Hacker greifen Energieversorger an

Blackout - Hacker greifen Energieversorger an

Das Bundesamt für Verfassungsschutz hat gewarnt: Hacker attackieren gezielt deutsche Energieversorger. Wie sicher sind unsere Unternehmen? Das haben für uns Hacker getestet. Das Ergebnis: Kleinen Energieunternehmen fehlen häufig die Ressourcen die IT-Sicherheit zu garantieren. Bereits nach einer Woche haben IT-Spezialisten einen Energieversorger unter ihre Kontrolle gebracht. Experten bestätigen: Schalten Hacker koordiniert mehrere solcher kleinen Unternehmen ab, kann dies zu einem großen Blackout führen. Solche Angriffe gab es bereits in der Ukraine. Um die hybride Gefahr abzuwehren, sind wir schlecht aufgestellt. Die Sicherheitszertifikate gelten als löchrig und die Zuständigkeit zwischen Behörden wird hin und hergeschoben.

Anmoderation: Wenn das länger dauert, kommen wir ganz schnell an unsere Grenzen, das haben wir immer wieder von den Helfern gehört und daraufhin die Bundesregierung gefragt, wie Deutschland eigentlich auf einen großen Blackout vorbereitet ist. Die Antwort ist kurz: "Es gibt keinen nationalen Notfallplan." Dabei halten sie selbst gezielte Angriffe auf deutsche Energieversorger für eine echte Gefahr. Angriffe von Hackern. Cosima Gill und Chris Humbs haben über Monate recherchiert und zeigen ihnen, wie einfach es ist, in Deutschland ganze Kraftwerke lahmzulegen.

Droht ein großer Blackout? Wie gefährdet ist unser Stromnetz tatsächlich? Deutsche Energieunternehmen sind im Visier von Hackern. Davor warnte der Verfassungsschutz schon 2018. IT-Experten gehen sogar noch weiter:

"Deutschland als Land ist Hackern derzeit ausgeliefert."

Stimmt das wirklich? Berlin Mitte: In unserem Auftrag versuchen IT-Spezialisten der Firma SR-Labs in ein Computernetzwerk einzudringen. Normalerweise beraten sie große Energiekonzerne. Dieses Mal ist ihr Angriffsziel: Ein kleinerer Stromversorger im Südwesten Deutschlands.

Stephan Zeisberg, IT-Spezialist

"Im ersten Schritt sammeln wir öffentlich zugängliche Informationen zu dem Unternehmen. Da geht es um IP-Adresse und Domains. Was für Software läuft denn da überhaupt?"

In einer Büro-Software des Energieversorgers finden sie bereits nach einer Stunde die erste Lücke.

Stephan Zeisberg, IT-Spezialist SR-Labs

"Wir konnten uns dann direkt einloggen und in dem Portal konnten wir dann schon durchaus sensible Informationen abgreifen, wie unter anderem eine Liste für die Weihnachtsfeier mit Mitarbeitern und E-Mail-Adressen."

Die IT-Spezialisten nutzen diese persönlichen Daten um, parallel zu ihrem Software-Hack weitere Zugänge zu bekommen. Sie mailen die Mitarbeiter des Energieversorgers an:

Stephan Zeisberg, IT-Spezialist SR-Labs

"Hallo, hier ist der Administrator. bitte ändert doch schnell unter diesem Link euer Passwort. Dann haben wir eine Webseite kopiert vom Aussehen, so dass die Mitarbeiter nicht dachten, dass es ein Angreifer ist."

Die sogenannte Phishing-Mail ist erfolgreich. 30 Mitarbeiter des Energieunternehmens tappen in die Falle und geben ihre Passwörter preis. Wir informieren den Stromanbieter über den Hack – er möchte unerkannt bleiben. Aber: Wir dürfen mit den Mitarbeitern sprechen.

Kontraste

"Warum sind sie denn auf die Phishing-Mail hereingefallen?"

Anonym

"Ich habe  - glaube ich – nicht weiter darüber nachgedacht. Die mail kam mir ja sehr vertraut vor."

Auch die Kollegin nebenan ist darauf reingefallen.

Über andere Wege kommen die IT-Spezialisten sogar an die Passwörter der Administratoren.

Kontraste

"Diese Passwörter haben Hacker bekommen, weil sie in ihr System eindringen konnten, Was sagen sie dazu, sie sind von der IT-sicherheit?"

Anonym

"ja, das ist Scheiße. Oh."

Kontraste

"könne sie sich erklären, wie die Hacker an diese Passwörter kamen?"

Anonym

"Das ist eine verdammt gute Frage."

Kontraste

"Soll ich Ihnen die Liste hier lassen?

Anonym

"…Ja, das wäre gut."

Den endgültigen Durchbruch schaffen die IT-Spezialisten, in dem sie auf einen veralten Server des Stromanbieters zugreifen können. Darüber haben sie freien Zugang auf das gesamte System.

Stephan Zeisberg, IT-Spezialist SR-Labs

"Das Einfallstor war ein altes Windows 2003 System auf dem sich der Administrator mit den höchsten Rechten eingeloggt hatte und das konnten wir innerhalb von Sekunden übernehmen und hatten dann die Möglichkeit wirklich das gesamte Netzwerk auch zu steuern."

Der IT-Verantwortliche des Energieunternehmens räumt ein:

"Sie haben eine alte Software ausgenutzt, die nicht mehr gepflegt wird und die eigentlich auch bei uns schon hätte abgeschaltet werden sollen."

Kontraste

"Warum war die denn noch nicht abgeschaltet?"

Anonym

"Mhh…Das ist….Provisorien halten am längsten."

Das Problem dahinter: Zwei unterschiedliche Netzwerke waren nicht wie vorgeschrieben getrennt. Es gab Verbindungen zwischen dem Büronetz und dem Steuerungsnetz für die kritische Infrastruktur. Das Steuerungssystem muss per Vorschrift lückenlos abgeschirmt sein, die Bürosoftware nicht.

So entstehen Einfallstore, die die Hacker nutzen können – mit gravierenden Folgen.

Mitarbeiter Energieunternehmen

"Den Laden komplett zu übernehmen, wäre gar kein Problem gewesen. Als die Hacker auf der Leitstelle waren hätten sie unsere erneuerbaren Energieeinspeiser ausschalten können, Solaranlagen, Wasserkraftanlagen. Da hätten sie Unruhe ins Netz bringen können. Sie hätten aber auch einzelne Transformatoren ausschalten können im Netz."

Bei einigen tausend Haushalten wäre das Licht ausgegangen.

Der Chef der Berliner IT-Experten ist sich sicher, das Versagen ist systematisch.

Karsten Nohl, IT-Spezialist SR-Labs "Kleine Energieanbieter sind von der Technik heute überfordert. Digitalisierung hat zu sehr großen Veränderungen geführt und man versteht die Technik heute nicht mehr vollumfänglich. Man hat keine Aufmerksamkeit oder Fachkompetenz alle Hacking-Möglichkeiten abzustellen."

(Nun,) erstmal wären die Auswirkungen durch einen Hackerangriff auf kleine Energieversorger überschaubar. Ein lokaler Stromausfall. Vielleicht sind 50.000 Haushalte betroffen – auch Firmen – aber nur für ein paar Stunden.

Andere Energieunternehmen würden den Ausfall schnell kompensieren.

Jedoch: Wenn auch diese Stromversorger zeitgleich von Hackern angegriffen werden, kann ein Blackout entstehen – ein Kontrollverlust, ein großflächiger, ja nationaler Stromausfall.

Karsten Nohl, IT-Spezialist SR-Labs

"Ein großflächiger Blackout ist sehr real, wenn sich eine ausreichend gut finanzierte Gruppe findet, die über mehrere Monate generalstabsmäßig planen kann."

Kaum ein Energieversorger ist bereit, das öffentlich zuzugeben

Eberhard Oehler – der Chef der Ettlinger Stadtwerke – ist eine Ausnahme. Er will die Branche aufrütteln. Auch er wurde vor ein paar Jahren zu Testzwecken gehackt. Erfolgreich. Der Hacker hatte auch hier vollen Zugriff auf die beiden Hauptschalter des Stromnetzes.

Eberhard Oehler, Stadtwerke Ettlingen

"Die Technologie, die wir einsetzen, die wird von etwa 250 anderen Stadtwerken unserer Größenklasse eingesetzt. Und wenn ein Hacker einen Weg gefunden hat hier einzudringen, dann ist es ein leichtes auch für ihn im Nachbarstadtwerk, das die gleiche Software hat, ebenfalls einzudringen. Und wenn er dann mehrere Stadtwerke hintereinander oder auch zeitgleich ausschaltet, dann haben wir einen Dominoeffekt."

So geschehen 2015 in der Ukraine. Eine Cyberattacke auf 16 Knotenpunkte legte eine ganze Region lahm. Ein Jahr später traf es die Hauptstadt Kiew. Dahinter steckt der Kreml so die westlichen Geheimdienste. Die Attacke soll Teil der Kriegsführung im Ukrainekonflikt gewesen sein.

Auch in den USA sind russische Hacker in die Systeme von Energieunternehmen eingedrungen. Darunter auch ein Atomkraftwerk.

Die US-Sicherheitsbehörden schreiben 2018 in einem Report:

"Die US-Regierung geht davon aus, dass von der russischen Regierung unterstützte Cyber-Akteure diese weltweite Kampagne durchgeführt haben…"

Betroffen ist auch Deutschland. Und die Art der Angriffe  hat sich verändert, bestätigt das zuständige Bundesamt für IT-Sicherheit:

Arne Schönbohm, Bundesamt für Sicherheit in der Informationstechnik

"Früher war es eigentlich eher so ein bisschen testen mittlerweile hat man den Eindruck, dass man versucht in die Netze hinein zu gehen, sich dann dort einzunisten, um sich vorzubereiten für den Fall der Fälle, dass man doch aktiv werden möchte."

Vor allem die kleinen Unternehmen sind angreifbar. Und genau von denen gibt es seit der Energiewende immer mehr.

Die klare Trennung: Büronetz und Steuerungsnetz wird hier oft nicht eingehalten, trotz verpflichtender Prüf-Zertifikate. Diese sind offenbar zu lasch.

Und: Den kleinen fehlen die Spezialisten und das Geld alles auf Herz und Nieren zu prüfen.

"Kleine Energieunternehmen werden alleine gelassen. Sie müssen alle ihre Systeme selber prüfen, sie müssen sich auf die Hersteller verlassen, der Staat gibt uns keine Hilfestellung."

Wir konfrontieren das zuständige Bundesamt - Dort schiebt man die Verantwortung zurück an die Stromversorger. Man akzeptiert sogar die Sicherheitslücken:

Arne Schönbohm, Bundesamt für Sicherheit in der Informationstechnik

"Das ist eben genau die Frage des Risikomanagements. Welche Risiken bin ich bewusst bereit einzugehen und welche nicht. Alles kostet ja dementsprechend auch Geld und Ressourcen und da muss natürlich eine vernünftige wettbewerbsfähige belastbare Erzeugung gewährleistet werden."

Gefährliche Sicherheitslücken bei kleinen Energieversorgen. Alle Verantwortlichen räumen sie ein.  Und noch immer fehlt es an Bewusstsein:

Karsten Nohl, IT-Spezialist SR-Labs

"Die Generation unserer Eltern hat sich über Atomwaffen Sorgen gemacht. Bei uns ist es langsam an der Zeit sich über digitale Waffen Sorgen zu machen."

Beitrag von Cosima Gill und Chris Humbs

weitere Themen der Sendung

19.02.2019, Berlin: Aufgrund eines Stromausfalls ist die Straßenbeleuchtung im Stadtteil Köpenick nicht im Betrieb (Quelle:
dpa/Jörg Carstensen

31 Stunden Blackout Berlin

Es war der größte Stromausfall seit Jahrzehnten in Berlin. Betroffen waren 31000 Haushalte - über 31 Stunden. KONTRASTE-Reporter waren unterwegs, um herauszufinden, was das mit Menschen macht: in einem 11-stöckigen Hochhaus, einem Einfamilienhaus, bei der Feuerwehr im Brandeinsatz und in einer Klinik, die bis auf die Intensivstation zeitweise im Stockdunkeln lag.

Ein Syrer bei der AfD im Bundestag

Ein dubioser Flüchtling - Ein Syrer bei der AfD im Bundestag

Die Position der AfD ist eindeutig: geflüchtete Syrer müssen so schnell wie möglich wieder in ihre Heimat zurück und dort ihr Land aufbauen - auch dann, wenn sie in Deutschland einen Arbeitsplatz gefunden haben. Doch bei sich selbst macht die AfD offenbar eine Ausnahme: im Büro des Bundestagsabgeordneten Markus Frohnmaier arbeitet ein Flüchtling aus Syrien - ein Anhänger des Assad-Regimes. Sein Ziel: Stimmung machen gegen andere Flüchtlinge. Und: er räumt freimütig ein, vor allem aus wirtschaftlichen Gründen geflüchtet zu sein. 

Walter Steinmeier (Quelle: Wolfgang Kumm/dpa)
Wolfgang Kumm/dpa

Gefährliche Iran-Politik - Wie die Bundesregierung sich bei den Mullahs anbiedert

Auch nach dem Ausstieg der USA aus dem Atomabkommen mit dem Iran hat das Mullah-Regime seine aggressive Politik beibehalten. Teheran baut sein Raketenprogramm weiter aus, tritt die Menschenrechte mit Füßen und droht Israel unverhohlen mit Vernichtung. Doch während die USA versuchen, die Mullahs mit harten Sanktionen zum Einlenken zu bringen, arbeitet die Bundesregierung an einem Weg, die US-Sanktionen zu umgehen. Krampfhaft versucht Berlin, die Iraner im Abkommen zu halten und scheut dabei auch vor Anbiederung und diplomatischen Verrenkungen nicht zurück. Jüngstes Beispiel: das Glückwunschtelegramm des Bundespräsidenten zum 40. Jahrestag der islamischen Revolution.