Deutschland
 

Verdächtiger festgenommen

Spioniert Russland unsere Stromnetze aus?

Journalisten des BR und des WDR verfolgen eine womöglich russische Spionage-Aktion, bei der es Hacker auf deutsche Stromversorger abgesehen haben.
Von 
CSO | 01. August 2022 10:20 Uhr
Mithilfe von Phishing-Mails und gefälschten Webseiten versuchen Cyberkriminelle Zugangsdaten zu stehlen.
Mithilfe von Phishing-Mails und gefälschten Webseiten versuchen Cyberkriminelle Zugangsdaten zu stehlen.
Foto: Oleksii Synelnykov - shutterstock.com

Mehr als 150 deutsche Unternehmen seien bei einer groß angelegten Spionageoperation gehackt worden, berichtet die Tagesschau. Besonders betroffen waren die kritischen Infrastrukturen, allen voran die Strom- und Wasserversorgung. Nach Informationen des BR und des WDR ist es dem Landeskriminalamt Baden-Württemberg nach jahrelangen Ermittlungen gelungen, einen mutmaßlichen Täter des russischen Geheimdienstes FSB zu identifizieren: Pawel A.

Stromnetze werden seit 2017 ausspioniert

"Berserk Bear" und "Dragonfly" nennen IT-Sicherheitsfirmen die Hackergruppe zu der Pawel A. gehören soll. Laut Tagesschau geht das Justizministerium der USA davon aus, dass die Hacker für den russischen Geheimdienst FSB arbeiten, dessen Abteilung "Center 16" sich in Moskau befindet. Einer Anklageschrift des Ministeriums zufolge haben die Cyberangreifer es der russischen Regierung ermöglicht, wichtige Anlagen für die Stromerzeugung "wenn gewünscht zu unterbrechen und zu beschädigen".

Den Angaben zufolge hat Pawel A. im Sommer 2017 das Netzwerk von Netcom BW gehackt, wie vier Jahre später im September 2021 ein Haftbefehl des Generalbundesanwalts in Karlsruhe belege. Netcom BW gehört zum Stromkonzern EnBW. Über eine Schwachstelle in den Routern habe der Hacker auf den Internetverkehr zugreifen und ihn manipulieren können.

War Eon betroffen?

Laut dem Tagesschau-Bericht hatten es die Gruppe Berserk Bear auch auf den Energieversorger Eon abgesehen. Für ihren Angriff habe sie ein 35-seitiges Dokument vorbereitet, das wie ein internes Dokument aussehen sollte. Es liege dem BR und dem WDR vor und trage den Titel "Bewertung des langfristigen Investitionsbedarfs der dezentralen Eon-Stromnetze". Mithilfe dieses gefälschten Dokuments können die Cyberangreifer Phishing-Mails verschicken, Malware verbreiten und sich Zugriff auf fremde IT-Systeme verschaffen.

Auf Nachfrage der Journalisten äußerte sich Eon nicht, bestätigte jedoch, dass es im Sommer 2017 einen "Angriff auf eine Beteiligungsgesellschaft" gegeben habe.

Gezielte Cyberspionage

Bisher ist unklar, in wie viele Netze die Hacker der Gruppe Berserk Bear bereits eindringen konnten. Nur Unternehmen, die zu den Kritischen Infrastrukturen gehören, müssen solche Cyberattacken melden, weswegen es eine hohe Dunkelziffer gibt. Zumindest ein Teil des ein- und ausgehenden Internetverkehrs konnte durch das Bundesamt für Verfassungsschutz überwacht werden, da einer der Server der Hacker in Deutschland gestanden habe.

Wie die Reporter herausfanden, haben die Cyberkriminellen nicht nur Phishing-Angriffe gestartet, sondern auch "strategisch relevante Webseiten" umgebaut, um Anmeldedaten der Besucher abzugreifen. Dies habe auch eine Seite eines Unternehmens betroffen, das für Energieversorger Internetauftritte erstellte, sowie einen Softwareanbieter in diesem Bereich.

Die Bundesanwaltschaft hat sich dem Bericht zufolge bisher nicht zu den Ermittlungen geäußert. Auch die russische Botschaft ließ eine Anfrage unbeantwortet.

Lesetipp: Tausende Windkraftanlagen lahmgelegt

Melanie Staudacher war Editor bei CSO. Ihr Schwerpunkt war IT-Security.
Folgen: