Wir wissen nicht, welche Motivation die Angreifer hatten und auch nicht, ob die Aktion erfolgreich ausging oder nicht."

Darum geht es in der Analyse von Dragos. In dem Bericht schreiben die Forscher, der Angriff wirke wie eine Machbarkeitsstudie. Eine Machbarkeitsstudie, die die Ukraine zu ihrem Testgelände gemacht hat.