Am 23. Dezember 2015, um 15.30 Uhr, kurz vor Schichtende, geschah in der Zentrale des ukrainischen Energieversorgers Prykarpattyaoblenergo etwas Seltsames: Ein Mitarbeiter räumte gerade seinen Arbeitsplatz auf, als plötzlich der Mauszeiger auf seinem Bildschirm begann, sich zu bewegen – und zu verselbstständigen. Wie von Geisterhand steuerte der Cursor auf Schaltflächen zu, mit denen die Leistungstrennschalter eines Unterwerks reguliert werden – und nahm das Unterwerk kurzerhand vom Netz.
Ein Dialogfenster poppte auf, das nach der Bestätigung fragte. Und die unsichtbare Hand klickte auf okay. Der Ingenieur versuchte mit seiner Maus manuell einzuschreiten, doch das System reagierte nicht. Block für Block, Ort für Ort wurde von der Stromversorgung abgekoppelt. In der Hauptstadt Kiew gingen die Lichter aus. 200 000 Haushalte sassen im Dunkeln, vielerorts fiel die Heizung aus – mitten im strengen Winter. Die Armee war in Alarmbereitschaft. Es dauerte fast sechs Stunden, bis das Stromnetz wieder hochgefahren werden konnte.
Hackern war es gelungen, mittels präparierter Word-Dateien einen Trojaner in das System des Energieversorgers zu schleusen und so die Kontrolle über das Stromnetz zu erlangen. Im Dezember 2016 kam es in der Ukraine erneut zu einem Cyber-Blackout: Diesmal waren 700 000 Menschen vorübergehend vom Stromnetz abgeschnitten. Und wieder waren Cyberkriminelle am Werk. Die Umstände und Hintergründe der Attacke blieben im Dunkeln. Zunächst wurde vermutet, dass die Angreifer einen klandestinen Virus in die Computersysteme geschmuggelt hatten, der dort sechs Monate unentdeckt blieb und dann aktiviert wurde. Doch wie nun bekannt wurde, war die Malware weitaus komplexer.
Laut einer aktuell veröffentlichten Untersuchung des europäischen Security-Software-Herstellers ESET wurde beim Cyberangriff auf das ukrainische Stromnetz im Dezember 2016 ein hochentwickelter Trojaner verwendet, der industrielle Steuerungsprotokolle nutzt, die weltweit in der Energieinfrastruktur eingesetzt werden. Die Sicherheitsforscher sehen in dem Schädling, den sie auf den Namen «Industroyer» tauften, die grösste Bedrohung für die Industrie seit Stuxnet – jenen Computerwurm, den mutmasslich die USA und Israel in die iranische Atomanlage Natanz einschleusten und damit 1000 Uranzentrifugen sabotierten. «Industroyer ist eine besonders gefährliche Bedrohung, da die Malware in der Lage ist, Schalter in Umspannwerken und Überstromschutzeinrichtungen direkt zu beeinflussen», heisst es in der Analyse. «Dafür werden weltweit industrielle Kommunikationsprotokolle verwendet. Diese sind nicht nur in der Stromversorgungsinfrastruktur im Einsatz, sondern auch in Verkehrskontrollsystemen und in anderen kritischen Infrastrukturen wie Wasser und Gas.»
Dass Hacker per Knopfdruck ein Kraftwerk kapern und die Stromversorgung eines Landes kappen können, war bislang eher Stoff für Science-Fiction-Romane oder Katastrophenszenarien. Doch die kritische Infrastruktur, zu der neben Stromnetzen auch Krankenhäuser und Kraftwerke gehören, wird zunehmend zur Zielscheibe von Cyberkriminellen. 2003 wurden die Computer im abgeschalteten Kernkraftwerk Davis-Besse im US-Bundesstaat Ohio von einem Computerwurm namens «Slammer» befallen. Der Virus hatte die Firewall des Druckwasserreaktors umgangen und war in das Steuersystem eingedrungen. Die Folge: Die Sicherheits- und Prozess-Systeme waren für mehrere Stunden nicht erreichbar. Auch Schweizer Kraftwerke geraten ins Visier von Cyberkriminellen. Die «SonntagsZeitung», die in einem kontrollierten Experiment die Existenz eines Wasserkraftwerks simulierte, registrierte binnen drei Wochen 31 Angriffe aus 15 Ländern.
Die Gefahren sind durchaus real. 2013 wurde die IT eines Staudammes in der Nähe der Stadt Rye im US-Bundesstaat New York kompromittiert. Hinter dem Cyberangriff steckte der Hacker Hamid Firoozi, der Teil einer iranischen Hackervereinigung mit Verbindungen zu den Revolutionsgarden war, die – möglicherweise als Racheakt für Stuxnet – mehrere Angriffe auf verschiedene US-Institutionen verübten. So sollen die Hacker unter anderem die Server der NASA und Technologiebörse NASDAQ lahmgelegt haben.
Cyberattacken sind Teil einer asymmetrischen Kriegsführung. Der Politstratege Adam Segal, Fellow an der Denkfabrik Council On Foreign Relations, stellt in seinem Buch «The Hacked World Order: How Nations Fight, Trade, Maneuver, and Manipulate in the Digital Age» die These auf, dass die Weltordnung gehackt sei. Die ortlose und flüchtige Präsenz des Internets bringt es mit sich, dass elektronische Armeen über Tausende Kilometer Entfernung die Sicherheitsarchitektur destabilisieren können, ohne auch nur irgendwelche Spuren zu hinterlassen. Die Gefahr kommt auf leisen Sohlen daher. Man braucht heute keine hochgerüstete Armee mehr, um Staaten zu bedrohen, es genügt eine einfache ausgefeilte Malware.
Nordkorea verfügt zum Beispiel über keine Technologieunternehmen und nicht mal genügend Elektrizität, um das Land zu versorgen. Das «Internet» (Kangmyong) ist in Wirklichkeit nur ein Intranet, ein Staats-Betriebssystem mit ein paar hundert Seiten. Nur einer kleinen Elite ist es vorbehalten, das World Wide Web zu nutzen. Und doch scheuen nordkoreanische Hacker nicht davor zurück, destruktive Attacken zu lancieren. Die russischen Sicherheitsforscher von Kaspersky vermuten Nordkorea auch als Urheber des Computerwurms WannaCry, mit dem rund 200 000 Rechner in 150 Ländern infiziert und ganze Informationssysteme lahmgelegt wurden. Wer hinter der Attacke auf das ukrainische Stromnetz steckt, ist nicht bekannt. Die Politik scheint so machtlos wie der Ingenieur, dessen Computer sich verselbstständigte.