BlackEnergy (Ukraine 2015)
Der erste bestätigte Cyberangriff, der einen Stromausfall auslöste: Ukraine, Dezember 2015.
Ein Energieversorger: Das Leitsystem (SCADA) steuert von zentraler Stelle die Umspannwerke, die den Strom verteilen.
In 30 Sekunden
Am 23. Dezember 2015 fiel in Teilen der Ukraine der Strom aus, weil Angreifer die Leitsysteme mehrerer Energieversorger fernsteuerten. Rund 230'000 Menschen waren je nach Region ein bis sechs Stunden ohne Elektrizität. Der Einstieg gelang über eine gefälschte E-Mail (Phishing) mit einem manipulierten Office-Dokument. Wer es öffnete, holte sich damit unbemerkt die Schadsoftware BlackEnergy auf den Rechner. Über Monate stahlen die Angreifer Zugangsdaten und drangen bis in die SCADA-Leittechnik (Steuerungssystem für Anlagen) vor. Am Tag des Angriffs öffneten sie von Hand die Schalter in Dutzenden Umspannwerken und legten zusätzlich Systeme sowie die Störungs-Hotline lahm. Der Fall gilt als der erste bestätigte Cyberangriff, der nachweislich einen Blackout verursachte, und er wird der staatsnahen Hacker-Gruppe Sandworm zugeschrieben.
Was geschah
2015
Drei regionale Stromverteiler in der Ukraine (Schwerpunkt Westukraine, Regionen Iwano-Frankiwsk und Czernowitz sowie die Region Kyjiw) mit rund 230'000 betroffenen Menschen.
Der Angriffsweg
- Eine gefälschte E-Mail (Phishing) mit einem manipulierten Office-Dokument bringt einen Mitarbeitenden dazu, eine eingebaute Funktion (ein sogenanntes Makro) auszuführen.
- Darüber gelangt die Schadsoftware BlackEnergy auf einen Büro-PC im Firmennetz.
- Über Monate stehlen die Angreifer heimlich Zugangsdaten und erkunden das Netzwerk.
- Mit den gestohlenen Daten dringen sie aus der Büro-IT bis in die SCADA-Leittechnik (Anlagen-Steuerung) vor, weil Büro-Netz und Steuerungstechnik nicht ausreichend getrennt waren.
- Am Tag des Angriffs übernehmen sie per Fernzugriff die Bedienoberflächen und öffnen von Hand die Schalter in Dutzenden Umspannwerken.
- Zeitgleich löschen sie Systeme mit einer Lösch-Schadsoftware (KillDisk) und überlasten die Störungs-Hotline, um die Wiederherstellung zu verzögern.
Auswirkung
Rund 230'000 Menschen waren je nach Region ein bis sechs Stunden ohne Strom. Allein beim am stärksten betroffenen Versorger (Prykarpattyaoblenergo) fielen laut Berichten rund 30 Umspannwerke aus; über alle drei Versorger hinweg verloren die Betreiber die Fernkontrolle über mehr als 50 Umspannwerke. Weil die Angreifer Systeme löschten und die Hotline lahmlegten, mussten Techniker vor Ort die Schalter manuell wieder schliessen, was die Wiederherstellung deutlich erschwerte.
So schützt du dich
Fakten
- Dezember 2015
- Stromversorgung / kritische Infrastruktur
- Phishing, Fernzugriff auf Leittechnik, Datenlöschung
- Staatsnahe Hacker-Gruppe Sandworm (zugeschrieben)
- BlackEnergy und KillDisk
- SCADA-Leitsysteme dreier Verteilnetzbetreiber
- Rund 230'000 Menschen, über 50 Umspannwerke ohne Fernkontrolle, 1 bis 6 Stunden
- Erster bestätigter Cyberangriff mit Blackout; viel Handarbeit der Angreifer
Im Detail
Wie aus einer E-Mail ein Blackout wurde
Der Angriff begann nicht an einem Schaltschrank, sondern im Büro. Laut den Untersuchungsberichten erhielten Mitarbeitende der Energieversorger eine gefälschte, vertrauenswürdig wirkende E-Mail (Phishing) mit einem angehängten Office-Dokument. Wer das Dokument öffnete und die eingebettete Funktion (ein sogenanntes Makro) aktivierte, brachte damit unbemerkt die Schadsoftware BlackEnergy auf den eigenen PC.
Von diesem einen infizierten Rechner aus arbeiteten sich die Angreifer über Monate hinweg leise vor. Sie sammelten Zugangsdaten und verschafften sich einen Überblick über das Netzwerk. Das Entscheidende dabei: Der ursprüngliche PC hatte mit der eigentlichen Stromsteuerung nichts zu tun. Erst weil Büro-IT und Steuerungstechnik nicht ausreichend getrennt waren, konnten die Angreifer diese Distanz überbrücken.
Diese Phase zeigt eine wichtige Lehre für Geschäftsführer: Ein Cyberangriff ist selten ein plötzlicher Knall. Er ist oft ein monatelanges, geduldiges Vorarbeiten, das lange unentdeckt bleibt. Wer nur auf den grossen Vorfall wartet, übersieht die stille Vorbereitung davor.
Der Tag des Angriffs: Schalter von Hand geöffnet
Am 23. Dezember 2015 setzten die Angreifer ihr Wissen ein. Mit den gestohlenen Zugangsdaten meldeten sie sich per Fernzugriff an den SCADA-Systemen an, also den Bedienoberflächen, über die Techniker normalerweise das Stromnetz steuern. Von dort übernahmen sie die Kontrolle und öffneten die Schalter in Dutzenden Umspannwerken, so wie es sonst nur autorisiertes Personal tun würde. Allein beim am stärksten betroffenen Versorger waren laut Berichten rund 30 Umspannwerke betroffen; über alle drei Versorger hinweg verloren die Betreiber die Fernkontrolle über mehr als 50.
Bemerkenswert ist, wie viel Handarbeit dieser Angriff erforderte. Anders als beim späteren, stärker automatisierten Schadprogramm Industroyer, das 2016 in Kiew eingesetzt wurde und ähnliche Aktionen weitgehend selbst ausführte, sassen hier Menschen an den Fernverbindungen und klickten die Befehle selbst. Berichten zufolge konnten die betroffenen Bediener am eigenen Bildschirm zusehen, wie sich der Mauszeiger scheinbar von selbst bewegte, ohne eingreifen zu können.
Für die Wiederherstellung bedeutete das: Weil die Fernsteuerung kompromittiert war, mussten Techniker in die Umspannwerke fahren und die Schalter vor Ort manuell wieder schliessen. Genau diese manuelle Rückfallebene rettete die Lage und ist deshalb bis heute eine zentrale Schutzempfehlung.
Sabotage der Wiederherstellung
Die Angreifer wollten nicht nur den Strom abschalten, sondern die Rückkehr zum Normalbetrieb möglichst schwer machen. Dazu setzten sie am Ende die Schadsoftware KillDisk ein, die gezielt Dateien löscht und Systeme unbrauchbar macht. Das traf unter anderem Rechner, die für die Steuerung und Übersicht wichtig waren.
Zusätzlich richteten sie einen Telefon-Überlastungsangriff auf die Störungs-Hotline der Versorger: Sie blockierten die Hotline mit einer Flut automatisierter Anrufe. Kunden, die den Ausfall melden wollten, kamen nicht durch, und die Unternehmen verloren wertvolle Minuten für die Lagebeurteilung. Dieser Doppelschlag aus technischem Löschen und Blockieren der Kommunikation zeigt eine bewusste Strategie: Erst den Schaden anrichten, dann die Reaktion darauf sabotieren.
Die Lehre daraus ist unbequem, aber klar. Sicherheit endet nicht bei der Abwehr des Angriffs. Man muss auch damit rechnen, dass ausgerechnet die Wiederherstellungswege angegriffen werden. Getestete Backups, alternative Kommunikationswege und ein einstudierter Notfallplan gehören deshalb zwingend zur Vorbereitung.
