Russische Bären unter Hackerverdacht

Behörden warnen vor Angriffen

Eine mutmaßlich russische Hackergruppe soll es auf Firmen in der Energie-, Wasser­ und Telekommunikationsbranche abgesehen haben. Drei Bundesbehörden bieten betroffenen Betrieben Hilfe an.

Drei Bundesbehörden, die sich um die IT-Sicherheit in Deutschland kümmern, haben in einer gemeinsamen Meldung vor einer mutmaßlich russischen Hackergruppe gewarnt. Auf acht Seiten schildern Bundesnachrichtendienst (BND), Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI), wie die Hacker vorgehen. IT-Sicherheitsexperten haben der Gruppe den Namen "Berserk Bear" gegeben. Ausführlich wird in dem nicht-öffentlichen Dokument vom 18. Mai beschrieben, wie Unternehmen sich vor diesen Angreifern schützen können.

Das Dokument liegt BR Recherche vor. In ihm wird kein direkter Bezug zum russischen Staat hergestellt. Jedoch wird auf Berichte der USA verwiesen, in denen die Gruppe Russland zugeordnet wird.

Nachzuweisen, wer hinter einem Hackerangriff steckt, gilt generell als schwierig. Technische Indizien lassen sich fälschen. Dass es aber möglich ist, Urheber zu ermitteln, zeigt insbesondere der Fall des Bundestag-Hacks von 2015. Fünf Jahre später erhob die Bundesanwaltschaft Haftbefehl gegen einen der Hacker, der involviert gewesen sein soll.

Warnungen ernst nehmen

Das Dokument vom 18. Mai 2020 liest sich wie eine eindringliche Bitte, die Warnung ernst zu nehmen. So habe es bei "aktuellen Analysen im Rahmen von Vorfällen bei KRITIS-Unternehmen" Hinweise auf "länger bestehende Kompromittierungen" durch die Hackergruppe in Unternehmensnetzen gegeben. KRITIS steht für kritische Infrastruktur und bezeichnet Einrichtungen und Unternehmen, die die Gesellschaft am Laufen halten, zum Beispiel in Form von Strom- und Wasserversorgung.

Die im Dokument beschriebene Vorgehensweise der Hacker sei "grundsätzlich nicht neu". Das ergeben auch Gespräche, die BR Recherche mit einem Dutzend IT-Sicherheitsforschern geführt hat. Alle Gesprächspartner baten um Anonymität. Zwei Personen, die den Inhalt des Dokumentes kennen, wollen es als Aufforderung verstanden wissen, die Warnungen der Behörden ernst zu nehmen. Denn in dem Schreiben wird auf eine bereits 2018 verschickte Warnung hingewiesen: Die Vorfälle hätten mit den vor zwei Jahren verschickten Empfehlungen "entdeckt werden können". In einem Fall befanden sich Dateien "seit dem Jahr 2017 auf Netzlaufwerken".

Auf Anfrage des BR bestätigten Sprecher von BSI und BfV Vorfälle bei deutschen Konzernen. Dem Verfassungsschutz lägen "nachrichtendienstliche Hinweise auf fortlaufende Aktivitäten der Gruppierung in Deutschland vor". Zuerst berichtete die amerikanische Technik-Seite "Cyberscoop" über das Schreiben der Bundesbehörden.

Erste Fälle wurden 2018 bekannt

Wie solche Angriffe ablaufen können, zeigt ein Fall, den die "Süddeutsche Zeitung" 2018 veröffentlichte. Die Hacker von "Berserk Bear" verschafften sich damals Zugang zu den IT-Netzwerken mehrerer Unternehmen, darunter einer Tochterfirma von EnBW.

Dort übernahmen sie die Kontrolle über den Router und konnten für einen Zeitraum von wenigen Minuten "einen kleinen Teil des Internetverkehrs" spiegeln, wie EnBW damals mitteilte. Der Angriff konnte "in einer frühen Phase erfolgreich abgewehrt werden". Den Hackern war es gelungen, in einem ersten Schritt das Mitarbeiterkonto eines externen Dienstleisters zu übernehmen. Diesen Zugang verwendeten die Hacker anschließend, um E-Mails im Namen des Dienstleisters zu verschicken. Diese enthielten Links zu Webseiten oder Dokumente.

Mail mit Schadsoftware im Anhang

Ein solches Dokument, datiert auf August 2017, liegt BR Recherche vor. Das Dokument gaukelt dem Empfänger eine seriöse Analyse des Stromnetzes vor. Doch das Dokument enthält, ähnlich wie die Webseiten, Schadsoftware. Wird es geöffnet, erbeuten die Hacker Windows-Zugangsdaten und kommen so an "Username/Passwort-Kombinationen", wie es in der aktuellen Warnung heißt. Damit können die Hacker "legitim aussehende Zugriffe auf die Opfersysteme durchführen" und für lange Zeit unentdeckt bleiben.

Es gehe ihnen darum, "Informationen zu stehlen oder gar Zugang zu Produktivsystemen" zu erlangen - also zum Beispiel zu den Turbinen, die Strom erzeugen. Dies könnte unter Umständen dazu führen, dass Anlagen sabotiert werden können. Nach "aktuellem Sachstand der bislang untersuchten Vorfälle" konnte das "jedoch noch (!) nicht in deutschen Unternehmen nachvollzogen werden", heißt es in der Warnmeldung.

In zwei Anhängen listen die Behörden technische Details auf, mit deren Hilfe Unternehmen Spuren der Hacker in ihren eigenen Netzen suchen können. Werden die Unternehmen fündig, können sie sich bei an das BfV oder das BSI wenden, um zusätzliche Unterstützung zu erhalten.