EEs war eine Meldung, die deutsche Sicherheitskreise aufschreckte: ein Hack auf den Satellitenanbieter Viasat. Systeme in Mittel- und Osteuropa wurden angegriffen. Tausende Windkraftanlagen arbeiteten noch und erzeugten Strom, waren aber nicht mehr elektronisch zugänglich.
In der Regierung herrschte Aufregung; Die Bundesnetzagentur, das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben sich diesbezüglich direkt an Viasat gewandt. Da der Angriff parallel zum Angriff Russlands auf die Ukraine stattfand, wird ein Zusammenhang vermutet.
Aus einem WELT vorliegenden internen Lagepapier des Bundesinnenministeriums geht hervor, dass dem BSI Informationen eines vertrauenswürdigen Partners vorliegen, wonach sich die Lage durch Cyber-Angriffe auf „hochwertige Ziele“ bald verschärfen könnte.
Sicherheitskreise sagen: Ein solches „high value target“ meint vor allem die Energiewirtschaft in der Bundesrepublik – also einen Bereich, der durch den Atomausstieg und die Abhängigkeit von russischem Gas ohnehin schon extrem störanfällig ist. Die nun erstmals konkrete Warnung gilt als Eskalation – und hat zu verstärkten Schutzmaßnahmen geführt.
Der Bundesverband der Energie- und Wasserwirtschaft (BDEW) verzeichnete zuletzt weitere Angriffe. Sprecher Jan Ulland sagte gegenüber WELT: „Die Zahl der Cyberangriffe hat in den letzten Monaten zugenommen, unabhängig davon, was in der Ukraine passiert ist.“ Insbesondere die Energiewirtschaft und IT-Dienstleister der Energiewirtschaft standen in den letzten Wochen im Fokus von Cyberangriffen. Laut Ulland bestand im Zusammenhang mit diesen Cyberangriffen keine Gefahr für die Versorgungssicherheit.
Ransomware und Phishing-Angriffe
Der Trend geht in Richtung Ransomware und Phishing-Attacken. Bisher war jedoch keiner der Angriffe erfolgreich. „Wir können keinen direkten Zusammenhang zwischen dieser Entwicklung und dem, was in der Ukraine passiert, erkennen“, so Ulland weiter. Man stehe aber in engem Kontakt mit dem BSI, um die Bedrohungslage für die Energie- und Wasserwirtschaft kontinuierlich zu bewerten.
Fragt man die Anbieter im Energiesektor, ist von Panik keine Spur – aber eine leichte Unruhe. Auf Anfragen von WELT an die vier größten deutschen Energiekonzerne E.ON, EnBW, Vattenfall und RWE hieß es, man habe bisher keine gezielten Cyber-Angriffe festgestellt. Die EnBW erklärt zum Beispiel, dass der Krieg und die Sensibilisierung durch das BSI sie in „höhere Alarmbereitschaft“ versetzt hätten. Der Schutz wird ständig verbessert.
EON-Sprecher Leif Erichsen sagte: „Parallel zur russischen Invasion vor Ort sehen Cyber-Sicherheitsanalysten weitere Angriffe im Cyberspace“. Das konzernweite Cybersicherheitsteam verfolgt die Situation. „Wir stehen in engem Kontakt mit Behörden, Sicherheitsdienstleistern, Herstellern und Partnern“, sagt Erichsen.
Ein ähnliches Bild zeichnen die vier größten Übertragungsnetzbetreiber in Deutschland: Tennet TSO, 50Hertz, Amprion und TransnetBW. Amprion-Sprecher Andreas Preuss sagte gegenüber WELT: „Wir nehmen das Risiko von Cyberangriffen sehr ernst.“ Als Teil der kritischen Infrastruktur können jedoch keine Angaben gemacht werden. 50-Hertz-Sprecherin Katrin Dietl beteuert, dass der Schutz der Anlagen und Systeme höchste Priorität habe. Und: „Eine Zunahme der Angriffe können wir derzeit nicht bestätigen“.
Ein Sprecher des Bundesinnenministeriums sagte am Freitag, es habe in dieser Woche bisher keine „Änderung der Gesamtlage“ gegeben. Bisher sei eine „Sammlung kleinerer Zwischenfälle“ zu beobachten. Eine übergreifende Kampagne ist nicht ersichtlich.
Energiesektor besonders gefährdet
Sven Herpig leitet die Abteilung Internationale Cyber-Sicherheitspolitik bei der Stiftung Neue Verantwortung (SNV). Der Energiesektor sei für Angreifer immer interessant, sagt Herpig, weil ein solcher Angriff ein starkes Signal aussenden würde. Man sollte also nicht glauben, dass potenzielle Angreifer solche Systeme erst jetzt infiltrieren und nach Schwachstellen suchen. „Wir wissen, dass Russland US-Stromnetze ausspioniert hat. Wir müssen also zumindest davon ausgehen, dass dies auch in anderen Ländern der Fall ist.“
Herpig schlägt daher vor, die Einrichtung sogenannter Threat Hunting Teams zu prüfen. Sie könnten in einer erhöhten Bedrohungslage die Netzwerke besonders gefährdeter Angriffsziele daraufhin überprüfen, ob dort bereits Hacker eingedrungen sind, schweigen aber bisher. Solche proaktiven Teams für den Bereich Kritische Infrastruktur hätten die zuständigen Behörden in Deutschland laut Herpig in dieser Form noch nicht. Es gebe Notfallteams, „die reagieren aber erst nach einem Vorfall, wenn das Kind bereits in den Brunnen gefallen ist“, sagt er.
Laut Herpig ist es derzeit schwieriger abzuschätzen, wie wahrscheinlich ein russischer Angriff ist als vor dem Krieg. Aber Putin weiß auch, dass er mit einem Angriff auf Stromnetze das Nato-Bündnis auslösen könnte.
Denkbar sei aber, sagt Herpig, dass der russische Staat die dort ansässigen Hackergruppen auffordern könnte, weitere Ransomware-Angriffe durchzuführen. Dateien werden verschlüsselt, um Geld zu erpressen. „Die Angriffsziele dieser Cyberkriminellen liegen ohnehin meist in westlichen Ländern.“
Trotz aller geopolitischen Unsicherheiten hält auch Johannes Rundfeldt einen gezielten Cyber-Angriff des russischen Staates derzeit für unwahrscheinlich. Rundfeldt ist Gründer und Sprecher der AG KRITIS, einem Zusammenschluss von rund 40 IT-Spezialisten, die sich täglich mit kritischen Infrastrukturen auseinandersetzen. Dazu gehört auch der Energiesektor. Diese ist laut Rundfeldt in Deutschland relativ gut geschützt. Für russische Partisanen oder Hacktivisten sind die Erfolgsaussichten gering.
Und Ransomware-Angriffe durch Cyberkriminelle? Sie seien ein Problem, weil „diese Gruppen bereits in großem Umfang und sehr effektiv agieren“. Eine massive Zunahme solcher Angriffe sei daher nur schwer möglich, sagt Rundfeldt. Vor allem, da die Konflikte des Krieges auch bis in die einschlägigen Hackergruppen hineinreichten.
Der IT-Schutz hat sich verbessert
Laut Rundfeldt hat sich der IT-Schutz kritischer Infrastrukturen in Deutschland in den letzten Jahren verbessert. Vor allem das neu erlassene IT-Sicherheitsgesetz hat dafür gesorgt, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) proaktiver agieren kann. Das Bundesamt ist mittlerweile besser darin geworden, Anomalien und ungeschützte Systeme schnell zu erkennen.
Rundfeldt ist der Idee nicht abgeneigt, zusätzliche Threat-Hunting-Teams zu bilden, die aktiv nach Bedrohungen suchen, bevor es konkrete Hinweise gibt. Er weist jedoch darauf hin, dass die IT-Sicherheit nicht an den Staat abgewälzt werden dürfe. „Unternehmen stehen in der Verantwortung, ihre Systeme vor Cyberangriffen zu schützen.“
