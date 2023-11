Die dänische Sicherheitsbehörde SektorCERT geht davon aus, dass die Cyberattacken auf den dänischen Energiesektor russischen Ursprungs waren. REUTERS

In einem beispiellosen Cybersicherheitsvorfall wurde Dänemark zum Ziel des bislang größten Angriffs auf seine kritische Infrastruktur. Der koordinierte Angriff, der 22 Schlüsselunternehmen des Energiesektors betraf, offenbart eine neue Dimension der Cybersicherheitsbedrohung und wirft ernste Fragen zu nationaler Sicherheit und internationaler Cyberkriegsführung auf. Ereignet hat sich der Vorfall bereits im Mai dieses Jahres, an die Öffentlichkeit ist er aber erst jetzt gelangt.

Die präzisen und gleichzeitigen Cyberangriffe auf die dänische Energieinfrastruktur zeugen von beunruhigender Fachkenntnis und Planung. Nach Angaben der dänischen Sicherheitsbehörde SektorCERT wiesen die Angriffe auf ein hohes Maß an Vorbereitung und zielgerichteter Ausführung hin. Die Angreifer schienen ihre Ziele im Voraus genau zu kennen, da kein Angriff sein Ziel verfehlte. Diese Beobachtung deutet auf eine ausgeklügelte Strategie und möglicherweise auch auf staatlich unterstützte Akteure hin.

Spuren zu Sandworm

In mindestens zwei Fällen gibt es konkrete Hinweise darauf, dass eine Hackergruppe namens Sandworm involviert ist. Sandworm wird vermutlich vom russischen Militärnachrichtendienst GRU betrieben und ist bekannt dafür, Cyberangriffe durchzuführen, die auf Sabotage abzielen. Diese Gruppe führt ihre Angriffe normalerweise im Rahmen von Konflikten durch und ist derzeit hauptsächlich in der Ukraine aktiv.

Die Einschätzung der Sicherheitsbehörde basiert darauf, dass man digitale Spuren oder Daten gefunden hat, die mit IP-Adressen in Verbindung stehen, die man zuvor dieser Gruppierung zuordnen konnte. Besonders beunruhigend ist auch, dass die Angreifer eine kritische Sicherheitslücke in Zyxel-Firewalls, bekannt als CVE-2023-28771, ausnutzten, um in die Systeme einzudringen. Diese Schwachstelle war erst knapp vor den Angriffen öffentlich bekannt geworden.

Die Angriffe selbst waren nicht nur wegen ihrer Koordination bemerkenswert, sondern auch wegen ihrer Durchführung. In elf der betroffenen Unternehmen setzten die Angreifer Malware ein, um die Firewall-Konfigurationen zu erkunden und ihr weiteres Vorgehen zu planen. Die Gleichzeitigkeit der Angriffe verhinderte, dass Informationen über die Schwachstelle rechtzeitig weitergegeben werden konnten, um andere Ziele zu warnen, was die Effektivität dieser Strategie unterstreicht.

Kurz darauf folgte eine zweite Angriffswelle, diesmal mit bisher unbekannten Tools. Unklar ist, ob es eine Verbindung oder Zusammenarbeit zwischen den verschiedenen Angreifergruppen gab. Bei diesen späteren Angriffen wurden weitere Schwachstellen in Zyxel-Geräten ausgenutzt, um die kompromittierten Geräte in Werkzeuge für Distributed-Denial-of-Service(DDoS)-Angriffe gegen Unternehmen in den USA und Hongkong zu verwandeln.

Gefährliche Hintertüren

Als Reaktion auf die anhaltende Bedrohung mussten die betroffenen dänischen Unternehmen drastische Maßnahmen ergreifen, darunter die Trennung vom Internet und die Umstellung auf isolierte Betriebsmodi. Neben solchen vermutlich staatlich unterstützten Akteuren wird der Energiesektor auch zunehmend zum Ziel von Ransomware-Gruppierungen.

Allgemein wird angenommen, dass große Länder wie Russland, China und die USA in wichtigen IT-Systemen anderer Länder versteckte Zugangsmöglichkeiten, sogenannte Backdoors, eingerichtet haben. Diese ermöglichen es ihnen, im Falle eines offenen Konflikts schnell Sabotageakte durchzuführen. Eine solche Vorbereitungsmaßnahme könnte möglicherweise auch ein Grund für die Aktivitäten gegen Dänemark gewesen sein. (red, 16.11.2023)