Computer-Tastatur im Dunkeln | Bildquelle: picture alliance / Silas Stein/d

Nach Attacke in Saudi-Arabien Hackergefahr für deutsche Chemiewerke

Stand: 23.10.2018 17:00 Uhr

Ein Hackerangriff auf ein saudisches Gaswerk führte fast zur Katastrophe. Das BSI sieht auch eine Gefahr für deutsche Konzerne. Experten wollen in Russland einen Schuldigen ausgemacht haben.

Von Jan Lukas Strozyk, NDR

Es war ein skrupelloser Hackerangriff: Im August 2017 dringen Angreifer in die Systeme einer Gasfabrik in Saudi-Arabien ein. Sie haben viel Zeit, gehen behutsam vor, Daten der Firma kopieren sie nicht. Ihr Ziel: Sicherheitsmechanismen mit Hilfe von Schadsoftware ausschalten, die Explosionen und andere Unfälle verhindern sollen. Auch Menschenleben gefährden sie so. Der Angriff scheitert und wird entdeckt, verletzt wird niemand.

Lange rätselten Sicherheitsexperten auf der ganzen Welt, wer hinter dem Angriff steckte. Der Aufwand bei der Attacke war groß, die Schadsoftware offenbar genau auf ein bestimmtes Sicherheitssystem zugeschnitten.

Ziel war aber offenbar nicht das Ausspionieren von Firmenwissen oder das Kopieren von Unterlagen, sondern allein die Zerstörung der Fabrik. Schnell war daher die Rede von einem staatlichen Akteur. Die "New York Times" berichtete von Hinweisen in Richtung Iran, die allerdings nebulös blieben. Einige Experten spekulierten, dass es sich um einen Test gehandelt haben könnte - ein bedrohliches Szenario auch für Hunderte Industrieanlagen in Deutschland, die ähnliche Systeme einsetzen und damit zum Angriffsziel werden könnten.

BSI kooperiert mit potenziell bedrohten Konzernen

Dieser Theorie folgte offenbar auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Wie NDR und "Süddeutsche Zeitung" erfahren haben, ging das BSI unmittelbar nach Bekanntwerden des Hacks auf mehrere deutsche Chemiekonzerne zu - darunter DAX-Unternehmen -, um vor der Attacke zu warnen. Sie hielten die Gefahr offenbar gar für so konkret, dass BSI-Mitarbeiter sich über Wochen hinweg mit Unternehmensvertretern trafen und die spezifische Gefahrenlage für die jeweils eingesetzten Systeme analysierten. In einer eigens eingerichteten Testumgebung simulierten die Experten den Angriff und versuchten so, die Netze der deutschen Konzerne sicher zu machen.

Ein Sprecher des BSI sagte auf Anfrage, die Behörde habe im Zusammenhang mit der in Saudi-Arabien eingesetzten Schadsoftware "seit Ende 2017 bereits zwei Warnungen an den Kreis möglicher Betroffener herausgegeben und Detektionsmöglichkeiten aufgezeigt".

Zudem habe das BSI das Thema in das Nationale Cyber-Abwehrzentrum eingebracht, wo es behördenübergreifend analysiert und bewertet werde. Im Nationalen Cyberabwehrzentrum arbeiten verschiedene Behörden zusammen, darunter neben dem BSI auch das Bundeskriminalamt, das Bundesamt für Verfassungsschutz, der Bundesnachrichtendienst und die Bundeswehr.

Mehr zum Thema

Hintermänner in Moskau?

Wie die Hacker vorgingen und wer mutmaßlich hinter der Attacke steckte, offenbart ein Bericht der IT-Sicherheitsfirma Fireeye, der NDR und "SZ" vorliegt. Das US-Unternehmen wurde damals von der saudischen Gasfirma beauftragt, die Attacke zu untersuchen.

Der Bericht beleuchtet eine vielversprechende Spur zu einem der Hintermänner des Angriffs: Im Zentralen wissenschaftlichen Forschungsinstitut für Chemie und Mechanik in Moskau, einem staatlichen Labor, das an das russische Militär angeschlossen ist, soll - so berichten es die IT-Experten - einer der Hacker sitzen, der den Angriff in Saudi-Arabien vorbereitete. An der Attacke waren mutmaßlich weitere Hacker beteiligt, inwiefern sie ebenfalls zu dem Labor gehören, ist unklar. Der Bericht sorgte auch bei deutschen Behörden für großes Aufsehen, heißt es aus Sicherheitskreisen.

Dass eine Sicherheitsfirma einen konkreten Mitarbeiter als Täter benennt, ist bemerkenswert selten der Fall, insbesondere bei einem derartig aufsehenerregenden Angriff. Normalerweise werden solche Hacks Staaten zugeordnet, gelegentlich auch konkreten Nachrichtendiensten. Im Oktober zum Beispiel teilte Regierungssprecher Steffen Seibert mit, dass der russische Geheimdienst GRU hinter den Angriffen auf den Bundestag stecken soll, der im Mai 2015 bekannt geworden war.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Köln | Bildquelle: dpa
galerie

Das BSI ließ über den Vorfall im Nationalen Cyber-Abwehrzentrum diskutieren.

Angeblich verräterischer Spitzname im Dateipfad

Aber Fireeye scheint sich seiner Sache sehr sicher zu sein. Mit "hoher Konfidenz" komme man zu dem Ergebnis, dass der Mitarbeiter an dem Angriff beteiligt gewesen ist, heißt es in dem Papier aus dem September dieses Jahres. Der Name des Mitarbeiters wird in dem Bericht nicht genannt. Fireeye gibt an, den Mann unter anderem mit Hilfe von Dateipfaden identifiziert zu haben, die in einen Teil der Software einprogrammiert waren. Einer der Pfade soll den Spitznamen des Mannes preisgegeben haben, anhand dieses Namens wiederrum konnte man ihm unter anderem Fotos aus sozialen Netzwerken zuordnen, die in der Nähe des Militärinstituts aufgenommen worden seien.

Außerdem wird dem Angriff eine IP-Adresse zugerechnet, über die sich eine Verbindung zu dem Institut herstellen lasse. Das zeitliche Muster der Aktivitäten der Schadsoftware passe zudem zur Moskauer Zeitzone.

Reporter von NDR und "SZ" sprachen im Zusammenhang mit dem Angriff außerdem mit mehreren Experten, die anonym bleiben wollten. Keiner von ihnen zweifelte die grundsätzliche Plausibilität an, auch wenn der Bericht an einigen Stellen offenbar bewusst Details nicht nennt.

"Die schlimmste Sorte von Angreifern"

Auch die Sicherheitsfirma Dragos beschäftigte sich mit der Hackergruppe. Ihr Chef Robert Lee hält sie für "die schlimmste Sorte von Angreifern, da sie beim Angriff in Saudi-Arabien mit voller Absicht Menschenleben in Gefahr gebracht haben". Sein Unternehmen spricht sogar von der "mit Abstand gefährlichsten Gruppe, die öffentlich bekannt ist". Dragos ist spezialisiert auf kritische Infrastrukturen, zum Beispiel Kraftwerke und Stromnetze.

Warum der Angriff auf die Gasanlage in Saudi-Arabien glimpflich ausging und letztlich entdeckt wurde, ist bis heute unklar. Der Energiekonzern Saudi Aramco, der Medienberichten zufolge mit der Fabrik in Geschäftsbeziehung stehen soll, lehnte eine Stellungnahme zu dem Vorfall ab und teilte lediglich mit, dass firmeneigene Infrastruktur nicht betroffen war.

Über dieses Thema berichtete NDR Info am 23. Oktober 2018 um 17:15 Uhr.

Darstellung: