Die 2015-Cyberattacke auf das ukrainische Energienetz war bisher die erste erfolgreiche der Geschichte. Ein Team aus verschiedenen Sicherheitsfirmen erstellte eine forensische Analyse des Angriffs und kommt zum Schluss: Die zunehmende Digitalisierung und Automatisierung erfordern  stärkere Sicherheitsvorkehrungen. Dies gilt vor allem auch für Smart Grids, die auf existierenden, zentral gesteuerten Stromnetzen aufbauen.

Ein Smart Grid ist ein evolvierendes neues Energieversorgungssystem mit einer mehrschichtigen, ICT-getriebenen (Information and Communication Technology) Infrastruktur. Sensoren der nächsten Generation, Smart Meters und elektronische Geräte sind integrale Komponenten des Smart Grids. Genau diese Geräte mit ihrer Integration in digitale Kommunikationsnetzwerke können neue Angriffspunkte für Cyberattacken bieten.

Smart Grids befinden sich noch in der Anfangsphase. Dasselbe gilt auch für ihre Sicherheitssysteme, aber auch für potentielle Hacker. Es gelang erst einmal, überhaupt ein Energienetz erfolgreich zu hacken, zu sabotieren und einen flächendeckenden Stromausfall auszulösen. Die Cyberattacke auf das ukrainische Energienetz im Dezember 2015 konzentrierte sich auf Verteilstationen, die bereits einen fortgeschrittenen Grad digitaler Automatisierung aufwiesen.

Cyberattacke auf ukrainische Verteilstationen

Am 23. Dezember 2015 erlitten drei ukrainische Energiefirmen einen Stromausfall wegen dem illegalen Eintritt von Dritten in ihre Computersysteme, auf der Ebene der Verteilstationen. 225000 Kunden waren für mehrere Stunden betroffen, bevor die Energiefirmen auf manuellen Modus umschalten konnten. Ukrainische Regierungsmitglieder machten kurz darauf russische Sicherheitsdienste für den Angriff verantwortlich. Private U.S. Sicherheitsfirmen boten darauf an, die Cyberattacke zu untersuchen.

Kyivenergo informiert die Kunden über die Cyberattacke.

Kyivenergo informiert die Kunden über die Cyberattacke.

Der Urheber der Attacke konnte bis heute nicht offiziell und eindeutig nachgewiesen werden, aber die inzwischen veröffentlichte forensische Analyse produzierte wertvolle Informationen über die Sicherheitslücken von Energienetzen. Gemäss Rober M. Lee, ehemaliger Cyber Warfare Operations Offizier und Gründer einer Sicherheitsfirma, war die Attacke „brilliant“ und „sophisticated“. Sie wurde mindestens über ein halbes Jahr in verschiedenen Phasen geplant, und der schliesslich ausgeführte Angriff erfolgte auf verschiedenen Ebenen gleichzeitig. Diese langfristige Planung und die Vielzahl eingesetzter Angriffsstrategien deuten auf einen Akteur hin, der straff organisiert ist und über erhebliche Ressourcen verfügt.

Der Angreifer folgte lehrbuchmässig der ICS Cyber Kill Chain, einem mehrstufigen Modell entwickelt um Angriffe von Hackern auf industrielle Kontrollsysteme nachzuvollziehen. Das Angriffsverhalten lässt sich in zwei Phasen unterteilen: in eine Vorbereitungsphase und eine Angriffsphase.

Die aus dem militärischen Kontext stammende Intrusion Kill Chain dient zur Analyse von Cyberattacken.

Der erste Schritt in der Vorbereitungs-Phase lässt sich am ehesten mit Industriespionage vergleichen. Direkt beobachten und nachweisen konnte das Untersuchungsteam diese Tätigkeit nicht. Aber die gehackten Verteilstationen verfügten alle über ein hohes Level an Automatisierung, was die ferngesteuerte Öffnung der Leitungsschutzschalter ermöglichte. Dies legt nahe, dass die Hacker ihre Ziele nach ihrem Digitalisierungsgrad auswählten.

BlackEnergy 3: Malware versteckt in Microsoft Office Dokumenten

Der zweite Schritt in Phase 1 ist das waffenfähig machen einzelner Bestandteile des Systems. Dies passierte, indem die Angreifer Malware an Angestellte der Energiefirmen schickten. Diese Malware war BlackEnergy 3, ein Nachfolger seiner früheren Versionen (BlackEnergy und BlackEnergy 2) und kann wie seine Vorgänger DDoS Attacken unterstützen. Zusätzlich kann die Malware auch Systemressourcen unterwandern, Daten exfiltrieren und Netzwerkverkehr überwachen.

Gemäss einer Studie der Sicherheitsfirma SentinelOne wurde die Malware auch gegen Georgien im Konflikt mit Russland eingesetzt. Sie wird von diversen Gruppen benutzt, auch von der russischen Hackergruppe Sandworm Team. Dieses vermuten das SANS Institut und andere Cyber Sicherheitsspezialisten als möglicher Urheber hinter der Attacke auf die Ukraine.

Die Hacker betteten die BlackEnergy 3 Malware in Microsoft Word Dokumente ein und verschickten diese in scheinbar firmeninternen Emails. Beim Öffnen der Dokumente ermutigte ein Popup die User, Makros zu erlauben. Beim Akzeptieren – und das taten genug Angestellte – installierte sich die Malware. Die Angreifer konnten sich so Zugang verschaffen, ohne einen einzigen Exploit (Sicherheitslücken im Programmcode) finden zu müssen.

Die BlackEnergy 3 Malware stellte eine Verbindung zu den Angreifern her, welche so auf die infizierten Systeme zugriffen und Daten sammelten. Dies geschah bereits 6 Monate vor dem Angriff am 23. Dezember. Während dieser Zeit sammelten die Eindringlinge Zugangsdaten und manipulierten Personennachweise. So konnten sie ihre unsichere Verbindung über BlackEnergy 3 aufgeben und ganz regulär als autorisierte  Nutzer vom Firmennetzwerk in das ICS (Industrial Control System) des Energienetzes einloggen. Dort fanden sie das lokale Serversystem und die SCADA (Supervisory control and data acquisition) Arbeitsstationen. Nach 6 Monaten Aufklärung fand der eigentliche Angriff statt.

Phase 2: Angriff auf 5 verschiedenen Ebenen

Phase 2 im ICS Cyber Kill Chain Modell bezeichnet das Testen, Entwickeln und Ausführen des eigentlichen Angriffs. Dieser erfolgte in der Ukraine in Form von 5 verschiedenen Attacken. Primär manipulierten die Hacker das SCADA mit der BlackEnergy 3 Malware, um die Leitungsschutzschalter zu öffnen und den Blackout auszulösen.

Simultan luden sie die Malware in Serial-to-Ethernet Gateway Geräte hoch, um ferngesteuerte Kontrolle der Substationen zu unterbinden. Um schliesslich zu verhindern, dass die ukrainischen Ingenieure die Manipulation mit einem Reboot verhindern konnten, überschrieben die Hacker Daten in essenziellen Systemdateien mit einer KillDisk Malware.

Zusätzlich unterbrachen sie die Verbindung zu UPS Systemen, so dass der Ersatzstrom auch nicht funktionierte und der Stromausfall effektiv spürbar war. Zuletzt lancierten die Hacker einen telefonischen Denial of Service Angriff auf die Servicezentren der Energiefirmen, damit die Kunden den Blackout nicht melden konnten.

Energienetze besser schützen

Beim Energienetz der Ukraine handelte es sich zum Zeitpunkt der Attacke strenggenommen noch nicht um einen Smart Grid. Aber die ausgenutzten Schwachstellen sind Teil der modernen Kommunikationsinfrastruktur, auf die auch Smart Grids aufbauen.

Viele der gelernten Lektionen aus dem erfolgreichen Hackerangriff auf die ukrainischen Verteilstationen lassen sich generalisieren und selbst auf private Nutzer übertragen: Nachrichten kritisch testen um Phishing abzuwehren, Nutzerkonten auf abnormales Verhalten überwachen um Authentifizierungs-Diebstahl aufzuspüren, und Verbindungen überwachen um Exfiltrationen zu unterbrechen.

Die Betreiber konnten nach der Attacke den Strom schliesslich durch einen manuellen Modus wiederherstellen. Diese technische Einfachheit gibt „dummen“ Energienetzen gegenüber ihren „smarten“ Nachfolgern einen Sicherheitsvorteil.

Angreifbarkeit von Smart Grids

Bei Smart Grids kommen gegenüber herkömmlichen Energienetzen zusätzliche Geräte und Abhängigkeiten hinzu. Die gegenseitige Abhängigkeit verschiedener Subsysteme kann die Effizienz und Zuverlässigkeit des Smart Grids stark beeinflussen, wenn schon nur einzelne Geräte innerhalb des nötigen Zeitrahmens nicht reagieren. Zusammen mit existierender, überholter Kommunikationsinfrastruktur ergeben sich deshalb zusätzliche Sicherheitslücken für Smart Grids.

Wer über einen Smart Grid grossen Schaden anrichten will, muss dies auch nicht über einen dramatischen Stromausfall tun. Eine subtile Sabotage würde zum Beispiel Messsysteme manipulieren, um den Energieverbrauch über längere Zeit ineffizienter zu machen – und so erheblichen ökologischen und ökonomischen Schaden anrichten.

Dies gilt aber nur für Smart Grids im Anfangsstadium, welche noch auf zentral gesteuerten Energiesystemen aufbauen. Geht es nach Visionären der ETH oder Energiefirmen wie Tesla, wird die Energieversorgung über ein dezentrales Netz aus privaten Kraftwerken und Batterien funktionieren. Ein solcher Smart Grid wäre punktuell natürlich sehr angreifbar. Aber gesamthaft wird man ihn genau so wenig hacken können, wie man das Internet hacken kann.