/Stromausfall durch Hacker? Cyber-Abwehrzentrum fordert besseren Schutz statt Angriffe

Stromausfall durch Hacker? Cyber-Abwehrzentrum fordert besseren Schutz statt Angriffe

HochspannungsleitungenUnter Strom: Hochspannungsleitungen. CC-BY-SA 3.0 Kreuzschnabel

Im August berichtete Spiegel Online, das „Cyber-Abwehrzentrum warnt vor Stromausfall in ganz Europa“. Quelle war eine Lageeinschätzung des Nationalen Cyber-Abwehrzentrums. Wir haben das Original-Dokument per Informationsfreiheitsgesetz angefragt und veröffentlichen es an dieser Stelle.

Leider ist die freigegebene Version an ein paar Stellen geschwärzt, zwei Zitate aus dem Spiegel fehlen:

Aktuelle Erkenntnisse zu Gruppen wie Berserk Bear zeigten, „dass mittlerweile auch kritische Infrastrukturen in Deutschland (vorrangig Energieversorgung) im Fokus von Aufklärungsaktivitäten stehen“, heißt es in dem Bericht. Bei einer gewissen Größe von Angriffen könnten „Auswirkungen bis hin zu einem vollständigen Blackout im europäischen Verbundnetz nicht ausgeschlossen werden“.

Doch das restliche Dokument liest sich nicht panisch, sondern erstaunlich nüchtern. Während der Spiegel im größeren Kontext staatliches Hacken per „Hack Back“ und Staatstrojaner ins Spiel bringt, verliert das Cyber-Abwehrzentrum kein Wort über diese offensiven Maßnahmen. Stattdessen fordert das Abwehrzentrum… bessere Verteidigung.

Konkret empfiehlt das Cyber-AZ eine „Verbesserung der Schutzmaßnahmen“ und eine „Reduzierung der Vulnerabilität“ – also Prävention statt Konter. Dazu gehören ein „ständiger, zeitnaher Informationsaustausch“ und „konsequent vertrauensbildende Maßnahmen“ zwischen Staat und Wirtschaft. Der Staat sollte also Sicherheitslücken nicht zurückhalten und für Trojaner und Zurückhacken ausnutzen, sondern Lücken konsequent melden und schließen.

Insgesamt ist die Bundesrepublik laut Cyber-AZ bereits gut aufgestellt – durch Best-Practice-Empfehlungen, IT-Grundschutz und IT-Sicherheitsgesetz. Allenfalls die Passage zur IT-Sicherheit im Koalitionsvertrag sollte noch umgesetzt werden, also Gütesiegel für IT-Sicherheit und Regelungen für Produkthaftung geschaffen werden. Darüber hat das BSI vor wenigen Tagen mit Experten diskutiert.

Und selbst wenn mal der Strom ausfallen sollte, braucht es dann halt Notfallpläne und Notstromversorgung. Wie schon immer. Verteidigung bleibt die beste Verteidigung, auch digital.


Hier das Original-Dokument aus dem PDF befreit:

Nationales Cyber-Abwehrzentrum

Informationen des Nationalen Cyber-Abwehrzentrums

Gefährdungslage der Stromversorgung in Deutschland durch Cyberangriffe

Beteiligte Behörden: BBK, BfV, BKA, BND, BSI

Herausgabedatum: 22. August 2018

Einleitung

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Dies gilt insbesondere für die Branche Elektrizität, die unter den Kritischen Infrastrukturen eine Schlüsselrolle einnimmt – schließlich hängen alle anderen Sektoren von der Stromversorgung ab. Ein Blackout kann somit über Kaskadeneffekte zu weitreichenden KRITIS-Ausfällen führen. Bereits 2010 stellte das Büro für Technikfolgenabschätzung beim Deutschen Bundestag fest, dass ein großflächiger, langanhaltender Stromausfall in Deutschland einer nationalen Katastrophe gleichkäme.

Störungen im deutschen Stromnetz könnten auch durch Cyberangriffe hervorgerufen werden. Dabei unterscheidet sich das mögliche Ausmaß je nach Art und Qualität des Angriffs erheblich. Einfache, im elektrotechnischen Umfang begrenzte Störungen lassen sich aufgrund der hohen physischen Redundanz im Netz durch Schaltmaßnahmen relativ schnell wieder beheben. Bei größerem Störungsumfang könnte die Stabilität des deutschen Stromnetzes oder sogar des europäischen Verbundnetzes gefährdet werden und ein großflächigerer Stromausfall eintreten. Die Behebung eines solchen Schwarzfalls nimmt bereits deutlich längere Zeit in Anspruch. Gelingt durch einen Cyberangriff sogar die physische Zerstörung von Komponenten wie Transformatoren oder Hochspannungsschaltanlagen, so können diese unter Umständen erst mittel- oder langfristig ersetzt werden, so dass bei einem solchen Cybersabotageangriff ein langanhaltender Stromausfall mit entsprechenden Konsequenzen herbeigeführt werden könnte.

In den letzten Jahren wurden immer wieder Berichte über Cyberangriffe auf die Stromversorgung westlicher Staaten zur möglichen Sabotagevorbereitung veröffentlicht. Zuletzt beschuldigten die USA russische staatliche Akteure solcher gezielter Angriffe und auch das Vereinigte Königreich hat dies bereits öffentlich als deutliche Gefährdung eingeschätzt. In der Ukraine kam es sogar 2015 und 2016 zu den weltweit ersten bekannten Stromausfällen, die auf Cyberangriffe zurückzuführen waren. Vor diesem Hintergrund stellt sich die grundsätzliche Frage, wie stark die Stromversorgung in Deutschland tatsächlich durch Cyberangriffe gefährdet ist.

Im Folgenden werden daher zunächst die bereits erfolgten Cyberangriffe auf Stromnetzbetreiber sowie Erkenntnisse über bekannte Gruppierungen, die als Angriffsziel die Stromversorgung wählen, dargelegt. Im Anschluss erfolgt eine Bewertung der technischen Angriffsmöglichkeiten auf die Stromversorgung, der relevanten Angreifergruppierungen, ihrer Ziele und Fähigkeiten, sowie des Schutzniveaus deutscher Stromnetzbetreiber, bevor Schlussfolgerungen für die Gefährdung der Stromversorgung in Deutschland durch Cyberangriffe gezogen und Handlungsempfehlungen zur Verbesserung von Schutzmaßnahmen gegeben werden.

Sachverhalt

Stromausfall in der Ukraine am 23.12.2015

Der hier dargestellte Sachverhalt ist die erste, den beteiligten Behörden bekannte, erfolgreiche Cybersabotage eines Stromnetzes.

Der Stromausfall

Am 23. Dezember 2015 nachmittags begannen Störungen im Stromverteilnetz in der Ukraine, die bei mehreren Hunderttausend Einwohnern des westukrainischen Verwaltungsbezirkes Iwano-Frankiwsk zu einer Unterbrechung der Stromversorgung geführt haben. Der Stromausfall dauerte bis zu sechs Stunden.

Ursächlich für die Störungen waren koordinierte Cybersabotageangriffe auf die Steuersysteme von lokalen Verteilnetzbetreibern, die mittlerweile der Angreifergruppe Sandworm (s.u.) zugeschrieben werden. Nach unterschiedlichen Angaben waren bis zu drei Verteilnetzbetreibern ███████ betroffen, bei denen der Angriff tatsächlich zu einem Ausfall der Stromversorgung geführt hat ████████████████████████████████████████████████ und bis zu sechs weitere angegriffen worden.

Ursache: Der Cyberangriff

Der Angriff auf einen ortsansässigen ukrainischen Energieversorger begann dabei mit einer Phishing-Mail, die eine mit Schadcode versehene Exceltabelle enthielt. Mit dem Öffnen der Exceltabelle soll die Schadsoftware auf dem Opfersystem installiert worden sein. Der genaue Zeitpunkt dieser Erstinfektion ist hierbei nicht bestimmt worden, es wird jedoch von sehr ähnlichen Angriffen im Frühjahr 2015 auf andere Betreiber im Energie-Sektor der Ukraine berichtet, so dass sie vermutlich in Teilen bereits im März 2015 erfolgte.

Dann erlangte der Angreifer schrittweise Zugriff auf weitere,Systeme im Netz des Energieversorgers, darunter auch Anlagensteuerungssysteme (sog. SCADA-Systeme). Der Angreifer konnte sich über lange Zeit zielgerichtet im Netz bewegen und setzte unterschiedliche Techniken ein, um den Angriff zu verschleiern, dessen Wirkung zu erhöhen und die Beseitigung der Infektion zu erschweren.

Der eigentliche Sabotageangriff erfolgte dann in mehreren Schritten.

Im ersten Schritt wurden die eigentlichen Hochspannungsleistungsschalter einer größeren Anzahl von Umspannwerken bzw. Schaltanlagen geöffnet (Quellen sprechen von 30 bis 50 Anlagen), was unmittelbar zum Ausfall der Stromversorgung bei den Betroffenen geführt hat. Gleichzeitig wurden die Überwachungssysteme der Netzleitstellen „eingefroren“ bzw. abgeschaltet, so dass die Störung hier nicht feststellbar war. Die Quellen sind auch hierzu nicht eindeutig.

Im zweiten Schritt wurden koordinierte TDoS-Angriffe (Telephone Denial of Service) auf die Callcenter der Verteilnetzbetreiber gestartet. Diese führten zu einer Überlastung der Telefonleitungen, wodurch telefonische Störungsmeidungen durch Betroffene verhindert wurden.

Im dritten Schritt erfolgte die Erschwerung der Störungsbeseitigung. Hierfür wurde zunächst eine Kill-Disk-Komponente eingesetzt Dieses Modul löscht Daten auf Windows-Systemen und macht damit das Betriebssystem unbrauchbar. Eine vollständige Neuinstallation wird erforderlich, um das System wieder in Betrieb zu nehmen. Neben der zwischenzeitlich weit bekannten Sabotage der Steuerungsrechner mittels KillDisk wurde die Störungsbeseitigung zusätzlich noch durch weitere Eingriffe erschwert. Laut US DHS änderten die Angreifer in mehreren Fällen Passwörter für zentrale Systeme und sperrten so legitime Nutzer während der Störungsbeseitigung aus. Auch die Firmware auf Seriell-Ethernet-Konvertern, die die Schnittstelle zwischen Anlagensteuerung und Steuerungssoftware bilden, wurde überschrieben, wodurch diese effektiv zerstört wurden. Zudem wurden die unterbrechungsfreien Stromversorgungen (USV) der Server in den Zentralen der Energieversorger von den Angreifern über die Management1 Schnittstellen abgeschaltet. Der Stromausfall betraf dadurch unter anderem auch einen internen Telefonserver sowie das Datencenter und somit die Arbeitsfähigkeit der mit der Störungsbeseitigung beschäftigten Mitarbeiter des betroffenen Energieversorgers.

Aufgrund der Sabotage der im Regelbetrieb für die Fernsteuerung der Umspannwerke genutzten Leittechnik mussten die Schaltvorgänge in den Umspannwerken lokal manuell ausgelöst werden. Dadurch wurde die Wiederherstellung der Stromversorgung deutlich verzögert.

Bewertung

Anders als in vielen Presseberichten behauptet, kann kein direkter Zusammenhang zwischen der eingesetzten Schadsoftware und der Unterbrechung der Stromversorgung abgeleitet werden. Die Schadsoftware hat also nicht autark und automatisiert die Stromversorgung unterbrochen, sondern erlaubte lediglich manuellen Zugriff auf die Steuerungssysteme durch die Angreifer. Ob alle Systemausfälle am 23.12.2015 tatsächlich allein auf Cyberangriffe zurückzuführen sind, ist nicht belegbar, Cyberangriffe als Hauptangriffsvektor erscheinen aber sehr wahrscheinlich. Die Beteiligung eines Innentäters ist hiesiger Einschätzung nach allerdings nicht auszuschließen.

Die einzelnen Angriffsbausteine besitzen in sich jeweils keine besondere technische Komplexität. Sie nutzen bereits bekannte Schwachstellen und die – immer noch erfolgreiche Methode des Social Engineering, um eine Infektion zu bewirken. Höher qualifizierte und technisch anspruchsvollere Methoden und Techniken (z.B. Zero-Day-Exploits) waren für diesen Angriff nicht erforderlich, die für den Angriff eingesetzten Mittel waren bereits ausreichend. Die Angreifer verfügten allerdings über ausreichende Kenntnisse über die Systeme und Prozesse der Betreiber, um über den geschaffenen Fernzugriff durch gezielte Schalthandlungen großflächige Stromausfälle zu bewirken.

Der tatsächlich angerichtete Schaden an Komponenten beschränkte sich lediglich auf IT-gestützte Kommunikationssysteme im Bereich der Stations- und Netzleittechnik und nicht auf die eigentlichen stromführenden Anlagen. Reparaturen bzw. Austausch solcher elektrotechnischer Anlagen hätten wohl eher Wochen oder gar Monate benötigt. Aber selbst ohne das Herbeiführen physischer Zerstörungen wären durch systematischere Schalthandlungen wohl großflächigere, länger anhaltende Stromausfälle erreichbar gewesen. Dies legt die mehrfach geäußerte Einschätzung nahe, dass die Angreifer deutlich mehr Schaden hätten anrichten können, als sie verursacht haben.

Stromausfall in der Ukraine am 17.12.2016

Der Stromausfall

Am 17.12.2016 gegen Mitternacht Ortszeit kam es in der Ukraine wieder zu einem Stromausfall, der laut Medienberichten einige hunderttausend Einwohner betraf, aber lediglich etwa eine Stunde andauerte. Bei diesem erneuten Cybersabotageangriff wurde die Station Kiew des ukrainischen Übertragungsnetzbetreibers ███████ angegriffen. Erneut erfolgte die Wiederherstellung manuell.

Ursache: Der Cyberangriff

Es wird vermutet, dass die Angreifer wiederum bereits Monate zuvor die Netze des ukrainischen Energieversorgers ███████ kompromittiert hatten.

Bei dem eigentlichen Cybersabotageangriff am 17.12.2016 soll eine hochentwickelte Schadsoftware namens CrashOverride bzw. Win32/Industroyer eingesetzt worden sein, die gezielt auf die weltweit in der Energieinfrastruktur eingesetzten ICS/SCADA-Komponenten optimiert wurde. Es handelt sich um ein modular aufgebautes Framework, das industrielle Steuerungsprotokolle nutzt und laut dem Virenschutzhersteller ESET in der Lage ist, Leistungsschalter und Schaltanlagen in Umspannwerken direkt zu kontrollieren. Bei der Schadsoftware handelt es sich um einen Windows-Trojaner, so dass die Angreifer das Netzwerk in einem ersten Schritt erkunden, um dann die passenden Module zur Kompromittierung nachzuladen.

Ein hervorzuhebendes Merkmal der Schadsoftware ist ihre Art der Kommunikation: Sie verfügt über spezielle Module, die die Kommunikation zu den gängigsten Protokollen ermöglichen. Das bedeutet, dass Industroyer keine Lücken ausnutzen muss, sondern direkt mit den jeweiligen Industriekomponenten kommunizieren kann. Zudem ist keine direkte Kommunikationsverbindung zu C&C-Servern notwendig. Ober im Vorfeld terminierte Aktionen kann die Schadsoftware auch hinter einem sogenannten Air Gap agieren, wenn sie erst einmal eingeschleust werden konnte.

Ein weiteres Kennzeichen ist die modulare Aufbauweise, die es den Angreifern ermöglicht, die Schadsoftware den jeweiligen Umgebungen und Zielen individuell anzupassen. Dies setzt voraus, dass die Angreifer zuvor detaillierte Erkenntnisse zu den jeweiligen Opfernetzwerken erlangt haben müssen.

Die Schadsoftware verfügt darüber hinaus über ein Modul mit Löschfunktion, das sämtliche Spuren verwischen, Konfigurationsdateien löschen und das Betriebssystem zerstören kann. So ist die destruktive Komponente von Industroyer beispielsweise in der Lage, gezielt nach ABB-Dateien zu suchen und diese zu löschen.

Weiterhin besitzt die Schadsoftware eine Komponente, die DoS-Angriffe gegen SIEMENS SIPROTEC-Geräte ermöglicht. Dabei handelt es sich um Schutzgeräte, die Schäden durch Spannungsspitzen in Stromleitungen und Transformatoren verhindern sollen. Nach einem solchen DoS-Angriff kann das Schutzgerät seine Funktion erst nach einem manuellen Neustart wieder ausüben. In der Zwischenzeit ließen sich durch einen weiteren Angriff potentiell Zustände herbeiführen, die schwerwiegende Schäden an Geräten wie Transformatoren und damit physische Zerstörungen an Komponenten zur Folge hätten, wenn kein Schutzrelais mehr greift. Zur erfolgreichen Durchführung eines solchen Angriffs wären nach Einschätzung des Virenschutzherstellers Dragos Inc. allerdings noch signifikant mehr Ressourcen und Vorbereitung von Seiten Angreifer erforderlich gewesen als in diesem Fall gezeigt, da verschiedene Arten von Schutzrelais im Einsatz sind.

Bewertung

Mit dem modularen Framework steht erstmals ein Tool zur Verfügung, mit dem Schadsoftware speziell für ICS/SCADA-Umgebungen erstellt werden kann. In Industroyer steckt laut ESET viel Entwicklungsaufwand: Im ICS-Bereich benötigt der Angreifer Kenntnisse über die verwendeten Steuerungsprotokolle, um die Schadsoftware entsprechend zu programmieren.

Die modulare, erweiterbare Architektur, sowie die detaillierten Implementationen von ICS-Protokollen legen den Schluss nah, dass der Angreifer über aufwändige Test-Umgebungen verfügt und das langfristige Ziel verfolgt, in ICS-Netzwerke einzudringen.

Die von den Sicherheitsexperten veröffentlichten Analysen basieren auf Samples vom Dezember 2016. Es kann erwartet werden, dass das Framework seitdem weiter überarbeitet und verbessert wurde.

Auch bei diesem Stromausfall wurde die Vermutung geäußert, dass es sich um eine Machtdemonstration oder um einen Test der Reaktionen bzw. Training gehandelt habe: Die Angreifer hätten mit der hier gefundenen Schadsoftware wohl zumindest längere Stromausfälle provozieren oder über die DoS-Angriffskomponente gegen Schutzgeräte sogar physische Zerstörungen hervorrufen können.

Ein Zusammenhang zu Angriffen der Gruppierung Sandworm (s.u.) konnte in diesem Fall zwar nicht nachgewiesen werden. Dennoch weisen die Vorfälle hinsichtlich Fähigkeiten, Komplexität und Ziel deutliche Parallelen auf. Der zweite Vorfall stellt allerdings eine stark automatisierte Version des ersten Angriffs dar, so dass augenscheinlich eine stetige Weiterentwicklung der Angriffsfähigkeiten zu beobachten ist.

Erkenntnisse zu mutmaßlich verantwortlichen Gruppierungen

████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████

Cyberangriffskampagne Sandworm

Die seit mindestens 2014 aktive Angriffskampagne Sandworm vertilgt erkennbar auch das Ziel der Cybersabotage. Zu den Zielen der auch u.a. unter den (Samen VoodooBear, Electrum, Quedagh und SCADA-Connection bekannten Gruppierung zählen Regierungsstellen, Bildungseinrichtungen, Energieversorger, Telekommunikationsunternehmen sowie die NATO. Auch Angriffe auf den Flughafen Kiew und ukrainische Medienunternehmen werden dieser Angreifergruppe zugeschrieben. ████████████████████████████████████████████████

Sandworm nutzt die Schadsoftware BlackEnergy. Diese Software liefert ein modulares System, das sich auf die Bedürfnisse des Nutzers anpassen lässt und durch ein sehr einfaches Interface zu bedienen ist. Sie wurde zeitgleich mit dem Angriff auf die Stromversorgung Ende 2015 auch auf den IT-Systemen des ukrainischen Energieversorgers ███████████████████████ entdeckt.

Kurzer Exkurs zu BlackEnergy:

BlackEnergy wird in verschiedenen Entwicklungs- und Ausbaustufen seit Jahren durch unterschiedliche Gruppen verwendet, die hiermit Angriffe auf verschiedene Ziele in West- und Osteuropa, aber auch in der NATO und den USA durchführen.

In früheren Versionen – die Softwarefamilie gibt es bereits seit über zehn Jahren – handelte es sich laut iSIGHTPartners bei BlackEnergy primär um einen kriminell genutzten DDoS-Trojaner, zu dem später noch Finanzdatendiebstahl als Zielsetzung hinzukam. Erst 2014 wurde BlackEnergy dann im Rahmen von APT-Angriffen verwendet und eine Gruppe begann, SCADA-bezogene Plugins zu BlackEnergy zu nutzen.

Cyberangriffskampagne Berserk Bear

Die Angriffskampagne Berserk Bear (auch Energetic Bear, Dragonfly, Crouching Yeti, Koala Team, Dymalloy) ist seit mindestens 2011 aktiv. Sie konzentrierte sich in der Anfangsphase auf Verteidigungs- und Luftfahrtunternehmen in den USA und Kanada. 2013 wechselte der Fokus jedoch auf den Energiesektor und davon abhängige Branchen.

Aktuell liegen Erkenntnisse vor, die sich auch gegen deutsche Unternehmen aus dem Energiesektor richten. Im aktuellen Zielspektrum der Angreifer liegen vorwiegend KRITIS-Unternehmen (z.B. Energieversorgung, aber auch Wasserver- und -entsorgung sowie IKT). Dabei richteten sich die Angriffe der letzten Monate insbesondere gegen Infrastrukturkomponenten (z.B. Router).

Die Angreifer verwenden vielfach öffentlich zugängliche Angriffswerkzeuge und versuchen unzureichend gesicherte Systeme unter ihre Kontrolle zu bringen.

Berserk Bear operiert auch mit Spear-Phishing-Mails und Watering-Hole-Angriffen. Die Kampagne kompromittierte dabei laut dem IT-Sicherheitsunternehmen Symantec z.B. Webseiten mit Bezug zum Energiesektor. Ruft ein Opfer eine dieser präparierten Seiten auf, wird das Opfersystem auf Schwachstellen geprüft und anschließend mit Schadcode infiziert.

Bewertung

Technische Angriffsmöglichkeiten

████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████

████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████

Beobachtete Angreiferfähigkeiten

Spätestens mit Bekanntwerden des Stuxnet-Virus im Jahr 2010 wurde der breiten Öffentlichkeit die Gefährdung sicherheitskritischer IT-Systeme durch Cybersabotageangriffe eindringlich vor Augen geführt. Bei Stuxnet hatte es sich um einen sehr hochwertigen erfolgreichen Cybersabotageangriff auf das iranische Atomprogramm gehandelt. Eine direkte deutsche Betroffenheit durch schädliche Auswirkungen von Stuxnet war zwar nicht zu erkennen, der Vorfall hatte aber deutlich gemacht, dass auch die deutschen (Kritischen) Infrastrukturen durch solche oder artgleiche Cybersabotageangriffe potentiell als gefährdet anzusehen sind. Das ist einerseits damit zu begründen, dass die bei Cyberangriffen verwendeten, insbesondere zur Informationsabschöpfung / Spionage dienenden Schadprogramme – je nach Platzierung / Nähe zu den für die betrieblichen Prozesse der Stromversorgung relevanten IKT-Systemen (Netzleittechnik, OT, …) – durch Programmänderungen auch für Sabotagezwecke eingesetzt werden können. Hat ein Angreifer zudem erst einmal vollen Zugriff auf ein IT-System erlangt, kann er dort ungehindert weitere Aktionen: durchfuhren, darunter auch solche gegen dessen Integrität und Verfügbarkeit.

Andererseits können selbst solche zur Informationsabschöpfung/ Spionage dienenden Schadprogramme ausgenutzt werden, die sich mangels Nähe zu den eigentlichen, für die betrieblichen Prozesse der Stromversorgung relevanten IKT-Systemen nicht direkt in wirkungsvolle Sabotagewerkzeuge umwandeln lassen: Sie können dennoch eine komfortable Ausgangsbasis für die Kompromittierung relevanter IKT-Systeme bieten, wobei die zuvor über sie gewonnenen Informationen dem Angreifer ggf. weiter den Weg ebnen.

Für die Energieversorgung allgemein und insbesondere die Stromversorgung von besonderer Bedeutung ist die nach dem Angriff auf die Stromversorgung in der Ukraine vom Dezember 2016 im betroffenen Umspannwerk gefundene Schadsoftware CrashOverride. Diese ist strukturiert, modular erweiterbar aufgebaut und greift unmittelbar in die Kommunikationsprotokolle IEC 60870-5-101 und -104 sowie IEC 61850 ein, die ganz spezifisch in der Netz- und Stationsleittechnik eingesetzt werden, und kann über diese Protokolle technische Komponenten insbesondere in Umspannwerken und Schaltanlagen selbst und unmittelbar steuern bzw. schalten. CrashOverride eignet sich in der gefundenen Form ausschließlich für Angriffe auf IKT-gestützte Systeme, die spezielle Kommunikationsprotokolle nutzen, wie sie insbesondere in der Energieversorgung verwendet werden – kurz, für Angriffe auf sogenannte OT in der Energieversorgung.

Damit ist hier nachgewiesenermaßen eine Stufe der Expertise und des Ressourceneinsatzes von Angreifern und eine Qualität ihrer Angriffswerkzeuge Speziell für spezifische IKT-gestützte Technologien der Stromversorgung erreicht, die analog zur Schadsoftware Stuxnet für SSADA-/ICS- und Prozesssteuerungstechnologien allgemein ist. Der Einsatz von hochmodularer Schadsoftware mit erweiterbarer Architektur sowie die detaillierten Implementationen von ICS-Protokollen legen zudem den Schluss nahe, dass die Urheber über aufwändige Test-Umgebungen verfügen und das langfristige Ziel verfolgen, in ICS-Netzwerke einzudringen. Die Komplexität der Angriffe und der hierzu erforderliche Ressourceneinsatz sprechen dafür, dass hinter den Angriffen staatlich gesteuerte Akteure gestanden haben.

Festzuhalten ist zudem, dass die Angreifer bei dem Stromausfall in der Ukraine am 17.12.2016 mittels der festgestellten Software wohl auch längere Stromausfälle hätten provozieren – oder sogar über die DoS-Angriffskomponente gegen Schutzgeräte physische Zerstörungen hervorrufen können. Es kann nur spekuliert werden, ob hierin eine Machtdemonstration zu sehen und/oder ob bei ggf. zukünftigen Angriffen mit einer Weiterentwicklung des Angriffsmodus und einem noch umfangreicheren Schadensausmaß zu rechnen ist.

Beobachtete Zielsetzung

Unmittelbare Deutschlandbezüge ergaben sich bei dem ersten ukrainischen Stromausfall durch einen Cyberangriff im Dezember 2015 nicht. ████████████████████████████████████████████████ ████████████████████████████████████████████████ ████████████████████████████████████████████████ Dennoch zeigen diese Fälle, dass es dem Angreifer mit seinem Eindringen in das Netz des Energieversorgers vordergründig nicht um das Abgreifen von Informationen (also Spionage) ging, sondern vielmehr um das gezielte Ausschalten von Versorgungsinfrastruktur. Damit hat sich bereits mit dem ersten Angriff auf die ukrainische Stromversorgung ein Fall von schwerwiegender Cybersabotage auf einen Betreiber Kritischer Infrastrukturen – von dem grundsätzlich auch vergleichbare Einrichtungen in Deutschland betroffen werden könnten – verwirklicht.

Die im zweiten Cybersabotageangriff auf die ukrainische Stromversorgung eingesetzte Schadsoftware CrashOverride zielt technisch insbesondere auch auf diejenigen Kommunikationsprotokolle ab, die auch von Energieunternehmen in Europa insbesondere im Bereich der Strom- und Gasversorgung eingesetzt werden. ████████████████████████████████████████████████
████████████████████████████████████████████████

████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████

Umgesetzte bzw. geplante Schutzkonzepte/-maßnahmen der Stromnetzbetreiber

Betreiber von Strom- und Gasversorgungsnetzen müssen zur Absicherung der IKT-Systeme, die für den sicheren Netzbetrieb notwendig sind, den Sicherheitskatalog der BNetzA dauerhaft umsetzen und dies der BNetzA durch ein spezifisches Zertifikat nachweisen – erstmalig zum 31.01.2018. Die auf dieser Grundlage von Betreibern ggf. zusätzlich getroffenen Maßnahmen wirken auch den hier geschilderten Bedrohungen entgegen.

Betreiber von Energieanlagen (Strom/Gas), die unter die BSI-KritisV fallen, werden künftig ebenfalls einen Sicherheitskatalog der BNetzA umsetzen müssen, den die BNetzA derzeit im Benehmen mit dem BSI erstellt. Betreiber von Anlagen öder Systemen zur Bündelung/Steuerung elektrischer Leistung (insb. Direktvermarkter, virtuelle Kraftwerke), die unter die BSI-KritisV fallen, müssen angemessene Maßnahmen zum Schutz ihrer IKT-Systeme treffen, die für die Funktionsfähigkeit ihrer Anlagen maßgeblich sind, und dies gegenüber dem BSI geeignet nachweisen, erstmalig spätestens zum 03.05.2018.

Darüber hinaus wurden durch das IT-SiG Meldepflichten für alle Betreiber von Strom- und Gasversorgungsnetzen sowie Betreiber von solchen Energieanlagen, die unter die BSI-KritisV fallen, sowie für Betreiber von Anlagen oder Systemen zur Bündelung/Steuerung elektrischer Leistung (insb. Direktvermarkter und virtuelle Kraftwerke) eingeführt. Das BSI informiert alle o.g. Betreiber Kritischer Infrastrukturen über für sie relevante Informationen zur allgemeinen IT-Sicherheitslage, zu konkreten informationstechnischen Schwachstellen und über IKT-gestützte Angriffe, so dass sie anlassbezogen weitere Anpassungen ihrer Schutzkonzepte oder konkreten Abwehrmaßnahmen vornehmen können.

Für Betreiber von Energieanlagen oder Anlagen oder Systemen zur Bündelung/Steuerung elektrischer Leistung, die aufgrund der Unterschreitung von Schwellenwerten nicht unter die BSI-KritisV fallen, gelten diese gesetzlichen Regelungen so jedoch nicht. Diese Betreiber können durch Beitritt zum UP KRITIS ebenfalls an das Melde- und Informationswesen des BSI angeschlossen werden und erhalten dann ebenfalls aktuelle Informationen zur IT-Sicherheitslage, aktuelle Schwachstellen sowie aktuelle Cyber-Angriffe. Sie werden zudem vom BSI auf Anfrage bzgl. der Absicherung ihrer IT beraten. Sie sind allerdings außer im Rahmen der allgemeinen Sorgfaltspflicht und daraus bei Vorfällen unter Umständen resultierender Haftungsfragen sowie gegebenenfalls vertraglich aufgrund gängiger Industrienormen – nicht im Voraus zur Umsetzung von angemessenen Maßnahmen nach dem Stand der Technik verpflichtet.

Nach einer Abfrage im Rahmen des UP KRITIS halten die Experten die bestehenden Maßnahmen, wie beispielsweise die Trennung von Leitsystem und Bürokommunikation durch ein Zonenmodell, für ausreichend. Trotz der hohen flächendeckend eingeführten Basisschutzmaßnahmen, der sensibilisierten Mitarbeiter und der Segmentierung halten sie ein Szenario wie in der Ukraine im Dezember 2015 in Deutschland nicht für völlig ausgeschlossen. Allerdings sehen sie den nötigen Aufwand und das benötigte Insiderwissen, um solch ein Szenario zu erreichen, als deutlich höher an.

████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████

Schlussfolgerungen für die Bedrohungslage der Energieversorgung in Deutschland

Sabotageaktionen gegen kritische Energieinfrastrukturen in Deutschland sind bislang nicht bekannt geworden. Bei den Angriffen auf die Stromversorgung in der Ukraine konnte kein unmittelbarer Bezug nach Deutschland festgestellt werden. Anders verhält es sich bei Ausspähungsaktivitäten, bei denen eine Betroffenheit deutscher Unternehmen durchaus festzustellen ist; In der Gesamtschau verdichten sich Hinweise, dass eine oder mehrere Tätergruppen langfristige Anstrengungen unternehmen, um Energie-Infrastrukturen in den USA und Europa aufzuklären. Dafür sprechen die aktuelle Angriffskampagne „Berserk Bear“, die sich gegen deutsche und internationale Unternehmen, insbesondere aus dem Energiesektor richtet, Meldungen über Spear-Phishing-Angriffe auf Energie-Unternehmen von Mitte Juli 2017 sowie eine Reihe anderer Sachverhalten in den letzten Jahren. Die geschilderten Kampagnen belegen, dass Akteure langfristig und mit großem Aufwand Kompetenzen aufbauen und spezifische Angriffsmethoden und -werkzeuge entwickeln, um wirksam Angriffe gegen Prozesssteuerungsanlagen durchführen zu können – vor allem im Energiesektor. Als besonders kritisch ist zu bewerten, dass die beobachteten Aktivitäten nicht nur auf reine Informationsbeschaffung abzielen, sondern auch Sabotage-Fähigkeiten und -Absichten zeigen.

Bei diesen Aufklärungsaktivitäten stehen auch deutsche Unternehmen im Fokus der Angreifer.

████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████

Kritische Infrastrukturen in Deutschland sind Gegenstand umfangreicher Schutzmaßnahmen (siehe Unterkapitel „Umgesetzte Schutzkonzepte/-maßnahmen der Stromnetzbetreiber“). Auch Experten aus der Energiewirtschaft, die im Rahmen des UP KRITIS befragt wurden, schätzen Risiken durch Monokulturen (z.B. Smart Meter, IDS High-Leitprodukte, die aufgrund passenden Zuschnitts auf die spezifischen Anforderungen der Branche in vielen Anlagen eingesetzt werden) als wahrscheinlicher ein, als einen Angriff wie 2015 in der Ukraine.

████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████
████████████████████████████████████████████████

Grundlegende Veränderungen durch gravierende (außen-)politische Entwicklungen oder wirtschaftliche Veränderungen und eine tatsächliche oder unterstellte mögliche Verwicklung Deutschlands in internationale Konflikte mit ernstzunehmenden staatlichen Cyberakteuren bergen allerdings das Risiko, dass vor diesem Hintergrund Cybersabotageaktionen gegen IT-Systeme in Deutschland oder deutscher Unternehmen im Ausland durchgeführt werden könnten. KRITIS-Bereiche und hier insbesondere die Energie- bzw. Stromversorgung stellen hierbei dann ein bevorzugtes Angriffsziel für Cyberangriffe dar.

Zusammenfassend liegen aktuell keine Erkenntnisse vor, die für eine konkrete/ unmittelbare Gefährdung deutscher Unternehmen aus dem Energiesektor durch Cybersabotageangriffe mit dem Ziel der Herbeiführung eines Stromausfalls sprechen.

Ausblick: Konsequenzen/Schlussfolgerungen für andere KRITIS-Sektoren

Die Angreifergruppierung Sandworm zielt neben Energieunternehmen auch auf andere Sektoren Kritischer Infrastrukturen ab, z.B. Transport- oder Telekommunikationsunternehmen. Die Cybersabotage-Beispiele aus der Ukraine zeigen, dass auch hier Angriffe auf andere Sektoren erfolgten.

Aufgrund des modularen Aufbaus der Schadsoftware CrashOverride ist prinzipiell eine Erweiterung des Frameworks um andere Protokolle möglich, sodass sowohl Payloads für weitere Industrieprotokolle als auch weitere Schadfunktionen implementiert werden können. Dadurch ist der Einsatz der Schadsoftware auch in anderen Sektoren denkbar. Analysen der IT-Sicherheitsexperten deuten zudem an, dass die hinter der Entwicklung von CrashOverride steckenden Hacker tatsächlich auch Module für weitere Steuerungsanlagen entwickelt haben dürften. Es muss folglich davon ausgegangen werden, dass zukünftig nicht mir der Energiesektor von Angriffen dieser Art bedroht ist.

Im aktuell beobachteten Aufklärungsinteresse stehen zudem auch andere Sektoren, z.B. Wasserver- und -entsorgung sowie Informationstechnik und Telekommunikation. Gerade erstere verwendet in Teilen die gleiche bzw. ähnliche Technik wie die Stromversorgung, so dass hier eine Anpassung von Angriffswerkzeugen ggf. leichter möglich ist.

Andere Vorfälle zeigen, dass Angriffe, die möglicherweise physische Zerstörungen mit sich bringen könnten, auch in anderen Branchen bereits durchgeführt werden. Im Fall von TRITON/TRISIS sollen Angreifer versucht haben, ein Sicherheitssystem (Safety Instrumented System) einer Industriesteueranlage im Nahen Osten so zu manipulieren, dass es im Fall einer technischen Störung eine Beschädigung der Anlage nicht mehr hätte verhindern können.

Handlungsempfehlungen

Angesichts der zunehmend professionell durchgeführten Cyberangriffe in der Ukraine und der feststellbaren Ausspähungsaktivitäten auch gegen deutsche Unternehmen erscheint eine stetige Analyse der Angreiferfähigkeiten und Verbesserung der Schutzmaßnahmen angebracht.

Die betroffenen Infrastrukturen liegen zumeist in privatwirtschaftlicher Hand, so dass eine Umsetzung entsprechender Schutzmaßnahmen durch die Wirtschaft erfolgen muss. Dem Staat obliegt lediglich „die Möglichkeit – insbesondere vor dem Hintergrund der Daseinsvorsorge regulatorisch nachzusteuern, wenn der allgemeine Stand umgesetzter Schutzmaßnahmen unzulänglich erscheinen sollte.

Die zuständigen staatlichen Stellen sollten dabei zunächst einen ständigen, zeitnahen Informationsaustausch über neue Erkenntnisse mit den Betreibern aufrecht erhalten sowie konsequent vertrauensbildende Maßnahmen verfolgen, um gerade bei Vorfällen bei Betreibern, die hierzu nicht verpflichtet sind, eine höhere Quote freiwilliger Meldungen zu erreichen.

Eine konsequente Sensibilisierung der Betreiber, die nicht unter gesetzliche Verpflichtungen wie § 11 Abs. lb EnWG oder § 8a Abs. 1 BSIG fallen, einschließlich der Werbung für die Umsetzung bestehender Maßnahmenkataloge wie bspw. branchenspezifischer Sicherheitsstandards nach §8a Abs. 2 BSIG oder des IT-Grundschutz-Kompendiums des BSI, bietet sich ebenfalls weiter an.

Vielfach sind die Betreiber der Infrastrukturen allerdings auf die Sicherheit und Qualität des Designs der von Dritten gekauften ICS/SCADA-Komponenten sowie ein adäquates Schwachstellen- und Patch-Management durch Lieferanten, Hersteller und Dienstleister angewiesen. Der UP KRITIS hat Best-Practice-Empfehlungen für entsprechende Anforderungen an Dritte veröffentlicht, die in den relevanten Verträgen der Betreiber verankert werden sollten. Beim Kauf von sogenannten Off-the-shelf-Produkten können diese allerdings kaum zur Anwendung kommen. Auch in der relevanten, bestehenden Gesetzgebung wie dem IT-SiG, beziehungsweise dem EnWG, sind derzeit keine Anforderungen an Lieferanten für KRITIS-Betreiber festgeschrieben. Hier bietet sich eine Überprüfung der Standards der Hersteller und gegebenenfalls eine legislative Anpassung an.

Neben der betreiberseitigen Verbesserung von Schutzmaßnahmen zur Reduzierung der Vulnerabilität besteht insbesondere bezüglich der Veröffentlichung von Infrastrukturdaten allerdings auch staatlicher Regelungsbedarf: Um Angriffsziele zu identifizieren, über die ein größeres Schadensausmaß erreicht werden könnte, werden grundlegende Daten zu den relevanten Infrastrukturen benötigt. Dem stehen teilweise Transparenzpflichten wie die INSPIRE-Richtlinie der Europäischen Union, gesetzlich geregelte Auskunftsersuchen wie Anfragen nach dem DigiNetzG oder dem IFG oder andere öffentliche Datensammlungen (z.B. OpenStreetMap) gegenüber. Eine Prüfung von Ausnahmeregelungen oder speziellen Sicherheitsanforderungen für besonders sensible Daten von KRITIS-Betreibern erscheint angebracht.

Selbst bei optimal umgesetzten Schutzmaßnahmen bleibt ein Restrisiko, dass ein Cybersabotageangriff auf die Stromversorgung doch seine Wirkung entfalten könnte. Für diesen Fall sollte der Dialog mit den Betreibern gesucht werden, um auf im Vorfeld ausführlich ausgearbeitete Pläne zum Wiederanfahren der Stromversorgung auch nach Kompromittierung der IT-Systeme hinzuwirken. Das Vorhalten solcher Pläne ist momentan keine Anforderung an die Betreiber nach EnWG oder IT-SiG. Auch gemeinsamen Krisenübungen von Staat und Betreibern kommt in diesem Kontext eine hohe Bedeutung zu, um das gegenseitige Verständnis für die jeweiligen Strukturen und Vorgehensweisen zu erhöhen und die Abläufe einer Krisenbewältigung einschließlich der gegenseitigen Information zu optimieren.

Die Möglichkeit, dass ein Stromausfall auch durch einen Cybersabotageangriff herbeigeführt werden könnte, verdeutlicht schließlich einmal mehr den hohen Stellenwert, der den Maßnahmen zur Abmilderung der Konsequenzen eines solchen Ereignisses beigemessen werden sollte. Dies betrifft einerseits die Vorbereitung von geeigneten Strukturen, um eine solche Krise abzuarbeiten, aber andererseits auch die Umsetzung geeigneter vorbereitender Maßnahmen, bspw. zur Notstromversorgung kritischer Bereiche oder zur Sicherstellung einer ausreichenden Treibstoffversorgung für die Krisenbewältigung.


Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.