// Security

Industroyer2 (Ukraine)

Sandworm wollte 2022 ukrainische Umspannwerke per IEC-104-Malware abschalten – der Angriff wurde erkannt und vereitelt.

Industroyer2 (2022): Sandworm wollte ukrainische Hochspannungs-Umspannwerke per IEC-104 abschalten und Spuren mit CaddyWiper verwischen – der Angriff wurde erkannt und vereiteltSandwormAngreiferLeitnetzEnergieversorgerUmspannwerkHochspannungAufbauUkraine, April 2022, mitten im Krieg: Ein Energieversorger betreibtHochspannungs-Umspannwerke, gesteuert über das Netzprotokoll IEC-104.
Tempo:

Schritt 1 von 6

Ukraine, April 2022, mitten im Krieg: Ein Energieversorger betreibt Hochspannungs-Umspannwerke, gesteuert über das Netzprotokoll IEC-104.

In 30 Sekunden

Im April 2022, wenige Wochen nach Beginn des russischen Angriffskriegs, versuchte die Gruppe Sandworm, Hochspannungs-Umspannwerke eines ukrainischen Energieversorgers per Schadsoftware abzuschalten. Das Werkzeug: Industroyer2, ein Nachfolger der Malware, die 2016 in Kiew einen Stromausfall verursacht hatte. Es spricht selbst das Stromnetz-Protokoll IEC-104 und war fest auf die Zielanlagen zugeschnitten. Kombiniert wurde es mit der Lösch-Malware CaddyWiper, die Spuren verwischen und die Wiederherstellung erschweren sollte. Der entscheidende Unterschied zu 2016: Der Angriff wurde erkannt und vereitelt – es gab keinen Blackout.

Was geschah

Jahr

2022

Ziel

Ziel waren Hochspannungs-Umspannwerke eines ukrainischen Energieversorgers: Die Malware sollte Leistungsschalter öffnen und damit Hunderttausende Menschen mitten im Krieg vom Strom trennen.

Der Angriffsweg

  1. Die Angreifer dringen in das Netzwerk eines ukrainischen Energieversorgers ein – laut CERT-UA vermutlich bereits Monate vor dem geplanten Schlag.
  2. Sie platzieren Industroyer2 auf Rechnern mit Zugriff auf die Stationsleittechnik; die Malware ist fest auf die konkreten Umspannwerke konfiguriert (einprogrammierte Adressen und Parameter).
  3. Industroyer2 soll über das Stromnetz-Protokoll IEC-104 direkt mit den Schutz- und Steuergeräten sprechen und die Leistungsschalter der Hochspannungs-Umspannwerke öffnen.
  4. Parallel wird die Lösch-Malware CaddyWiper bereitgestellt: Sie soll Systeme unbrauchbar machen, Spuren verwischen und die Wiederherstellung verzögern.
  5. CERT-UA und ESET erkennen den Angriff rechtzeitig; die für den 8. April 2022 vorbereitete Abschaltung wird vereitelt.
  6. Am 12. April 2022 machen CERT-UA und ESET den Fall öffentlich – als Warnung an alle Netzbetreiber.

Auswirkung

Zu einem Stromausfall kam es nicht: Die geplante Abschaltung der Umspannwerke wurde verhindert, die Versorgung lief weiter. Der Fall gilt dennoch als einer der gefährlichsten bekannten Angriffe auf ein Stromnetz – und zugleich als seltener, gut dokumentierter Beleg dafür, dass Detektion und schnelle Reaktion solche Angriffe stoppen können.

So schützt du dich

Überwache OT-Protokolle wie IEC-104 laufend auf ungewöhnliche Befehle (Anomalie-Erkennung im Leittechnik-Netz).
Segmentiere IT- und OT-Netze strikt und kontrolliere jeden Übergang – der Weg vom Büro-Netz zur Leittechnik muss ein Nadelöhr sein.
Etabliere Incident-Response-Prozesse mit externen Partnern (CERT, Hersteller, Sicherheitsfirmen) und übe sie regelmässig.
Halte Offline-Backups und getestete Wiederanlauf-Pläne bereit – Wiper wie CaddyWiper zielen genau auf die Wiederherstellung.
Suche aktiv nach Eindringlingen im eigenen Netz (Threat Hunting), statt nur auf Alarme zu warten – die Angreifer waren Monate vor dem Schlag im System.

Fakten

Jahr
2022 (öffentlich am 12. April)
Ziel
Hochspannungs-Umspannwerke eines ukrainischen Energieversorgers
Angreifer
Sandworm (dem russischen Militärgeheimdienst GRU zugeordnet)
Malware
Industroyer2 + CaddyWiper
Protokoll
IEC-104 (Fernwirkprotokoll im Stromnetz)
Ausgang
erkannt und vereitelt – kein Blackout
Vorgänger
Industroyer (Kiew 2016)
Aufgedeckt von
CERT-UA und ESET

Im Detail

Angriff im Schatten des Krieges

Im Frühjahr 2022, wenige Wochen nach Beginn des russischen Angriffskriegs, stand die ukrainische Energieversorgung ohnehin unter Druck. Genau in dieser Lage versuchte Sandworm – eine Gruppe, die westliche Behörden dem russischen Militärgeheimdienst GRU zuordnen – Hochspannungs-Umspannwerke eines Energieversorgers per Schadsoftware abzuschalten. Ein Blackout hätte mitten im Krieg Hunderttausende getroffen.

Der Nachfolger von Industroyer

Industroyer2 ist die Weiterentwicklung von Industroyer, das 2016 in Kiew rund eine Stunde Stromausfall verursachte (der Fall ist im Wissen-Hub als eigener Eintrag beschrieben). Die neue Version wurde verschlankt: Statt mehrerer Stromnetz-Protokolle beherrscht sie nur noch IEC-104 – dafür gezielt und mit fest einprogrammierten Angaben zur konkreten Zielanlage. Das zeigt: Die Angreifer kannten die Umgebung ihres Opfers genau.

Was IEC-104 damit zu tun hat

IEC-104 (genauer IEC 60870-5-104) ist ein Fernwirkprotokoll, mit dem Leitstellen Schaltanlagen im Stromnetz überwachen und steuern. Wer dieses Protokoll spricht und Zugang zum Leittechnik-Netz hat, kann Leistungsschalter öffnen – also Stromflüsse trennen. Industroyer2 brauchte dafür keinen menschlichen Bediener: Die Befehle waren einprogrammiert.

CaddyWiper als Spurenverwischer

Parallel zur eigentlichen Sabotage stellten die Angreifer die Lösch-Malware CaddyWiper bereit. Sie sollte nach dem Schlag Systeme unbrauchbar machen – um Spuren zu verwischen, die Analyse zu erschweren und die Wiederherstellung der Stromversorgung zu verzögern. Diese Kombination aus OT-Sabotage und Wiper gilt seither als Muster, auf das sich Netzbetreiber vorbereiten müssen.

Erkannt und vereitelt

Der entscheidende Unterschied zu 2016: Das ukrainische CERT-UA und die Sicherheitsfirma ESET erkannten den Angriff, bevor die für den 8. April 2022 vorbereitete Abschaltung ausgelöst wurde. Der Energieversorger konnte die Systeme bereinigen, ein Stromausfall blieb aus. Am 12. April wurde der Fall öffentlich gemacht – inklusive technischer Details, damit andere Betreiber ihre Netze prüfen konnten.

Die Lehre

Industroyer2 ist der seltene, gut dokumentierte Beweis, dass Verteidigung funktioniert: Wachsame Überwachung der OT-Protokolle, eingespielte Zusammenarbeit zwischen Betreiber, CERT und Sicherheitsfirmen – und der Angriff einer der gefährlichsten Gruppen der Welt läuft ins Leere. Wer IEC-104-Verkehr überwacht, IT und OT sauber trennt und den Ernstfall übt, hat eine reale Chance.