/Tech

Hackerattacken auf die Ukraine sind nur der Vorgeschmack

Andy Greenberg 07.07.2017

Immer und immer wieder greifen Hacker wichtige Einrichtungen in der Ukraine an. Warum ausgerechnet dieses Land? Experten haben einen Verdacht: Die Angriffe sind lediglich ein Test für das, was folgen soll – ein Digitaler Krieg, der vor allem die USA treffen wird. 

Update, 6. Juli: Laut Medienberichten haben Unbekannte versucht, ein Atomkraftwerk im US-Bundesstaat Kansas zu hacken. Wer hinter den Angriffen steckt, lässt sich bisher noch nicht sagen. Betroffen waren lediglich die Verwaltungsrechner des Kraftwerks, nicht aber operative Systeme der Atomanlage selbst. Experten befürchten allerdings schon lange, dass russische Gruppen gezielt Angriffe auf kritische Infrastrukturen wie Stromkraftwerke planen. Die folgende Reportage von Andy Greenberg unterstreicht diese Ängste.

Es ist genau Mitternacht, als die Lichter ausgehen – ein Samstag im Dezember, Oleksij Yasinsky sitzt mit seiner Frau und seinem Sohn im Wohnzimmer seiner Familie in Kiew. Der 40-jährige ukrainische IT-Security-Experte schaut gerade Oliver Stones Snowden, als mitten im Film im ganzen Haus der Strom ausfällt. 

„Die Hacker wollen uns nicht das Ende sehen lassen“, scherzt Yasinskys Frau noch. Sie bezieht sich auf den letzten großen Stromausfall, der ein Jahr zurückliegt: Am 22. Dezember 2015 hatten aufgrund einer Netzwerk-Attacke fast eine Viertelmillion Ukrainer keinen Strom. Yasinsky selbst jedoch, Chief Forensic Analyst bei einem Kiewer Unternehmen für digitale Sicherheit, findet den Witz nicht lustig. Er schaut auf die Uhr auf seinem Schreibtisch: Es ist genau 0:00, Mitternacht.

Yasinskys Fernseher ist an ein Überspannungsschutzgerät mit Batteriefunktion angeschlossen, das Wohnzimmer wird nun nur noch durch das flackernde Licht des Films erhellt. Die Steckdosenleiste beginnt, jämmerlich zu piepen. Yasinsky steht auf und schaltet sie aus, der Raum ist plötzlich still.

Yasinsky geht in die Küche, um ein paar Kerzen zu holen und zündet sie an. Der schlanke, rotblonde Ingenieur tritt ans Küchenfenster. Was er dort sieht, hat er noch nie gesehen: Die ganze Stadt ist dunkel. Allein das schwache Leuchten von Lichtern in der Ferne, die vom bewölkten Himmel reflektiert werden, werfen einen grauen Schein auf die dunklen Silhouetten moderner Wohngebäude und Hochhäuser aus der Sowjet-Ära.

Aufgrund der präzisen Uhrzeit und des Datums – fast genau ein Jahr nach dem Angriff auf das Stromnetz im Dezember 2015 – ist Yasinsky sich sicher, dass das hier kein normaler Stromausfall ist. Ihm wird bewusst, wie kalt es draußen ist, fast –18°C. In Tausenden von Wohnungen würde die Temperatur jetzt fallen, bis die nicht mehr arbeitenden Wasserpumpen dazu führen würden, dass die Leitungen einfrieren.

Eine Verschwörungstheorie beginnt, sich in seinem Kopf zu verdichten: In den vergangenen 14 Monaten hatte sich Yasinsky inmitten einer Krise wiedergefunden, die sich zusehends verschärfte. Immer mehr ukrainische Firmen und Regierungsbehörden waren auf ihn zugekommen, um eine Vielzahl von Netzwerk-Attacken analysieren zu lassen, von denen sie in schneller und erbarmungsloser Folge getroffen wurden. Dahinter schien eine einzelne Gruppierung von Hackern zu stecken. Jetzt kann er sich nicht des Eindrucks erwehren, dass dieselben Phantome, deren Fingerabdrücke er seit mehr als einem Jahr verfolgt hat, zu ihm zurückkehren – durch den Äther des Internets, zu ihm nach Hause.

Das weckte Erinnerungen an den August 1945

Michael Hayden

Schon seit Jahrzehnten warnen Experten, dass in naher Zukunft Hackern der Sprung gelingen würde, nicht nur rein digitales Chaos, sondern auch realen, physischen Schaden anrichten zu können. Im Jahr 2009 gab ein Vorfall einen Vorgeschmack auf die neue Ära: Die Stuxnet-Malware der NSA beschleunigte einige Hundert nukleare Zentrifugen im Iran, bis sie sich selbst zerstörten. „Das weckte Erinnerungen an den August 1945“, sagte Michael Hayden, ehemaliger Direktor der NSA und des CIA in einer Rede – dem Monat, in dem Hiroshima und Nagasaki von Atombomben zerstört wurden. „Jemand hat eine neue Waffe eingesetzt, und diese Waffe wird nicht wieder in den Schrank gesperrt werden können.“

Nun ist in der Ukraine das Urszenario des Cyberkriegs Realität geworden. Bereits zweimal. Zu unterschiedlichen Zeitpunkten haben unsichtbare Saboteure Hunderttausenden von Menschen den Strom gekappt. Jeder Stromausfall dauerte einige Stunden – nur so lange, wie Verschlüsselungs-Experten brauchten, ihn manuell wieder anzuschalten. Doch die Attacken stellen einen Präzedenzfall dar: Im Schatten Russlands sind jahrzehntealte Albträume Realität geworden, dass Hacker die moderne Gesellschaft zum Erliegen bringen.

Und bei diesen Blackouts handelte es sich nicht um einzelne Angriffe. Sie waren Teil einer Art digitalem Blitzkrieg, dem die Ukraine in den vergangenen drei Jahren ausgesetzt war – ein Angriff, wie ihn die Welt zuvor noch nicht gesehen hat. Praktisch jeder wichtige Bereich der Ukraine ist von einer Hackerarmee systematisch erschüttert worden: Medien, Finanzsektor, Transport, Militär, Politik, Energie. Bei immer wieder neuen Wellen von Angriffen wurden Daten gelöscht, Computer zerstört und in einigen Fällen die grundlegendsten Funktionen von Institutionen gelähmt. „Es gibt in der Ukraine wirklich keinen Ort, an dem es keinen Angriff gegeben hat“, so Kenneth Geers, NATO-Botschafter mit dem Schwerpunkt IT-Sicherheit.

In einem öffentlichen Statement sprach der ukrainische Präsident Petro Poroschenko im Dezember davon, es habe 6.500 IT-Angriffe auf 36 Ziele in der Ukraine allein in den vorangegangenen zwei Monaten gegeben. Internationale Sicherheitsexperten haben bisher davor zurückgeschreckt, diese Attacken endgültig dem Kreml zuzuschreiben, aber Poroschenko zögerte nicht: Ihm zufolge deuten Untersuchungen der Ukraine auf die „direkte oder indirekte Beteiligung der russischen Geheimdienste hin, die einen Cyberkrieg gegen unser Land ausgelöst haben.“ (Auf mehrfache Nachfragen gab das russische Außenministerium keinen Kommentar ab.)

Um die Bedeutung dieser Angriffe verstehen zu können, und damit auch zu begreifen, was im größeren komplexen geopolitischen Rahmen passiert, ist es hilfreich, die Beziehung von Russland zu seinem größten westlichen Nachbarn zu verstehen, die von Übergriffen geprägt ist. Moskau betrachtet die Ukraine schon seit Langem sowohl als legitimen Teil des russischen Reichs als auch als wertvolles Territorium – als einen strategischen Puffer zwischen Russland und den NATO-Mächten und als eine lukrative Pipelineroute nach Europa. Aus all diesen Gründen sorgt die Regierung in Moskau seit Generationen dafür, die Ukraine in der Position eines gehorsamen kleineren Bruders zu halten.

Doch in den vergangenen zehneinhalb Jahren ist Moskaus Einfluss auf die Ukraine stetig zurückgegangen, weil sich die Bevölkerung größtenteils hin zur NATO und der Europäischen Union orientiert. Im Jahr 2004 schwärmten Ukrainer in Massen mit orangefarbenen Schals auf die Straßen, um gegen Moskaus Manipulationen bei den nationalen Wahlen jenes Jahrs zu protestieren. Mutmaßlich gingen russische Agenten so weit, den aufstrebenden pro-westlichen Präsidentschaftskandidaten Wiktor Juschtschenko zu vergiften. Zehn Jahre später brachte die ukrainische Revolution schließlich den vom Kreml unterstützten Präsident Wiktor Janukowitsch zu Fall (dessen langjähriger politischer Berater Paul Manafort später den Präsidentschaftswahlkampf von Donald Trump strategisch leitete). Prompt annektierten russische Truppen die Krim-Halbinsel im Süden und marschierten in das russischsprachige Donezbecken ein. Seitdem befindet sich die Ukraine mit Russland in einem nicht offiziell erklärten Krieg, der für fast zwei Millionen Flüchtlinge innerhalb des Landes und für fast 10.000 Todesopfer auf ukrainischer Seite sorgte.

Fünfundzwanzig Jahre nach dem Zusammenbruch der Sowjetunion leidet Russland immer noch unter dem Syndrom des Imperialismus

Wiktor Juschtschenko

Von Anfang an war eine der wichtigsten Fronten dieses Krieges digital. Vor den Wahlen in der Ukraine, die der Revolution 2014 folgten, manipulierte eine russlandfreundliche Gruppe, die sich selbst CyberBerkut nannte, die Website der zentralen Wahlkommission der Ukraine, um den ultrarechten Präsidentschaftskandidaten Dmytro Jarosch zum Gewinner zu erklären. Es handelte sich um dieselbe Gruppe, die mit den Hackern aus dem Kreml in Verbindung stand, die später während der Präsidentschaftswahlen in den USA 2016 die Demokraten angriffen. Weniger als eine Stunde bevor die Wahlergebnisse bekannt gegeben werden sollten, entdeckten Administratoren die Machenschaften. Und bei diesem Angriff handelte es sich nur um einen Vorgeschmack auf Russlands ehrgeizigstes Experiment in Sachen digitaler Kriegsführung; das Bombardement mit IT-Attacken begann sich im Herbst 2015 zu beschleunigen und hält unvermindert an.

Juschtschenko, der zwischen 2005 und 2010 Präsident der Ukraine war, ist der Meinung, die russische Taktik, sowohl online als auch offline, habe das einzige Ziel, „die Situation in der Ukraine zu destabilisieren, seine Regierung inkompetent und verletzlich erscheinen zu lassen.“ Er wirft die Blackouts und Hacker-Angriffe mit der Desinformation in einen Topf, mit der Russland die ukrainischen Medien überschwemmt, mit den Terrorkampagnen im Osten des Landes und die Tatsache, dass er vor einigen Jahren nur knapp dem Tod durch Dioxin entging – das seien alles mehr oder minder subtile Maßnahmen, um die Ukraine als gebrochene Nation dastehen zu lassen. „Russland wird nie eine souveräne, unabhängige Ukraine akzeptieren“, konstatiert Juschtschenko, dessen Gesicht immer noch von Narben der Dioxinvergiftung gezeichnet ist. „Fünfundzwanzig Jahre nach dem Zusammenbruch der Sowjetunion leidet Russland immer noch unter dem Syndrom des Imperialismus.“

Versuchsgebiet für einen Cyberkrieg
Sicherheits-Experten weltweit haben jedoch eine viel umfassendere Theorie, worauf die Hacker-Epidemie in der Ukraine hinauslaufen wird: Sie sind der Meinung, Russland nutze das Land als ein Versuchsgebiet für einen IT-Krieg, als Labor, um neue Formen des weltweiten Online-Kampfs zu perfektionieren. Und bei den digitalen Sprengstoffen, die Russland mehrfach in der Ukraine eingesetzt hat, sind auch diejenigen darunter, die es zumindest schon einmal zuvor in die zivile Infrastruktur der USA eingeschleust hatte.

Im Oktober 2015, mehr als ein Jahr, bevor Yasinsky aus dem Fenster sieht und nichts als eine dunkle Stadt vor sich hat, saß er an einem Sonntagmorgen in der Nähe desselben Fensters und aß eine Schüssel voll Cornflakes und trank dazu Tee. Dann bekam er einen Anruf aus seinem Büro. Damals war er als Director of Information Security bei StarLightMedia tätig, dem größten Fernsehkonzern in der Ukraine. In der Nacht waren aus unerklärlichen Gründen zwei der Server von StarLight vom Netz gegangen. Am Telefon versicherte ihm der IT-Administrator, dass die Server bereits durch Backups wieder in den alten Zustand zurückversetzt worden seien.

Doch Yasinsky war nicht wohl bei dieser Sache. „Das passiert schon, dass ein Server ausfällt“, gab Yasinsky zu Bedenken, „aber gleich zwei zur selben Zeit? Das ist verdächtig.“

Sein eigentlich freies Wochenende gab er resigniert auf und fuhr die 40 Minuten zu den Büros von StarLightMedia. Dort angekommen, untersuchten Yasinsky und die IT-Experten des Unternehmens den Abgleich, den sie von einem der manipulierten Server hatten. Sein Master Boot Record, jenes tiefsitzende Reptiliengehirn eines Computers, das Teil der Festplatte ist und der Maschine sagt, wo sie ihr eigenes Operating System finden kann, war fein säuberlich mit Nullen überschrieben. Das war insofern noch beunruhigender, weil die beiden betroffenen Server als Domain Controller dienten. Diese Computer haben wichtige Privilegien, mit deren Hilfe man Hunderte von weiteren Computern im Netzwerk des Unternehmens erreichen konnte. 

Schnell entdeckte Yasinsky, dass der Angriff in der Tat schwerwiegender war als zunächst gedacht: Die beiden manipulierten Server hatten auf den Laptops von 13 StarLight-Beschäftigten Schadsoftware eingeschleust. Dieser Eingriff hatte deren Geräte mit derselben Überschreibungstechnik lahmgelegt, die schon bei der Boot Record zum Einsatz kam. Das alles passierte gerade, als die Redakteure dabei waren, die Frühnachrichten vor den Lokalwahlen vorzubereiten.

Dennoch war Yasinsky bewusst, dass er noch von Glück reden konnte. Bei der Überprüfung der Netzwerklogs von StarLight schien es, dass die Domain Controller vorzeitig Selbstmord begangen hatten. Eigentlich waren sie so eingestellt gewesen, dass sie weitere 200 PCs des Unternehmens hätten infizieren und lahmlegen können. Bald schon hörte Yasinsky von der Konkurrenz, dem Medienunternehmen TRK, dass es weniger Glück gehabt hatte: Die Firma hatte mehr als einhundert Computer aufgrund eines in etwa identischen Angriffs verloren. 

Yasinsky druckte den Code aus und breitete die Seiten auf seinem Küchentisch und auf dem Boden aus. Noch nie hatte er es mit solch einer raffinierten digitalen Waffe zu tun

Es gelang Yasinsky, eine Kopie vom zerstörerischen Programm im StarLights-Netzwerk zu ziehen. Zu Hause brütete er dann über dessen Code. Es fiel ihm auf, dass es Schichten geschickter Verschleierung gab. Die Schadsoftware war alle Virenscans umgangen und hatte sogar einen Virenscan imitiert, den Windows Defender von Microsoft. Nachdem alle schlafen gegangen waren, druckte Yasinsky den Code aus und breitete die Seiten auf seinem Küchentisch und auf dem Boden aus, dann strich er die Zeilen voller Zeichen, die der Tarnung dienten, durch und strich die Befehle an, um ihre wahre Gestalt zu erkennen. Yasinsky war seit 20 Jahren in der Informationssicherheit tätig, er hatte riesige Netzwerke organisiert und Gangs hochspezialisierter Hacker abgewehrt. Doch noch nie hatte er mit solch einer raffinierten digitalen Waffe zu tun.

Unter all der Verkleidung und Irreführung steckte eine Schadsoftware namens KillDisk, wie Yasinsky herausfand, ein datenvernichtender Parasit, der unter Hackern bereits seit ungefähr zehn Jahren kursierte. Um zu verstehen, wie die Software in ihr System gelangt war, analysierte Yasinsky mit zwei Kollegen von StarLight wie besessen die Logs des Unternehmensnetzwerks. Immer wieder gingen sie sie nach Feierabend und am Wochenende durch. Indem sie Spuren von Fingerabdrücken der Hacker zurückverfolgten – ein paar manipulierte YouTube-Accounts des Senders, das Network-Login einer Administratorin, das aktiv war, obwohl die Kollegin krank zu Hause lag – wurde ihnen eine Tatsache klar, die ihnen den Magen umdrehte: Die Eindringlinge befanden sich schon seit sechs Monaten in ihrem System. Schließlich identifizierte Yasinsky das Element einer Schadsoftware, das den Hackern als Einstiegshilfe diente: ein Allzweck-Trojaner namens BlackEnergy.

Mit jedem weiteren Schritt wurde deutlicher, dass unsere Titanic auf den Eisberg gestoßen war

Oleksij Yasinsky

Es dauerte nicht lange, da hörte Yasinsky von Kollegen von anderen Firmen und Regierungsmitarbeitern, dass auch sie gehackt worden waren und zwar auf fast identische Weise. Eine Attacke richtete sich gegen Ukrzaliznytsia, das größte Eisenbahnunternehmen in der Ukraine. Andere Opfer baten Yasinsky um Vertraulichkeit. Immer wieder nutzten Hacker BlackEnergy, um Zugang zu Systemen zu gewinnen und sie auszukundschaften. Danach löschten sie sie mittels KillDisk aus. Die Motive blieben im Dunklen, aber ihre Zeichen hinterließen sie überall.

„Mit jedem weiteren Schritt wurde deutlicher, dass unsere Titanic auf den Eisberg gestoßen war“, erklärt Yasinsky. „Je gründlicher wir nachschauten, desto größer wurde er.“

Doch auch damals sah Yasinsky die wahren Dimensionen dieser Bedrohung nicht voraus. Er hatte zum Beispiel keine Ahnung, dass BlackEnergy und KillDisk im Dezember 2015 in den Computersystemen von mindestens drei großen ukrainischen Energieunternehmen eingeschleust worden waren und dort auf der Lauer lagen.

Zunächst machte Robert Lee die Eichhörnchen verantwortlich. Es geschah am Weihnachtsabend 2015 und wie es der Zufall wollte, war das auch der Tag vor Lees Hochzeit, die in seiner Heimatstadt Cullman im US-Bundestaat Alabama stattfinden sollte. Lee, ein gedrungener, bärtiger Rotschopf, hatte gerade seinen verantwortungsvollen Posten in einem US-amerikanischen Geheimdienst mit drei Buchstaben gekündigt, bei dem er sich mit der IT-Sicherheit wichtiger Infrastrukturen beschäftigte. Nun gündete er gerade sein eigenes Security-Startup. Seine künftige Ehefrau war Niederländerin, die er bei einem Auslandseinsatz kennengelernt hatte.

Während sich Lee mit den Vorbereitungen für seine Hochzeit beschäftigte, las er die Schlagzeilen über Hackerangriffe, die ein Stromnetz in der westlichen Ukraine lahmgelegt hatten. Anscheinend war in einem großen Teil des Landes sechs Stunden lang die Elektrizität ausgefallen. Lee schenkte der Geschichte keine weitere Beachtung, schließlich hatte er anderes im Kopf und unzählige Male waren ihm schon Fehlmeldungen über gehackte Stromnetze untergekommen. Die Ursachen waren normalerweise Nagetiere oder Vögel. In der Branche gilt es längst als ein abgenutzter Spruch, dass in Wahrheit Eichhörnchen eine größere Bedrohung für ein Stromnetz darstellten als Hacker.

Allerdings erhielt Lee kurz vor seiner Trauung eine SMS über die angebliche Attacke von Mike Assante, einem Sicherheitsexperten des SANS Institute, einem Elite-Trainings-Center für IT-Sicherheit. Lee merkte auf: Wenn es um digitale Bedrohung von Stromnetzwerken geht, ist Assante einer der angesehensten Experten weltweit. Er teilte Lee mit, dass es sich bei dem Totalausfall in der Ukraine offenbar wirklich um einen Hackerangriff handelte. 

Die Hacker hatten sich in den Netzwerken der Stromerzeuger eingeschlichen und schließlich ein VPN manipuliert, das sie für den Fernzugriff nutzten

Kurz nachdem Lee Ja gesagt und die Braut geküsst hatte, erhielt er eine weitere SMS, diesmal von einem Kontakt in der Ukraine: Es treffe zu, dass ein Hackerangriff zum Blackout geführt habe, sagte der Mann, und er benötige Lees Hilfe. Lee hatte sich in seiner Karriere auf den Fall einer Netzwerk-Attacke auf Infrastrukturen vorbereitet und nun traf endlich ein, worauf er Jahre lang gewartet hatte. Er schlich sich von seinem eigenen Hochzeitsempfang davon und suchte sich einen ruhigen Platz, um Assante eine Nachricht zu schicken – immer noch im festlichen Anzug.

Schließlich zog sich Lee in sein Elternhaus in der Nähe zurück und setzte sich an den Laptop seiner Mutter. Gemeinsam arbeitete er mit Assante, der wiederum in Idaho auf dem Lande bei Freunden Weihnachten feierte. Sie recherchierten Landkarten der Ukraine und eine grafische Darstellung des Stromnetzes. Die drei Stromversorger, die geschädigt worden waren, befanden sich in unterschiedlichen Gegenden des Landes hunderte Kilometer voneinander entfernt. „Das kann kein Eichhörnchen gewesen sein“, stellte Lee fest und erschauderte.

In derselben Nacht bemühte er sich darum, die KillDisk-Schadsoftware zu analysieren, die ihm sein ukrainischer Kontakt von den gehackten Stromversorgern geschickt hatte, etwa so, wie Yasinsky es Monate zuvor nach den Angriffen auf die StarLightMedia getan hatte. („Ich habe eine sehr geduldige Frau“, fügt Lee hinzu.) Binnen weniger Tage erhielt Lee ein Muster des BlackEnergy-Codes sowie kriminaltechnische Daten über die Attacken. Er erkannte, wie der Eingriff angefangen hatte, nämlich mit einer Phishing-E-Mail, die eine Nachricht der ukrainischen Regierung imitierte. Ein heimtückisches Word-Attachment hatte im Stillen ein Script auf den Geräten der Betroffenen laufen lassen und den BlackEnergy-Virus übertragen. Von diesem Ausgangspunkt aus konnten die Hacker offensichtlich in die Netzwerke der Stromunternehmen eindringen und schließlich dem VPN der Firmen Schaden zufügen, mit denen sie Fernzugriff auf das Netzwerk hatten. Dazu gehörte auch die hochspezialisierte Kontrollsoftware, die den Betreibern Fernzugriff auf Schaltstellen wie Stromkreisunterbrecher erlauben.

Die Gruppe, die fast 250.000 Ukrainern das Licht ausgelöscht hatte, infizierte amerikanische Energieversorger mit exakt derselben Schadsoftware 

Während sich Lee die Methoden der Hacker ansah, wurde ihm allmählich klar, mit wem er es zu tun hatte. Er war von den Übereinstimmungen überrascht, die zwischen den Taktiken der Stromausfall-Hacker und denen einer Gruppe herrschte, die unter Sicherheitsexperten kürzlich recht bekannt geworden war – die Gruppe Sandworm. Im Jahr 2014 gab die Sicherheitsfirma FireEye eine Warnung vor einem Hacker-Team heraus, das BlackEnergy-Schadsoftware unter ihren Opfern verbreitete, wozu auch polnische Energieversorger und ukrainische Regierungsbehörden gehörten. Die Gruppe schien Methoden zu entwickeln, um spezialisierte Computerarchitekturen anzugreifen, die die Fernverwaltung von physischen Industrieanlagen ermöglichen. Der Name der Gruppe basiert auf Referenzen auf den Film Dune. Der Wüstenplanet, die sich in ihren Codes fanden, beispielsweise Begriffe wie „Harkonnen“ und „Arrakis“, der wasserarme Planet des Romans, auf dessen Wüsten riesige Sandwürmer umherstreifen.

Niemand wusste so recht etwas über die Ziele der Gruppe. Aber alles wies darauf hin, dass es sich bei den Hackern um Russen handelte. FireEye hatte einige der typischen Angriffstechniken von Sandworm bis zu einem Vortrag auf einer russischen Hacker-Konferenz zurückverfolgt. Und als es den Ingenieuren von FireEye gelang, zu einem der ungesicherten Command-and-Control-Servern von Sandworm zu gelangen, fanden sie neben einer Anleitung auf Russisch, wie BlackEnergy anzuwenden sei, weitere Files in russischen Versionen.

Am meisten irritierte alle amerikanischen Experten die Tatsache, dass sich Ziele von Sandworm auf beiden Seiten des Atlantiks fanden. Zuvor hatte die amerikanische Regierung im Jahr 2014 berichtet, dass Hacker BlackEnergy in die Netzwerke amerikanischer Strom- und Wasserversorger eingeschleust hatten. Aufgrund der Untersuchungsergebnisse der Regierung war es FireEye gelungen, auch diese Eingriffe auf Sandworm zurückzuführen.

Für Lee fügten sich die Einzelteile des Puzzles zusammen: Offenbar hatte dieselbe Gruppe, die fast einer Viertelmillion Ukrainern das Licht ausgelöscht hatte, vor nicht allzu langer Zeit die Computer amerikanischer Energieversorgungsunternehmen mit exakt derselben Schadsoftware infiziert.

Es waren erst einige Tage seit dem Weihnachts-Blackout vergangen, daher hielt es Assante für zu früh, eine bestimmte Hacker-Gruppe zu beschuldigen – von einer Regierung ganz zu schweigen. Doch bei Lee klingelten schon die Alarmglocken. Bei dem Angriff in der Ukraine handelte es sich um mehr als um ein Fallbeispiel, das in einem fernen Land stattfand. „Ein Gegner, der bereits amerikanische Stromversorgungsunternehmen ins Visier genommen hatte, hat die rote Linie überschritten und ein Stromnetz lahmgelegt“, sagt Lee. „Er stellte eine unmittelbare Bedrohung für die USA dar.“

Einige Wochen später kam ein amerikanisches Team in Kiew an. Einen Block von der Kathedrale der Heiligen Sophia mit ihren goldenen Türmen entfernt, traf man sich im Hyatt Hotel. Das Team bestand aus Mitgliedern des FBI, dem Ministerium für Energie, dem Ministerium für Innere Sicherheit und Vertretern der North American Electricity Reliability Corporation, der Institution, die für die Stabilität des US-amerikanischen Stromnetzes sorgt. Alle Teilnehmer gehörten zu einer Delegation, die mit der Aufgabe betraut war, dem Stromausfall in der Ukraine auf den Grund zu gehen.

Die Behörden hatten auch Assante aus Wyoming einfliegen lassen. Lee, aufbrausender als sein Freund, lag mit den US-Behörden im Clinch, weil er deren Vorliebe für Geheimhaltung kritisiert hatte und darauf bestand, dass die Details des Angriffs umgehend veröffentlicht werden müssten. Ihn hatte man nicht eingeladen.

An diesem ersten Tag trafen sich die Experten mit Beschäftigten von Kyivenergo, dem städtischen Stromversorger und einem der drei Opfer der Attacken. In den folgenden Stunden legten die ukrainischen Führungskräfte stoisch Schritt für Schritt den umfassenden und fast qualvollen Angriff auf ihr Netzwerk dar.

Die Message lautete: ‚Ich werde dafür sorgen, dass Ihr das überall zu spüren bekommt.’ 

Mike Assante

Lee und Assante hatten in der Schadsoftware, die die Energieunternehmen infiziert hatte, keine Befehle gefunden, die die Stromkreisunterbrecher hätten kontrollieren können. Dennoch mussten die Angestellten von Kyivenergo an jenem Nachmittag des 23. Dezembers hilflos dabei zusehen, wie ein Stromkreis nach dem anderen in Dutzenden von Umspannstationen in einer Region unterbrochen wurde, die etwa der Größe des US-Bundesstaats Massachusetts entspricht. Es wirkte, als würden sie von Computern aus gesteuert, die in ihrem Netzwerk unsichtbar waren. Tatsächlich stellten die Ingenieure von Kyivenergo fest, dass die Angreifer ihre eigene, perfekt konfigurierte Kopie der Kontrollsoftware auf einem PC an einem entfernten Ort eingerichtet hatten und dann diesen bösartigen Klon dazu nutzten, die Befehle auszuführen, die die Stromversorgung zum Erliegen brachten.

Sobald die Stromkreisunterbrecher geöffnet und Zehntausende von Ukrainern ohne Strom waren, begannen die Hacker mit der zweiten Phase ihres Angriffs. Sie hatten die Firmware der Serial-to-Ethernet-Converter der Umspannstationen – kleine Kästen in den Serverschränken, die Internetprotokolle übersetzen, damit auch älteres Equipment mit ihnen kommunizieren kann – überschrieben. Indem sie den geheimen Code dieser Hardware-Teile neu schrieben – ein Trick, für den sie sicherlich einige Wochen an Vorbereitung brauchten – hatten die Hacker die Geräte nachhaltig funktionsunfähig gemacht und berechtigten Anwendern die Kontrolle der Stromkreisunterbrecher entzogen. Während der Konferenz musste Assante eingestehen, dass die Hacker sehr gründlich vorgegangen waren. 

Diese Angreifer müssen sich aufgeführt haben, als seien sie Götter

Mike Assante

Außerdem hatten die Hacker ihre Visitenkarte hinterlassen, indem sie KillDisk laufen ließen, um einige der firmeneigenen PCs unbrauchbar zu machen. Doch das tückischste Element des Angriffs betraf die Batterie-Backups der Kontrollstationen. Sobald eine Region keinen Strom mehr hatte, verfügten auch die Stationen selbst über keine Versorgung mehr und sorgten dafür, dass sie mitten in der Krise im Dunklen dastanden. Mit größter Präzision hatten die Hacker einen Blackout innerhalb eines Blackouts entworfen.

„Die Botschaft war: ‚Ich werde dafür sorgen, dass ihr das überall zu spüren bekommt’. Bumm bumm bumm bumm bumm bumm bumm.“ Assante stellte sich vor, wie die Attacke aus der Perspektive des Netzbetreibers gewirkt haben musste. „Diese Angreifer müssen gewirkt haben, als hätten sie Kräfte wie Götter.“

Am selben Abend bestieg das Team ein Flugzeug in die Westukraine, nach Iwano-Frankiwsk in den Karpaten. Als sie an dem Flughafen aus der Sowjet-Ära ankamen, tobte ein Schneesturm. Am nächsten Morgen besuchten sie die Zentrale von Prykarpattyaoblenergo, dem Energieversorger, der am stärksten unter dem Angriff vor Weihnachten gelitten hatte. 

Die Chefs begrüßten die Amerikaner höflich in ihrem modernen Gebäude nahe den hoch aufragenden Schornsteinen eines aufgegebenen Kohlekraftwerks. Das Team wurde in den Sitzungsaal gebeten, wo über dem langen hölzernen Konferenztisch ein Ölgemälde hing, auf dem ein Schlachtfeld nach der Schlacht zu sehen war.

Vor ihren Augen hatten unsichtbare Hände Dutzende von Stromkreis-Unterbrechern ausgeschaltet, von dem jeder ein anderes Gebiet der Region kontrollierte

Der Angriff, den sie beschrieben, glich dem bei Kyivenergo extrem: BlackEnergy, korrumpierte Firmware, unterbrochene Backup-Systeme, KillDisk. Aber bei dieser Attacke gingen die Hacker noch einen Schritt weiter, indem sie die Callcenter des Unternehmens mit Fehlmeldungen bombardierten – wahrscheinlich, um die Anrufe betroffener Kunden zu verzögern oder einfach, um dem Ganzen noch ein wenig Chaos und ein Gefühl von Erniedrigung hinzuzufügen.

Und es gab einen weiteren Unterschied: Die Frage der Amerikaner, ob auch hier wie in Kiew geklonte Kontroll-Software die Befehle, den Strom abzuschalten, gegeben hatte, verneinten die Ingenieure von Prykarpattyaoblenergo. Ihre Stromkreisunterbrecher waren mit Hilfe einer anderen Methode gestört worden. An dieser Stelle schaltete sich der Technische Leiter der Firma, ein großer, ernster Mensch mit schwarzen Haaren und eisblauen Augen ein. Anstatt die Methoden der Hacker von einem Übersetzer für die Amerikaner erklären zu lassen, bot er an, den Vorfall zu zeigen. Auf seinem alten iPhone 5s hatte er ein Video aufgenommen und drückte die Play-Taste.

In dem 56-Sekunden-Clip war ein Computerscreen zu sehen, der im Kontrollraum des Unternehmens stand. Auf ihm bewegte sich ein Cursor. Er gleitet auf das Icon für einen der Stromkreisunterbrecher und klickt es an. Das Bild schwenkt von dem Samsung-Monitor zur Maus, die nicht bewegt wurde. Dann wird wieder der Cursor gezeigt, der scheinbar selbstständig über einem Stromkreisunterbrecher schwebt und den Energiefluss abschneidet, während man hört, wie die anwesenden Ingenieure sich fragen, wer ihn kontrollieren könnte.

Die Hacker hatten die Befehle für den Blackout nicht von automatisierter Schadsoftware geschickt oder eine Maschine geklont, wie es bei Kyivenergo der Fall gewesen war. Stattdessen hatten die Eindringlinge den IT-Helpdesk gekapert, um direkte Kontrolle über die Mausbewegungen des Operators der Station zu gewinnen. Sie hatten die Anwender von ihrem eigenen User-Interface ausgeschlossen. Und vor deren Augen hatten unsichtbare Hände Dutzende von Stromkreisunterbrechern ausgeschaltet, von dem jeder ein anderes Gebiet der Region kontrollierte. Einer nach dem anderen fuhr herunter. 

Im August 2016, acht Monate nach dem ersten Weihnachts-Blackout, kündigte Yasinsky seinen Job bei StarLightMedia. Er hatte beschlossen, es reichte nicht aus, eine einzelne Firma vor einem Angriff zu schützen, der alle Bevölkerungsschichten der ukrainischen Gesellschaft traf. Um mit den Hackern Schritt halten zu können, brauchte er einen umfassenden Eindruck dessen, wozu sie in der Lage waren – und die Ukraine brauchte eine umfassendere Antwort auf die skrupellose Organisation, zu der sich Sandworm entwickelt hatte. „Die Guten bleiben gespalten“, sagt er über die unterschiedlichen Reaktionen der Opfer auf die Hackerangriffe, „die Bösen stehen geschlossen.“

Yasinsky nahm einen Posten als Head of Research and Forensics bei Information Systems Security Partners in Kiew an. Das Unternehmen war eher unbekannt. Doch Yasinsky machte es de facto zu der ersten Hilfsadresse für die Opfer der digitalen Belagerung Kiews.

Kaum hatte Yasinsky seinen Arbeitgeber gewechselt, unterlag das Land fast wie auf Kommando einer weiteren, noch umfassenderen Welle von Angriffen. Er hakt die Liste der Opfer ab: Pensionskasse der Ukraine, Finanzministerium des Landes, Hafenverwaltung, die Verkehrs-, Außen- und Finanzministerien. Wieder schlugen die Hacker bei der ukrainischen Eisenbahngesellschaft zu, dieses Mal blockierten sie tagelang das Online-Ticket-System, mitten in den Ferien. Wie im Jahr 2015 fanden die meisten Angriffe ihren Höhepunkt in der Explosion der Festplatten der Opfer wie bei den KillDisk-Attacken. Im Fall des Finanzministeriums löschte die logische Bombe Terrabytes an Daten zu einem Zeitpunkt, als man das Budget für das Folgejahr vorbereitete. Alles in allem war der neue Ansturm der Hacker in diesem Winter mit dem des Vorjahres zu vergleichen und ging sogar noch darüber hinaus – bis zum großen Finale.

Am 16. Dezember 2016, als Yasinsky mit seiner Familie den Snowden-Film schaute, hatte der junge Ingenieur Oleg Zayschenko bereits vier Stunden seiner 12-Stunden-Schicht hinter sich. Sein Arbeitsplatz war der Kontrollraum eines Umspannwerks von Ukrenergo nördlich von Kiew. Der Raum stammte noch aus Sowjetzeiten, vom Boden bis zur Decke zogen sich analoge Steuertafeln in Beige und Rot. Die werkseigene getigerte Katze Aza war draußen zum Jagen, alles, was Zayschenko Gesellschaft leistete, war ein Fernseher in einer Ecke, auf dem Musikvideos liefen.

Der 20. und letzte Stromkreis wurde abgeschaltet, es wurde dunkel im Kontrollraum, auch der Computer und der Fernseher gingen aus

Er füllte per Hand ein Protokoll aus, um einen weiteren ereignislosen Samstagabend zu dokumentieren, als plötzlich die Alarmsirenen der Station angingen und ein ohrenbetäubendes Klingeln erschall. Zu seiner Rechten sah Zayschenko, dass zwei der Leuchten, die den Zustand der Kreissysteme des Umspannwerks anzeigen, statt grün rot glimmten – was in der universellen Sprache von Elektroingenieuren bedeutet, dass etwas schiefläuft.

Der Techniker griff zum Hörer, um die Zentrale von Ukrenergo über diesen Zwischenfall zu informieren. Währenddessen sprang eine weitere Leuchte von grün auf rot. Und noch eine. Zayschenko spürte das Adrenalin in seinen Adern. Als er hastig die Situation erklärte, wechselten die Leuchten immer weiter ihre Farbe: grün, rot, grün, rot. Erst acht, dann zehn, dann zwölf.

Als die Situation eskalierte, befahl der Betreiber Zayschenko, nach draußen zu laufen, um zu kontrollieren, ob es einen physischen Schaden am Werk gab. In jenem Moment wurde der 20. und letzte Stromkreis abgeschaltet, es wurde dunkel im Kontrollraum, auch der Computer und der Fernseher gingen aus. Zayschenko rannte zur Tür.

Ein Umspannwerk ist normalerweise ein riesiger, sirrender Dschungel, dessen elektrische Anlagen sich über knapp 80.000 Quadratmeter erstrecken, das sind mehr als zehn Fussballfelder. Doch als Zayschenko in die kalte Winternacht hinaustrat, war es draußen noch gruseliger als drinnen: Die drei panzergroßen Umspanner, die längs des Gebäudes aufgereiht standen, waren mucksmäuschenstill. Sie waren für knapp ein Fünftel der Elektrizität für die Großstadt verantwortlich. Bis zu dieser Sekunde hatte Zayschenko in seinem Kopf die Checkliste für Notfälle mechanisch abgehakt. Als er an den gelähmten Maschinen vorbeirannte, kam er zum ersten Mal auf den Gedanken, dass die Hacker wieder zugeschlagen hatten.

Dieses Mal schafften es die Angreifer, in den Kreislauf des ukrainischen Stromnetzes einzudringen. Anstatt nur die Verteilerstationen stillzulegen, die sich in das Kapillarsystem von Stromleitungen verzweigen, hatten die Saboteure eine Arterie getroffen: Dieses eine Umspannwerk in Kiew hatte so viel Megawatt Leistung wie die 50 Umspannwerke, die insgesamt dem Angriff von 2005 zum Opfer fielen. Glücklicherweise fiel das System nur für eine Stunde aus – was nicht ausreichte, um die Leitungen zufrieren zu lassen und die Einwohner in Panik zu treiben. Die Ingenieure von Ukrenergo hatten bereits vorher begonnen, die Kreise per Hand wieder zu schließen und alles wieder ans Netz zu bringen.

Nur die Kürze des Ausfalls war weniger bedrohlich bei diesem Blackout 2016. Cybersecurity-Experten, die die Attacke untersuchten, sagten später, sie sei deutlich raffinierter gewesen als die im Jahr 2015: Die Ausführung beruhte auf einer extrem anspruchsvollen und anpassungsfähigen Schadsoftware, die unter dem Namen „CrashOverride“ bekannt ist. Dieses Programm wurde explizit als automatischer Stromnetzkiller kodiert.

Lees Startup-Unternehmen für Sicherheit bei unverzichtbaren Infrastrukturen, Dragos, ist eine der zwei Firmen, die sich eingehend mit dem Code der Malware beschäftigt haben. Dragos erhielt ihn von dem slowakischen Sicherheitsausrüster ESET. Beide Teams fanden heraus, dass CrashOverride während des Angriffs in der Lage war, die Sprache der Protokolle des Kontrollsystems zu „sprechen“ und daher die Befehle unmittelbar an die Geräte des Stromnetzes zu senden. Im Gegensatz zu der zeitaufwendigen Phantom-Maus und der geklonten PC-Technik, die die Hacker 2015 einsetzten, konnte diese neue Software so programmiert werden, dass sie das Netzwerk des Opfers scannte, um Ziele auszumachen und dann in Echtzeit zuzuschlagen und das Stromnetz auf Befehl zu unterbrechen, ohne dass es zu den Hackern überhaupt eine Internetverbindung gab. Mit anderen Worten handelt es sich um die erste eingesetzte Schadsoftware seit Stuxnet, die entwickelt wurde, um eigenständig physische Infrastruktur zu sabotieren.

Im Jahr 2015 waren sie wie eine Truppe brutaler Straßenschläger. 2016 waren sie Ninjas

Marina Krotofil

Und bei CrashOverride handelt es sich nicht etwa nur um ein Einwegwerkzeug, maßgeschneidert, um Ukrenergos Stromnetz lahmzulegen. Es ist wiederverwendbar und eine hochanpassungsfähige Waffe zum Unterbrechen der Stromversorgung, so Wissenschaftler. Innerhalb der modularen Struktur der Schadsoftware könnten die Protokolle der Kontrollsysteme von Ukrenergo leicht ausgelagert und durch solche ersetzt werden, die in anderen Teilen Europas oder der USA genutzt werden.

Marina Krotofil, Sicherheitsexpertin für industrielle Kontrollsysteme bei Honeywell, untersuchte den Angriff auf Ukrenergo ebenfalls. Sie beschreibt die Methoden der Hacker als einfacher und bei Weitem effizienter als diejenigen, die 2015 zum Einsatz kamen. „Im Jahr 2015 waren sie wie eine Truppe brutaler Straßenschläger“, sagt Krotofil, „2016 waren sie Ninjas.“ Doch die Hacker könnten dieselben sein. Die Forscher von Drago haben die Architekten von CrashOverride als Mitglieder von Sandworm identifiziert. Diese Erkenntnis basiert auf Indizien, die Dragos bisher noch nicht aufdecken wollte.

Für Lee stellt all dies beunruhigende Hinweise auf die Weiterentwicklung von Sandworm dar. Ich traf ihn in den kahlen Büros von Dragos, seiner Sicherheitsfirma für unverzichtbare Infrastrukturen in Baltimore. Vor seinen Fenstern steht eine Reihe von Strommasten. Lee zufolge tragen sie den Strom 18 Meilen südwärts, in das Zentrum von Washington, DC.

Lee sagt, es sei zum ersten Mal in der Geschichte geschehen, dass Hacker bewiesen hätten: Sie sind in der Lage und willens, unerlässliche Infrastruktur anzugreifen. Ihre Methoden haben sie ständig verfeinert und bei immer neuen Angriffen verbessern können. Und die Hacker haben zuvor bereits einmal BlackEnergy auf das Stromnetz der USA angesetzt. „Leute, die verstehen, wie das Stromnetz der USA funktioniert, wissen, dass das hier passieren kann“, sagt Lee.

Die USA seien für die Hacker von Sandworm sogar noch attraktiver, sagt Lee, sollten sie sich dazu entschließen, das Netz dort anzugreifen. Die US-Energiekonzerne haben die Notwendigkeit von Cybersecurity zwar alle verinnerlicht, aber sie sind auch stärker automatisiert und moderner als die in der Ukraine – eine größere „digitale Angriffsfläche“ also. Außerdem haben amerikanische Ingenieure weniger Erfahrung mit der manuellen Wiederherstellung der Netzversorgung nach wiederkehrenden Blackouts.

Sagen Sie mir, was sich nicht dramatisch ändert, wenn Metropolen in den USA einen Monat lang keinen Strom mehr haben

Robert Lee

Niemand weiß, wie oder wo der nächste Angriff von Sandworm auftreten wird. Der nächste Vorstoß könnte etwa keine Verteilerstation oder ein Umspannwerk treffen, sondern direkt ein Kraftwerk. Oder es könnte so designt sein, dass es die Geräte nicht einfach abschaltet, sondern zerstört. Im Jahr 2017 zeigte ein Fünfundzwanzig Jahre nach dem Zusammenbruch der Sowjetunion leidet Russland immer noch unter dem Syndrom des ImperialismusTeam von Wissenschaftlern des Idaho National Lab, zu dem auch Mike Assante gehörte, dass es möglich ist, elektrische Infrastruktur quasi zu Tode zu hacken: Das so genannte Aurora-Experiment benötigte nichts weiter als digitale Befehle, um einen 2,25-Megawatt-Dieselgenerator endgültig zu zerstören.

Ein Video von dem Experiment zeigt, wie das Gerät der Größe eines Wohnzimmers während seines Todeskampfs hustet und schwarzen und weißen Rauch ausstößt. Solch ein Generator unterscheidet sich nicht wesentlich von einem Gerät, das US-Kunden mit Hunderten von Megawatt versorgt. Wer es schlau anstellt, kann nachhaltig Energie-Anlagen oder schwere, kaum zu ersetzende Transformatoren permanent außer Gefecht setzen. 

Tatsächlich hat die Analyse von CrashOverride ESETs ergeben, dass diese Schadsoftware möglicherweise schon über Bestandteile für diese Art Zerstörung verfügt. Die Experten von ESET bemerkten, dass CrashOverride Code enthält, der ein bestimmtes Siemens-Bauteil angreifen soll, das sich in Kraftwerken findet – ein Teil des Equipments, das als Not-Schalter funktioniert, um gefährliche Überspannungen in Stromleitungen und Umspannwerken zu verhindern. Falls CrashOverride in der Lage ist, diesen Schutzmechanismus zu behindern, könnte es bereits nachhaltigen Schaden an der Hardware des Stromnetzes verursachen.

Ein einmaliger Vorfall im Sinne einer physischen Zerstörung könnte vielleicht nicht das Schlimmste sein, was die Hacker anrichten können. In der amerikanischen Cybersecurity-Community ist häufig die Rede von „fortgeschrittener anhaltender Bedrohung“. Es geht um technisch versierte Invasoren, die nicht einfach in ein System eindringen, sondern dort bleiben und heimlich das Ziel im Griff halten. In seinen Albträumen, sagt Lee, wird die amerikanische Infrastruktur dauerhaft gehackt: Verkehrsnetzwerke, Pipelines oder Stromnetze werden immer wieder von tief verwurzelten Gegnern zur Strecke gebracht. „Wenn sie das an verschiedenen Orten machen würden, gäbe es in einer ganzen Region Ausfälle, die bis zu einen Monat dauern können“, sagt Lee. „Sagen Sie mir, was sich nicht dramatisch ändert, wenn Metropolen in den USA einen Monat lang keinen Strom mehr haben.“

Es ist jedoch das Eine zu überlegen, ob und wie Akteure wie russische Hacker dem US-Stromnetz Schaden zufügen könnten, das Andere die Frage, warum sie das überhaupt tun sollten. Ein Angriff auf das Netz amerikanischer Einrichtungen würde fast sicher mit Vergeltungsmaßnahmen durch die USA geahndet. Einige Experten für Cybersicherheit sind der Meinung, dass das Ziel von Russland allein darin bestehe, die Cyberkrieg-Strategie der USA zu beeinträchtigen: Durch den Beweis, dass man in Kiew sehr schnell die Lichter ausgehen lassen kann und ebenso in der Lage sei, auch in das amerikanische Stromnetz einzudringen. Dadurch sendet Moskau den USA ein Warnsignal, die Vereinigten Staaten sollten keine mit Stuxnet vergleichbare Attacke auf Russland oder seine Verbündeten durchführen, etwa auf den syrischen Diktator Baschar al-Assad. Es geht um Abschreckung.

Man kann kaum behaupten, wir seien nicht verwundbar. Alles, was untereinander verbunden ist, ist verwundbar

Marcus Sachs

Aber Lee, der sich in seiner Zeit beim Geheimdienst mit War-Game-Szenarien beschäftigt hat, glaubt, dass Russland amerikanische Anlagen tatsächlich als Vergeltungsmaßnahme angreifen würde, wenn es sich in die Ecke gedrängt fühlte – beispielsweise, wenn die USA sich in die militärischen Interessen Moskaus in der Ukraine oder Syrien einzumischen drohten. 

Menschen wie Lee spielen die Szenarien möglicher Hackerattacken mit umfassenden Folgen seit mehr als einem Jahrzehnt gedanklich durch. Und selbst die raffiniert und folgenreich inszenierten Angriffe auf die ukrainische Stromversorgung waren letztens keine wirkliche Katastrophe. Schließlich ist das Licht auch wieder angegangen. Marcus Sachs, Chief Security Officer der North American Electric Reliability Corporation, sagt, amerikanische Stromunternehmen hätten bereits aus den ukrainischen Stromausfällen gelernt. Nach dem Angriff von 2015 seien die Stromversorger in den USA nachdrücklich dazu gedrängt worden, ihre grundlegenden Cybersecurity-Routinen zu verstärken und die Fernzugänge zu den wesentlichen Systemen häufiger abzuschalten. „Man kann kaum behaupten, wir seien nicht verwundbar. Alles, was untereinander verbunden ist, ist verwundbar“, sagt Sachs. „Aber sich jetzt hinzustellen und zu sagen, das Stromnetz sei Millisekunden von einem Zusammenbruch entfernt, wäre unverantwortlich.“

Doch für diejenigen, die seit fast drei Jahren die Aktivitäten von Sandworm verfolgt haben, ist die derzeit erhöhte Aufmerksamkeit kein falscher Alarm. Für John Hultquist, Abteilungsleiter Forschung bei FireEye, die als erste Sandworm entdeckt und benannt hatten, ist eine neue Stufe der Bedrohung erreicht. „Wir haben bereits miterleben können, dass diese Angreifer in der Lage sind, die Lichter auszuschalten und dass sie ein Interesse an den US-amerikanischen Systemen haben“, sagt Hultquist. Drei Wochen nach dem Angriff auf Kiew im Jahr 2016 twitterte er: „Ich schwöre, dass ich ausraste, wenn das Sandworm-Team schließlich westliche unverzichtbare Infrastruktur in die Knie zwingt und Leute so tun, als käme das völlig überraschend.“

Die Zentrale von Information System Security Partners, Yasinskys Firma, befindet sich in einem niedrigen Gebäude in einem Industriegebiet von Kiew. Schlammige Sportplätze neben verfallenen grauen Hochhäusern – einige der zahlreichen verbliebenen Andenken an die Sowjetunion, die sich noch in der Ukraine finden lassen. Drinnen sitzt Yasinsky in einem abgedunkelten Raum an einem runden Tisch, auf dem Netzkarten von 1,80 Metern Länge liegen. Auf ihnen sind Knotenpunkte und Verbindungen verzeichnet. Jede dieser komplexen Karten gibt die zeitliche Abfolge eines Eingriffs von Sandworm wieder. Mittlerweile befasst sich Lee seit fast zwei Jahren vor allem mit dieser Hacker-Gruppe, alles fing mit dem ersten Angriff auf StarLightMedia an.

Yasinsky sagt, er bemühe sich um eine unemotionale Haltung zu den Angreifern auf sein Land. Aber als auch seine eigenes Zuhause vor vier Monaten von einem Blackout betroffen war, fühlte es sich an, „als würde man ausgeraubt“, erzählt er mir. „Es war eine Art Schändung. Man begreift in dem Moment, dass das geschützte Private nur eine Illusion ist.“

Es gibt keine genauen Angaben darüber, wie viele ukrainische Institutionen bisher von den Hackerattacken betroffen sind. Für jedes öffentlich bekannte Ziel gibt es mindestens ein Unternehmen, das nicht zugibt, betroffen zu sein. Und es gibt dann auch noch solche, die bisher nicht entdeckt haben, dass es Eindringlinge in ihrem System gibt.

Und tatsächlich ist die nächste digitale Invasion schon unterwegs, als wir uns in den Räumen des ISSP treffen. Zwei Angestellte haben sich eingeloggt und nehmen Schadsoftware auseinander, die die Firma erst einen Tag zuvor aus einem neuen Schwall Phishing-E-Mails gezogen hat. Yasinsky sagt, er habe gewisse Muster erkannt: In den ersten Monaten des Jahres erledigen die Hacker die Grundlagenarbeit, sie dringen still bei ihren Opfern ein und hinterlassen ihre Einstiegswerkzeuge. Gegen Jahresende kommt dann der Rest der Attacke mit voller Wucht. Yasinsky ahnt, dass die Samen für die nächste Dezemberüberraschung 2017 schon gelegt sind, während er noch die Angriffe auf das Stromnetz von vergangenem Jahr analysiert. 

Sich auf die nächste Runde vorzubereiten, sei wie „für eine bevorstehende Abschlussprüfung zu lernen“, beschreibt es der Experte. Aber im Großen und Ganzen, glaubt er, ist das, was der Ukraine in den letzten drei Jahren widerfahren ist, nur eine Reihe von Praxistests.

Sie spielen noch mit uns

Oleksij Yasinsky

Er fasst die bisherigen Vorhaben der Angreifer in einem einzigen russischen Begriff zusammen: poligon. Versuchsgelände. Sogar in den verheerendsten Attacken hätten die Hacker nach Yasinskys Beobachtungen noch weitergehen können. Sie hätten nicht nur die gespeicherten Daten des Finanzministeriums löschen können, sondern auch die Backups. Sie hätten wahrscheinlich Ukrenergos Umspannwerk noch länger oder schließlich ganz abschalten oder physischen Schaden am Stromnetz anrichten können, so Yasinsky. Diese Zurückhaltung ist auch den amerikanischen Experten wie Assante und Lee nicht entgangen. „Sie spielen noch mit uns“, stellt Yasinsky fest. Jedes Mal haben sich die Hacker zurückgezogen, bevor sie den maximalen Schaden angerichtet haben, als wollten sie ihre wahren Fähigkeiten für eine zukünftige Operation schonen.

Cybersecurity-Experten weltweit sind zu demselben Schluss gekommen: Wo könnte eine Armee von Hackern aus dem Kreml besser im digitalen Kampf geschult werden als mitten in einem Kriegs innerhalb des Einflussbereichs Moskaus? „Hier kann man das Schlimmste anstellen, ohne Vergeltungsmaßnahmen oder Strafverfolgung“, sagt Geers, der NATO-Botschafter. „Die Ukraine ist nicht Frankreich oder Deutschland. Viele Amerikaner würden es nicht auf der Landkarte finden, also kann man sich hier ausprobieren.“ (Bei einem Diplomaten-Treffen im April ging US-Außenminister Rex Tillerson so weit zu fragen: „Warum sollten sich amerikanische Steuerzahler für die Ukraine interessieren?“)

Im Schutz dieses Desinteresses geht Russland nicht nur über die Grenzen seiner technischen Möglichkeiten hinaus, stellt Thomas Rid, Professor für Kriegsforschung am King’s College in London, fest. Es testet auch, was die internationale Gemeinschaft zu tolerieren bereit ist. Der Kreml beeinflusste die Wahlen in der Ukraine und stellte keine gravierenden Auswirkungen fest. Dann probierte er ähnliche Taktiken in Deutschland, Frankreich und den USA aus.  „Sie testen ihre Grenzen aus, schauen, womit sie noch durchkommen“, so Rid. „Man drängelt und guckt, ob man zurückgedrängt wird. Wenn nicht, versucht man den nächsten Schritt.“

Aber wie wird der nächste Schritt aussehen? In dem abgedunkelten Raum der ISSP-Labore in Kiew räumt Yasinsky ein, dass er die Antwort nicht weiß. Vielleicht ist es ein weiterer Blackout. Oder ein gezielter Angriff auf die Wasserversorgung. „Bemühen Sie Ihre Fantasie“, schlägt er trocken vor.

Hinter ihm dringt das schwindende Nachmittagslicht durch die Jalousien und verwandelt sein Gesicht in eine dunkle Silhouette. „Cyberspace ist per se kein Ziel. Es ist ein Medium“, fügt Yasinsky hinzu. Und dieses Medium ist in alle Richtungen mit der Maschinerie der Zivilisation selbst verbunden.

Andy Greenberg (@a_greenberg) schrieb in Ausgabe 25.03. über Edward Snowdens Anstrengungen, Reporter vor Hackern zu schützen.

Dieser Artikel erschien zuerst bei WIRED.com.
Das Original lest ihr hier.

Jetzt WIRED Member werden und mit uns in die Zukunft starten!

Mit im Paket: 4 Magazin-Ausgaben im Jahr und der Member-Zugang zu exklusiven Inhalten auf WIRED.de sowie weitere Vorteile nur für Member.

Member werden