Kritische Infrastruktur USA klagen Russen wegen weltweiter Hacks im Energiesektor an
Mutmaßliche Hacker im Auftrag Russlands: Die USA setzen auf »Naming and Shaming«
Foto: US District CourtDieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.
Die US-Regierung hat am Donnerstag ihre Anklagen gegen vier russische Staatsbürger veröffentlicht, denen sie vorwirft, im Auftrag des Geheimdienstes FSB und des Verteidigungsministeriums zahlreiche Unternehmen der Energiewirtschaft in aller Welt gehackt zu haben.
Die Anklagen beziehen sich auf Fälle, die schon eine Weile zurückliegen. In den USA gibt es unter Verschluss gehaltene, fertige Anklageschriften, die jederzeit publik gemacht werden können. In diesem Fall stammen sie aus dem Juni und August des vergangenen Jahres. Nun hielten die US-Behörden den Zeitpunkt für gekommen, sie publik zu machen.
Es handelt sich um zwei separate Anklagen, die aber eines gemein haben: Die darin beschriebenen Hackeraktivitäten sind ausgefeilt und wurden über einen längeren Zeitraum hinweg betrieben. Sie zielen nicht auf kurzfristige Effekte ab, sondern bestehen aus gezielten und gut vorbereiteten Angriffen, bei denen Schadsoftware in die Systeme von Unternehmen der kritischen Infrastruktur eingeschmuggelt werden soll – um deren Betrieb an einem vom Angreifer gewählten »Tag X« zu manipulieren oder gar komplett zu sabotieren.
Es ist diese Art von Cyberangriffen, die bei Sicherheitsbehörden weltweit die größten Sorgen auslöst. Eine infiltrierte Energie-Infrastruktur, die im Extremfall von böswilligen Akteuren ausgeschaltet werden könnte, gilt als Albtraumszenario.
Angriffe auf Raffinerien
Die erste neue US-Anklage richtet sich gegen einen 36-jährigen Russen, Evgeny G., der für ein führendes Forschungsinstitut des russischen Verteidigungsministeriums arbeiten soll. Im Zeitraum von Mai bis September 2017 soll er mit seinen Mittätern in die Sicherungssysteme einer in der Anklage nicht näher beschriebenen Raffinerie außerhalb der USA eingedrungen sein und versucht haben, dort eine Schadsoftware namens Triton aufzuspielen.
Mit dem Code hätten die Angreifer der Anklage zufolge das dort eingesetzte Sicherheitssystem des französischen Konzerns Schneider Electric manipulieren und deaktivieren können – ohne dass die Raffineriemitarbeiter es auf ihren Kontrollmonitoren bemerkt hätten. Der Schadcode hätte angezeigt, dass die Systeme normal arbeiteten, und das Potenzial gehabt, die Anlagen der Raffinerie zu beschädigen, wirtschaftlichen Schaden zu verursachen und sogar Mitarbeiter zu verletzen, so die US-Ankläger.
Allerdings misslang der Versuch: Die Schneider-Electric-Systeme reagierten auf die Versuche der Russen, ihren Manipulationscode aufzuspielen, zweimal mit einer Notabschaltung. Die Hacker ließen sich davon indes offenbar nicht entmutigen. Laut Anklageschrift sollen sie es im folgenden Jahr monatelang bei ähnlichen Raffinerien in den USA versucht haben, ebenfalls erfolglos. Im äußerst unwahrscheinlichen Fall einer Auslieferung in die USA und einer Verurteilung in allen drei Anklagepunkten müsste Evgeny G. mit einer Haftstrafe von insgesamt 45 Jahren rechnen.
2017 waren Triton-Angriffe auf saudische Anlagen bekannt geworden, die mit Schneider-Electric-Technologien arbeiten. Die IT-Sicherheitsfirma FireEye hatte bereits eine russische Urheberschaft vermutet und auf Spuren zu einem Moskauer Forschungsinstitut hingewiesen. Die internationale IT-Sicherheitsszene reagierte alarmiert, weil die von den Hackern ins Visier genommenen Zielsysteme von Schneider Electric weltweit in Öl-, Gas- und Kernkraftwerken eingesetzt werden. Nach Ansicht von Experten hätten die Angriffe in Saudi-Arabien potenziell katastrophale Folgen haben können, wären sie erfolgreich gewesen – bis zum Austreten von Giftgasen und Explosionen.
Zehntausende Fälle in mehr als 135 Ländern
Auch im zweiten nun von den USA veröffentlichten Anklagekomplex geht es um jahrelange und ausgefeilte mehrstufige Versuche, Einrichtungen der Energiewirtschaft anzugreifen – in Zehntausenden Fällen und mehr als 135 Ländern, darunter die USA und Deutschland. Er richtet sich gegen drei namentlich genannte und mit Porträtfotos identifizierte Mitarbeiter der Einheit 71330 des FSB, die einer Hackergruppierung angehören sollen, die in Sicherheitskreisen bereits seit rund einem Jahrzehnt unter Namen wie »Energetic Bear«, »Dragonfly« und »Crouching Yeti« bekannt ist.
Den drei FSB-Männern wird vorgeworfen, von 2012 an gezielt Steuerungs- und Kontrollsysteme für solche Anlagen angegriffen zu haben. Mittels gezielter Phishingmails und anderer Methoden wie gefälschten Softwareupdates soll es ihnen in mehr als 17.000 Fällen gelungen sein, ihren Schadcode »Havex« auf Geräten von Opfern zu installieren – unter anderem bei Stromversorgern und weiteren Unternehmen der Energiewirtschaft.
In einer zweiten, der Anklage zufolge »zielgerichteteren« Phase schickten sie von 2014 an Phishingmails an mehr als 3300 Mitarbeiter von mehr als 500 internationalen Unternehmen und infiltrierten in der Folge viele Systeme. Ein Ziel war die Firma Wolf Creek im US-Bundesstaat Kansas, die ein Kernkraftwerk betreibt. Allerdings schafften es die Angreifer dort nur in den Buchhaltungs- und Verwaltungsbereich. Bis in die Steuerungssysteme des Kraftwerks drangen sie laut Anklageschrift nicht vor.
Joe Biden an Unternehmen gerichtet
Sollten die drei Angeklagten im Alter von 36, 39 und 42 Jahren jemals von einem US-Gericht schuldig gesprochen werden, drohen ihnen Gesamtstrafen zwischen 25 und 47 Jahren Haft. Hacker im russischen Staatsauftrag seien »eine schwere und andauernde Bedrohung für die Energiewirtschaft in den USA und der restlichen Welt«, sagte eine der zuständigen US-Staatsanwältinnen bei Veröffentlichung der Anklageschriften.
Dass die US-Behörden sie ausgerechnet jetzt publik machen, ist wohl kaum Zufall. Erst am Montag hatte US-Präsident Joe Biden vor russischen Cyberangriffen gewarnt und von Hinweisen darauf gesprochen, dass der Kreml als Reaktion auf die Sanktionen neue Attacken erwäge. Mit Blick auf Unternehmen forderte Biden: »Härten Sie Ihre Cyberabwehr, sofort!«
Auch in Deutschland ist die Nervosität groß. Seit Wochen warnen Sicherheitsbehörden vor möglichen Attacken durch Wladimir Putins Cybertruppen. Die Sanktionen gegen Russland und die Waffenlieferungen an die Ukraine hätten das Risiko von Angriffen »gegen deutsche Stellen einschließlich Unternehmen« nochmals erhöht, befürchtet der Verfassungsschutz. Nach Überzeugung der Behörde verfügen die russischen Dienste »zweifelsohne« über die Fähigkeiten, sowohl kritische Infrastruktur als auch militärische Einrichtungen und den politischen Betrieb »erheblich und nachhaltig zu sabotieren«.
Russland hat kein Auslieferungsabkommen mit den USA
In der Vergangenheit hatten die Behörden mehrfach vor den Hackern der Gruppe »Berserk Bear« und deren »langfristig und mit großem Aufwand« vorangetriebenen Umtrieben im Energiesektor gewarnt. Deutsche Ziele seien im Visier der Gruppe, hieß es. Konkrete Angriffswellen der Gruppierung auf Ziele in Deutschland wurden 2018 und 2020 beobachtet.
Die US-Regierung verfolgt ihre Strategie des »Naming and Shaming« schon seit mehreren Jahren. Sonderermittler Robert Mueller klagte 2018 ein Dutzend russischer Geheimdienstler wegen Hacks im Präsidentschaftswahlkampf 2016 an. Sieben weitere GRU-Mitarbeiter wurden nur wenige Monate später genannt und angeklagt, noch einmal sechs im Jahr 2020.
Zwar haben die Anklagen in der Regel keine unmittelbaren Auswirkungen, weil Russland kein Auslieferungsabkommen mit den USA hat und insbesondere seine Staatshacker nicht den USA überlassen würde. Aber zum einen wissen die Betroffenen, dass sie im Ausland fortan mit einer Festnahme rechnen müssen. Und zum anderen dürfte es den USA darum gehen, Signale zu setzen, nach dem Motto: »Wir sehen, was ihr glaubt, im Geheimen zu tun, wir sind euch technisch überlegen.«
Außerdem könnte das Signal auch nach innen wirken. Eine Bedrohung, die menschliche Gesichter hat, wird möglicherweise ernster genommen als abstrakte Verweise auf Geheimdiensthacker.
