Von Jan Lukas Strozyk und Hakan Tanriverdi

Die Hacker verschwendeten keine Zeit für Nebensächlichkeiten. Sie spähten das Büronetz nicht aus, machten keine Anstalten, Daten auszuleiten, setzten keine Software ein, die unbemerkt den Bildschirm abfotografiert. Das hier war keine der üblichen Spionage-Operationen, die digitalen Angreifer verfolgten bei dem Gas-Kraftwerk in Saudi-Arabien ein anderes Ziel. Sie hatten es auf die Sicherheitssysteme abgesehen, die Mensch und Umwelt schützen. Damit nahmen sie in Kauf, dass Menschen sterben.

Damals, im Sommer 2017, schlichen sie sich direkt in die Produktionsnetze. Dort, wo die Anlagen des Gas-Kraftwerks betrieben wurden.

Der folgende Cyberangriff gilt als einer gefährlichsten der vergangenen Jahre. IT-Sicherheitsexperten werten ihn als krasse Eskalation der ohnehin immer aggressiveren digitalen Einbrüche. Nun gibt es eine Spur zu den Tätern. Ein staatliches Labor, das an das russische Militär angeschlossen ist, soll eine essentielle Rolle bei der Vorbereitung des Angriffs gespielt haben: das "Zentrale wissenschaftliche Forschungsinstitut für Chemie und Mechanik", das in Moskau steht. Das geht aus einem Bericht der IT-Sicherheitsfirma Fireeye an ihre zahlenden Kunden hervor - öffentlich ist er nicht. Der Bericht liegt Süddeutscher Zeitung, NDR und WDR vor.

Enorme Aufregung in deutschen Sicherheitsbehörden

Fireeye gilt als einer der Marktführer in der Analyse von Hackerangriffen. Die Firma war vom Betreiber des Kraftwerks mit der Aufklärung des Angriffs beauftragt worden. Das in Verdacht stehende Moskauer Institut befindet sich in Staatsbesitz und existiert seit 1894. In der Zarenzeit fing man hier an, mit Schießpulver zu experimentieren. Heutzutage habe sich das Labor unter anderem auf die Entwicklung militärischer Gerätschaften spezialisiert. Im Bericht heißt es, die Mitarbeiter des Moskauer Instituts hätten unter anderem die Aufgabe gehabt, Hackern zu ermöglichen, unbemerkt in das Netzwerk einzudringen.

Direkt nachdem der Angriff im Dezember 2017 öffentlich bekannt wurde, trafen sich Mitarbeiter des für IT-Sicherheit zuständigen Bundesamtes für Sicherheit in der Informationstechnik (BSI) über Wochen mit Unternehmen der Chemieindustrie. Denn schließlich setzen hunderte Industrieanlagen in Deutschland ähnliche Sicherheitssysteme ein. Das Vorgehen der Angreifer in Saudi-Arabien wurde im Detail analysiert. Zwei Quellen bestätigten, dass Experten der Behörde und der Unternehmen in einer extra eingerichteten Test-Umgebung zentrale Schritte des Angriffs rekonstruiert haben. Im Juni 2018 veröffentliche das BSI technische Hilfsmittel, mit denen Firmen solche Angriffe frühzeitig erkennen können.

Auf Nachfrage teilte ein Sprecher der Behörde mit, dass man Angriffe auf Sicherheitssysteme sehr ernst nehme, Attacken wie die in Saudi-Arabien seien "als sehr kritisch zu betrachten". Seit Ende 2017 habe man "bereits zwei Warnungen an den Kreis möglicher Betroffener herausgegeben". In deutschen Sicherheitsbehörden löste die Fireeye-Analyse enorme Aufregung aus. Das BSI bestätigt, das Thema in das Nationale Cyber-Abwehrzentrum "eingebracht" zu haben, wo es behördenübergreifend analysiert und bewertet werde. Das Bundesamt für Verfassungsschutz sitzt ebenfalls in diesem Abwehrzentrum und teilte auf Anfrage mit, dass der Angriff der Behörde bekannt sei. Man wolle aber nicht über Details sprechen.

Wer die Systeme kontrolliert, kann sie manipulieren

Kaum waren die Hacker in den Netzen, versuchten sie, die Kontrolle über diejenigen Systeme zu erlangen, die die Sicherheit in so einem Gas-Kraftwerk aufrecht erhalten sollen. Kommt es zum Beispiel zum Überdruck, kann der entsprechende Teil einer Anlage sicher heruntergefahren werden. Wer diese Systeme kontrolliert, kann Teile der Anlage manipulieren - und damit unter Umständen eine Explosion herbeiführen.

Aus diesem Grund sagt Robert Lee, man müsse die Hacker "sehr ernst" nehmen solle. Lee ist Chef der IT-Sicherheitsfirma Dragos, die sich vor allem um den Schutz kritischer Infrastruktur kümmert, zum Beispiel von Kraftwerken. Auch Dragos hat den Angriff analysiert, und Lee sagt in einem Interview per Chat: Die Hacker "repräsentieren die schlimmste Sorte von Angreifern, da sie beim Angriff in Saudi Arabien mit voller Absicht Menschenleben in Gefahr gebracht haben". Dragos spricht von der "mit Abstand gefährlichsten Gruppe, die öffentlich bekannt ist".