Russland habe das ukrainische Stromnetz mit Malware angegriffen, auch die USA seien gefährdet, behauptet Ex-NSA-Chef Michael Hayden. Ganz so eindeutig ist die Situation allerdings nicht.

Ex-NSA-Direktor Michael Hayden hat auf der Sicherheitskonferenz S41X6 in Miami vor Angriffen mit Malware auf das US-Stromnetz gewarnt. Dabei berief er sich auf die Angriffe auf das ukrainische Stromnetz, die am 23. Dezember vergangenen Jahres einen mehrstündigen Blackout in verschiedenen Regionen des Landes herbeigeführt hatten.

"Der Himmel verdunkelt sich", sagte Hayden nach Angaben des Christian Science Monitor während der Konferenz. Der Einsatz von Malware und gezielte Cyber-Angriffe könnten wichtige physische Infrastrukturen beschädigen, sagte der ehemalige Luftwaffengeneral. Der Angriff auf das ukrainische Stromnetz habe zu Sorgen in "offiziellen Kreisen" geführt, dass ein ähnlicher Angriff auch in den USA möglich sei. Wenig überraschend zitierte Hayden Berichte, denen zufolge die Spur der Angriffe nach Russland führe. Bewiesen ist das jedoch nicht.

Cyberwar-Apologeten wie der ehemalige Nationale Sicherheitsberater Richard Clarke warnen seit Jahren vor "Smart Bombs" im maroden US-amerikanischen Stromnetz und vor einem "Cyber-Pearl-Harbor". An einem vergleichbaren Angriff auf physische Infrastrukturen waren die USA indes selbst beteiligt: Das Stuxnet-Programm richtete sich gegen das iranische Atomprogramm und manipulierte die Zentrifugen der Urananreicherungsanlage Natanz so, dass diese massenhaft ausfielen.
Ob Malware der Auslöser war, ist noch unklar

So eindeutig, wie Hayden die Situation nun beschreibt, ist sie allerdings nicht. Als sicher kann mittlerweile gelten, dass der Stromausfall kein Zufall war, sondern Folge eines koordinierten Angriffs. Nach den Ausfällen stellten Experten Samples einer Variante der Black-Energy-Malware sicher, die in den Scada-Systemen präsent war. Ob diese Malware aber tatsächlich der Grund für den Ausfall ist, ist nach wie vor umstritten.

Eine Analyse der Sicherheitsfirma SANS ICS, die sich auf industrielle Steuerungsanlagen spezialisiert hat, ergab, dass sowohl Scada-Systeme als auch Arbeitsplatzrechner und Server der Stromversorger infiziert wurden. Mit der Infektion der Arbeitsplatzrechner sollten vermutlich die Auswirkungen des Ausfalls vor den Mitarbeitern zunächst verschleiert werden, um eine effektive Krisenreaktion zu unterbinden. Außerdem wurde ein nicht genauer beschriebener Denial-of-Service-Angriff gegen die Call-Center der Versorger initiiert, um die Kommunikation mit betroffenen Kunden zu stören.
Ausfall vermutlich durch Manipulation großer Sicherungen ausgelöst

Um den Ausfall selbst herbeizuführen, wurden vermutlich Sicherungen manipuliert, um kurzfristige starke Schwankungen der Netzfrequenz herbeizuführen, die dann zu dem Ausfall führten. Wie genau dieser Prozess jedoch ablief, sei nach wie vor unklar, so die Experten.

Der Blackout in der Ukraine wurde nach relativ kurzer Zeit beendet. Wohl auch, weil die Steuerung des Netzes nach wie vor auch manuell erfolgen kann. Unter Umgehung der infizierten und möglicherweise angegriffenen Scada-Komponenten setzte der Stromversorger Personal ein, um die betroffenen Umschaltstationen manuell zu steuern.
Auf der Hackerkonferenz 32C3 in Hamburg hatte der Wirtschaftsingenieur Mathias Dalheimer mögliche Angriffsszenarien auf das europäische Stromnetz diskutiert. Auch er warnte vor übertriebenen Hackerphantasien. Vielmehr müsste eine starke Schwankung der Netzfrequenz durch die Abschaltung großer Verbraucher oder großer Kraftwerke herbeigeführt werden, um einen Blackout auszulösen. Um das Netz angesichts der zunehmenden Einspeisung erneuerbarer Energien zu stabilisieren, rief er dazu auf, Stabilisierungsmechanismen auch auf Hochspannungsebene zu schaffen, also bestimmte Reservekapazitäten zum Beispiel bei Photovoltaik-Anlagen einzurichten.