Doch der Angriff sollte noch heimtückischer werden: Denn im Anschluss wollten sie ein beim Stromversorger verbautes Relais der Firma Siemens manipulieren, das eigentlich dazu dient, bei Fehlern eine Schutzsicherung auszulösen. Dazu wollten sie das Relais mit einer präparierten Datei in einen Updatemodus versetzen, in dem es stecken bleibt. Beim Versuch der Betreiber, wegen des Hacking-Angriffs den Strom manuell wieder hochzufahren, sollte die Anlage beschädigt werden – weil eben jene von den Hackern manipulierte Sicherung nicht einspringt.

Ob Industroyer2 das genauso versuchen sollte, weiß Eset nicht. »Wir haben keine Beweise dafür gesehen«, sagt Lipovsky im Gespräch mit dem SPIEGEL. Was jedoch klar ist: Zusätzliche Schadprogramme, sogenannte Wiper, sollten die Spuren der Täter im Netzwerk dieses Mal verwischen, indem sie unter anderem Logdateien überschreiben und Laufwerke unbrauchbar machen. Solche Wiper sind eine wiederkehrende Hackerwaffe bei verschiedenen Angriffen auf ukrainische Ziele in den vergangenen Monaten.

Die mutmaßliche Gruppe hinter dem Angriff: Sandworm

Nötig waren für den Angriff tiefgehende Kenntnisse der Anlage und der Industriellen Kontrollsysteme (ICS), die dort eingesetzt werden. Entsprechend viele Ressourcen und Spezialisten brauchten die Täter. Geradezu »verstörend« findet Lipovsky den Aufwand, den die Täter betrieben haben, um sich in die Feinheiten der zugrundeliegenden Softwareprotokolle einzuarbeiten. Denn einfach googeln lassen die sich nicht.

Hat jemand diese Spezialkenntnisse, haben die Verteidiger ein grundsätzliches Problem: ICS wie die in dem ukrainischen Umspannwerk und die dazugehörigen Protokolle »wurden vor Jahrzehnten entwickelt, ohne auf Sicherheit zu achten« sagt Lipovsky. Dementsprechend musste Sandworm keine bis dato unbekannte Sicherheitslücke in dem System ausnutzen. Im Gegenteil, Industroyer2, so drückt es der Eset-Forscher aus, »verwendet ein Protokoll genauso, wie es gedacht war«.

Was den Angriff letztlich vereitelte, war eine schnelle Reaktion der Verteidiger, zu denen neben dem ukrainischen Computer Emergency Response Team (Cert) auch die Unternehmen Microsoft, Cisco Talos und Eset gehörten. Auch ein Denkfehler der Hacker half bei der Verteidigung, wie Zhora erzählt.

Die Attacke sollte am Freitag um 17.58 Uhr starten, »in der Annahme, dass die meisten Angestellten noch da und ihre Computer angeschaltet sind«. Doch weil freitags die meisten schon um vier oder fünf Uhr Feierabend machen, waren viele Rechner abgeschaltet und wurden daher gar nicht erst von den Wipern lahmgelegt. Den Verteidigern verblieb also mehr funktionierende Hardware, als es sich die Täter gewünscht haben dürften. Wer sich zum Ziel gesetzt hat, einen Stromversorger zu sabotieren, braucht also mitunter nicht nur technische Spezialkenntnisse, sondern auch Einblick in Dienstpläne.