Der in seiner Absicht beispiellose, letzten Endes jedoch gescheiterte Cyberangriff auf ein saudisches Gaswerk im vergangenen Jahr wurde laut der kalifornischen Cybersecurity-Firma Fire Eye höchstwahrscheinlich von russischen Hackern im Auftrag des Kreml durchgeführt. Die als eine der renommiertesten Firmen in der Analyse von Hackerangriffen geltende Fire Eye erklärte das in einem neuen Bericht, der von den Betreibern nach Bekanntwerden des Cyberangriffs in Auftrag gegeben wurde.

Die Sicherheitsforscher hatten bereits 2017 herausgefunden, dass ähnlich dem berühmten US-amerikanisch-israelischen Stuxnet-Angriff auf das iranische Atomprogramm 2010 eine als Triton beziehungsweise Trisis bekannte Malware eingesetzt wurde, die vor allem Geräte der Triconex-Serie des französischen Konzerns Schneider Electric angreift. Diese wird häufig in Öl- und Gasraffinerien wie jener in Saudi-Arabien, aber auch in Atomkraftwerken eingesetzt. Ob die Malware von den Russen auch entwickelt oder lediglich eingesetzt wurde, wollte Fire Eye nicht bewerten.

Angriff auf das Sicherheitssystem

Ziel des Angriffs von 2017 war es, jene Software anzugreifen, die für die Überwachung bestimmter Sicherheitmechanismen zuständig ist. Gefährliche Entwicklungen wie ein Leck oder ein Überdruck im Gaskraftwerk würden somit nicht mehr oder nur noch falsch angezeigt werden, was zu einer massiven Explosion, Öl- oder Gaslecks oder anderweitigen Schäden an der kritischen Infrastruktur hätte führen können. Die Malware war dabei so programmiert, dass sie in dem Fall, dass es ihr nicht gelingen sollte, einen fehlerhaften Code zu installieren, als letztes Mittel die Sicherheitsmechanismen generell auszuschalten versucht. Ein Sprecher von Schneider Electric bestätigte allerdings, dass im Fall eines Shutdown der Sicherheitsmechanismen die gesamte Anlage aus Sicherheitsgründen automatisch heruntergefahren würde. Genau das sei damals auch geschehen, nur so habe man überhaupt erst den Angriff erkannt. Die Aggressivität der Malware lässt vermuten, dass die Hacker etwaige Todesopfer bewusst in Kauf nahmen.

IT-Sicherheitsexperten werteten den Cyberangriff damals als krasse Eskalation in der digitalen Kriegsführung, die Urheber waren allerdings lange Zeit unbekannt. Dem Fire-Eye-Bericht zufolge wurde nun das "Zentrale wissenschaftliche Forschungsinstitut für Chemie und Mechanik", ein staatliches, dem russischen Militär angeschlossenes Forschungslabor in Moskau als Urheber der Angriffe identifiziert. Auch aufgrund der sich verbessernden bilateralen Beziehungen zwischen Saudi-Arabien und Russland in den vergangenen beiden Jahren, nach einstigen Unstimmigkeiten im Syrien-Krieg, kommen die Anschuldigungen durchaus überraschend. 2017 hatten noch viele den Iran hinter dem Cyberangriff vermutet.

Mehrere technische Indizien, aber auch die Zeit der Attacken und die in Dokumenten verwendeten Sprachen sprechen laut Fire Eye nun jedoch für eine russische Urheberschaft. Final bestätigen lassen sich aber Cyberattacken, wie so oft, fast nie. Das Labor, das in der Zarenzeit noch als Schießpulverlabor fungierte, soll heute jedenfallsauf die Entwicklung militärischer Gerätschaften spezialisieren und auch zur Vorbereitung von Cyberattacken dienen.

Alarmierte Behörden

Direkt nach Bekanntwerden des Angriffs im Dezember 2017 schrillten auch bei europäischen Behörden, etwa den deutschen, die Alarmglocken. Immerhin gebe es in Deutschland rund 100 ähnliche Anlagen, die mit den entsprechenden Sicherheitssystemen arbeiten, schreibt die "Süddeutsche Zeitung". Im Juni 2018 stellte man nach ausführlichen Tests technische Hilfsmittel für Firmen zur Verfügung, um ähnliche Angriffe frühzeitig erkennen zu können.

In Österreich hieß es auf STANDARD-Anfrage im Innenministerium, dass infolge der Cyberattacke auf Saudi-Arabien zwar keine expliziten Frühwarnungen an Betreiber von kritischer Infrastruktur ausgesendet wurden, aber regelmäßig Sensibilisierungs- und Warnschreiben vom Cyber Security Center an die Gesamtheit oder Teilbereiche der kritischen Infrastruktur in Österreich ergehen.

Robert Lee, Chef der IT-Sicherheitsfirma Dragos, die sich um den Schutz kritischer Infrastruktur kümmert, sagte der "Süddeutschen", dass die russischen Hacker ob ihrer bewussten Gefährdung von Menschenleben "die schlimmste Sorte von Angreifern" darstellten. Es handle sich um die "mit Abstand gefährlichsten Gruppe, die öffentlich bekannt ist".

Schwierige Zuschreibung

Hackerangriffe wie jener von 2017 werden ob ihrer Komplexität und ob des extremen Aufwands meist Staaten zugeschrieben, da nur diese über die Kapazitäten, Möglichkeiten und Mittel verfügen, um eine solche Attacke durchzuführen. Die präzise Zuschreibung an ein bestimmtes Labor eines Militärs, wie im aktuellen Fall geschehen, ist eher selten und wirft auch deshalb einige Fragen auf. Fire Eye will aber über die Rückverfolgung eines sogenannten PDB-Pfades einen russischen Hacker ausfindig gemacht haben, der scheinbar in direkter Verbindung zu dem Moskauer Labor steht und auch immer wieder Bilder von sich in der Nähe des Labors in sozialen Netzwerken hochgeladen hat.

Dennoch sind IT-Experten vorsichtig. Auch wenn es laut anonymen Quellen "verdammt gute Hinweise" gebe, dass es sich um die zum Teil bekannten Hacker aus dem russischen Labor handelt, könnte es natürlich auch eine Operation unter falscher Flagge gewesen sein. Auch dass letzten Endes ein eher dilettantischer Fehler zum Scheitern einer solch komplizierten Operation führte, sei eigenartig aber keinesfalls präzedenzlos. (faso, 24.10.2018)