Erster Blackout nach Hacker-Angriff? (In der Ukraine)

Energy_ICT_sept2015

Das gehört auf die sicherheitspolitische Beobachtungsliste: Erstmals sollen, so weit bekannt, Hacker die Energieversorgung einer ganzen Region lahmgelegt haben – konkret Ende Dezember vergangenen Jahres in der Ukraine.

Aus dem Bericht der Washington Post:

Hackers caused a blackout for the first time, researchers say
Hackers caused a power outage in Ukraine during holiday season, researchers say, signalling a potentially troubling new escalation in digital attacks.
„This is the first incident we know of where an attack caused a blackout,“ said John Hultquist, head of iSIGHT Partner’s cyberespionage intelligence practice. (…)

Half of the homes in Ukraine’s Ivano-Frankivsk region were left without power for several hours on December 23rd, according to a local report that attributed the blackout to a virus that disconnected electrical substations from the grid.

und etwas technischer bei ArsTechnica:

First known hacker-caused power outage signals troubling escalation
Highly destructive malware that infected at least three regional power authorities in Ukraine led to a power failure that left hundreds of thousands of homes without electricity last week, researchers said.
The outage left about half of the homes in the Ivano-Frankivsk region of Ukraine without electricity, Ukrainian news service TSN reported in an article posted a day after the December 23 failure.
Researchers from antivirus provider ESET have confirmed that multiple Ukrainian power authorities were infected by „BlackEnergy,“ a package discovered in 2007 that was updated two years ago to include a host of new functions, including the ability to render infected computers unbootable.

Noch klingt das alles nicht nach bestätigten Informationen. Aber vielleicht gibt es ja in absehbarer Zeit da ein bisschen mehr Klarheit.

24 Gedanken zu „Erster Blackout nach Hacker-Angriff? (In der Ukraine)

  1. Das einzige was mich daran wundert, ist dass es solange gedauert hat bis jemand begreift wie leicht und gründlich man auf diesem Wege ganze Staaten buchstäblich ausschalten kann, wenn man das nötige Know-How besitzt. Ich fürchte, das werden wir in Zukunft noch öfter erleben – hoffentlich nicht am eigenen Leib.

  2. Dann können wir nur hoffen, dass die angekündigte Cyber-Abwehrtruppe der Bundeswehr nicht der nächste PR-Gag von Frau UvdL war.

    Die erfolgreiche Abwehr von Hacker-Angriffen ist jedenfalls eine Zukunftsaufgabe für den Staat und somit auch für unsere Streitkräfte.

  3. re Jens Schneider

    Geht es nicht ohne Seitenhieb auf Frau vdL, geht es nicht sachlich?

  4. re Edgar Lefgrün

    Sorry, aber eine Cyberabwehrkomponente für die Bundeswehr ist bis jetzt nur angekündigt und was ist bisher geschehen….?

    @Heiko Kamann

    Auch unsere Streitkräfte haben kritische Infrastrukturen und der Betrieb und die Abwehr von Hacker-Angriffen auf diese, ist Aufgabe der Bundeswehr.

  5. Hallo Herr Schneider,
    den Seitenhieb auf Frau von der Leyen empfinde ich auch als sehr unpassend. Da es dazu noch der Grundlage entbehrt. Siehe Linkehttp://www.bmvg.de/portal/a/bmvg/!ut/p/c4/NYu7DsIwEAT_yGdLNKEjCiBaioTQOY7lHPilyyU0fDx2wa40xY4WnlAa9Y5OM6aoPTxgNHicPmIKuxOvtFFZxYpmsbRY5DUnj4xvGOp1tsKkaLmSbWQsdKQ5kciJ2FezERUjcIZRqq6VSv6jvs1wvlz7QyO7W3uHHMLpB0N2Un0!/

    Mfg

  6. Jens Schneider | 05. Januar 2016 – 21:02
    Auch dafür ist das Innenministerium zuständig.
    Die Bundeswehr war vor vielen Jahren mal auf dem richtigen Weg, Personal in Sachen „Hacking“ zu bilden. Das Ganze „starb“ in dem Moment, als eine „Handvoll“ Unteroffiziere zur Weiterbildung in die USA flogen und die „Bundeswehr aktuell“ darüber berichtete. Einige Offiziere konnten es nicht verstehen, dass Unteroffiziere „Lustreisen“ machen. Der Lehrgang fand nur einmal statt.
    Haben sich die Streitkräfte tatsächlich geändert? Werden diese Lehrgänge jetzt wieder angeboten und durchgeführt? Nur, wer „Hacker“ versteht, kann erfolgreich Gegenmaßnahmen implementieren.

  7. Guten Abend Herr Grünewald,
    wenn im Bendlerblock etwas in Sachen wirklicher Sicherheitspolitik passieren würde, wäre eine Erwähnung der IBUK sicherlich nicht notwendig.
    Aber wir hier auf AG in diversen Threads diskutiert, über Notwendigkeiten zur, ich sag mal “ Entkrampfung “ des desolaten Zustandes der Bw, nichts vorangeht ( s. z.B. mehr Personal und Geld für die Truppe ) sehe ich schon UvdL als Verantwortliche.

    Nach zweijähriger Amtszeit einer Minsterin wird es Zeit, dass es mit Einsatzbereitschaft und besserer Ausrüstung ( z.B. endlich angekündigte Vollausstattung ) in der Truppe vehement vorangeht.

    Ihr Link lässt sich leider nicht öffnen.

    Bei Amtsantritt hat die Verteidigungsministerin jedenfalls angekündigt, dass die Armee die beste Ausrüstung die es gibt, zur Verfügung gestellt bekommt.
    Davon merke ich zumindestens absolut nichts.

    MfG J.S.

  8. @Heiko Karmann

    Jedenfalls wurde in den Medien die Aufstellung einer Cyberabwehr für die Bundeswehr angekündigt.
    Wäre interessant für mich zu erfahren, was diese Komponente der Bw dann für Aufgaben übernehmen soll?
    Für eine Aufklärung bin ich dankbar.

  9. @T.W.:

    Malware, die Stromnetze lahmlegt, gab es auch schon 2003 in USA/Kanada, wenn auch vermutlich weniger gezielt ;)

  10. Wen es interessiert, hier gibts ne Analyse der angeblich eingesetzten Malware „BlackEnergy“ von den Leuten von F-Secure. Die Malware gibt es seit mindestens 2007, ist immer wieder angepasst worden und kommt eigentlich aus dem (vermutlich russischen) Cybercrime-Bereich.

    https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf

    Die in dem Paper dargestellten Angriffsvektoren sind nicht wirklich ausgefeilt – maßgeblich Macro-Funktionen in infizierten MS-Office-Dokumenten. Laut „ars technica“ haben sich die Ukrainer auch genau auf diesem Weg die Malware eingefangen. Sollte es tatsächlich stimmen, wäre es ein Offenbarungseid der IT-Sicherheit ukrainischer KRITIS, denn auf diesem simplen Weg sollten eigentlich 2016 keine kritischen Anlagen mehr infizierbar sein.

    Andererseits ist es mit dem IT-Grundschutz ja auch bei uns offenbar häufiger nicht ganz so weit her (Bundestagshack, anyone?)…

  11. Die Bundeswehr allein wäre für effektive Cyberabwehr mit der vorhandenen Personalstärke und Ausrüstung wohl überfordert.
    Aber es gibt in der Reihe der COE´s auch das NATO ENSEC COE in Litauen.
    NATO Energy Security – der Name ist Programm dort.

  12. @ADLAS-Doe

    Der „Bundestagshack“ hat wenig mit IT-Grundschutz zu tun.

    Das gehört zu mangelnder „IT-Security Awareness“. Während dieses Thema in der Bw zumindest bekannt ist, aber viel zu wenig Bedeutung hat, schlägt der Abgeordnete erst einmal den Duden auf.

    Mangelnde „Awareness“ ist auch das Einfallstor für Systeme die nicht am Internet hängen. Der User wird’s schon richten – und wenn der Sonar Operator nur sein iPhone am USB-Port des Datenauswertesystems laden will.

    Zum CIRK (Cyber und Infromationsraumkommando) gibt es zumindest einen Aufstellungsstab. Die Aufgabe ist so komplex wie das gesamte Cyber Thema. Auch wenn’s noch dauert, halte ich es für einen Schritt in die richtige Richtung.

  13. Verstehe gar nicht, warum es, gerade angesichts des konkreten Vorfalls, hier so stark um die Bw geht. Eine Sicherstellung einer „effektiven Cyberabwehr“ gegen derlei Bedrohungen ist doch (derzeit) nicht mal Aufgabe der Bw!

    Schutz von IT-Infrastruktur ist in DEU Sache des BMI und damit vor allem des ihm unterstellten BSI. Wenn man sich unbedingt um die IT-Sicherheit in DEU Sorgen machen will, dann bitte nicht bei der Bw anfangen, sondern beim BSI, das seit Jahren eigentlich zu klein ist, zu wenig Gewicht hat (insbesondere gegenüber, sagen wir mal, anderen Behörden mit Sicherheitsaufgaben mit konkurrierenden Agenden…) und – brandaktuell – auch noch eine, vorsichtig ausgedrückt, problematische Personalentscheidung an der Spitze verkraften darf.

  14. @ADLAS-Doe
    Yep, volle Zustimmung!

    @All
    Welche zu schützende „kritsche Infrastruktur“ besitzt die Bw denn überhaupt?

  15. Klingt für mich wie die langerwartete Retourkutsche der seit November 2015 stattfinden sporadischen Abschaltungen des Stromes für die von Russland annektierte Halbinsel Krim.

  16. Ich habe den Eindruck hier fehlt es an einem klaren Verstaendnis ueber ueber die Aufgabenverteilung im Bund zum Thema Kritis sowie der Cyberabwehr der BW.

    1. Weder BW noch Bund sind fuer den Schutz von kritischen Infrastrukturen verantwortlich. Genau wie in der Ukraine sind kritische Infrastrukturen (Definition ist von Land zu Land etwas verschieden. Energieversorger gehoeren aber immer dazu) in Deutschland vielfach in privatwirtschaftlicher Hand. RWE und EON sind fuer den Ihre Cybersecurity verantwortlich.

    2. Das IT-Sicherheitsgesetz (seit Sommer 2015 in Kraft) richtet sich an die Betreiber kritischer Infrastrukturen. Die Rechtsnormen werden noch vom BMI ausgearbeitet. Meldepflichten an das BSI gehoeren aber hinzu.

    3. Die BW Cybertruppe ist nur fuer Ihre eigene Infrastruktur und bei Aktivitaeten im Ausland fuer Cyberaktivitaeten verantwortlich. Cyber Offense ist offiziell nicht im Programm.

    4. Der Bundestag war alleine fuer seinen Schutz verantwortlich. Soweit ich weiss, war das Thema eher nicht eine Top Prio und Bundestagsabgeordnete sind wie CxOs. Die schwaechsten Glieder in der Verteidigung. Sie haben vielfach keine Ahnung von IT, IT-Sicherheit und lassen sich auch von niemanden in die PCs schauen. Die Art der Attacke zeigt genau das. Insofern trifft BMI/BSI oder BW keine Schuld.

  17. Wenn „Cyber“ dransteht, ist Bullshit drin.

    IT-Sicherheit kann nur durch fortwährende Arbeit innerhalb der eigenen IT-Landschaft gewährleistet werden. Daher sind viele Ansätze (egal ob BW, BMI, oder BSI) nicht mehr als ein Grundschutz, aber kein Schutz gegen zielgerichtete Angriffe.

    Erschwerend kommt hinzu, daß Experten in diesem Bereich, selbst für große Unternehmen kaum bezahlbar sind. Die BW konkurriert bei den Gehältern eher mit den KMU und wird daher auch keine Spitzenkräfte bekommen.

    Seitens der Ukraine kann man natürlich nicht zugeben, daß man sich ordinäre Ramsonware in kritischer Infrastruktur eingetreten hat, und fabuliert daher (wieder mal) von russischer Aggression, obwohl Russland sogar Strom in die Ukraine liefert.

  18. @Insider
    Richtig, sieht man am Beispiel Edathy.
    Wenn es möglich ist mit einem zumindest temporär vernetzten Laptop, immer wieder Sex- und noch härtere Seiten aufzusuchen, lässt das aber keinen guten Eindruck auf das IT- und ITSec Management des Hauses entstehen.
    Da muss doch beim Routine -Scan die ROTE Lampe angehen!

  19. KlausK | 07. Januar 2016 – 13:25
    „Routine-Scan“ und „ITSec-Management“ wird fast unmöglich, wenn es um Personen geht, die Immunität beanspruchen können bzw. qua Amt haben. Das von Ihnen angeführte Beispiel „Edathy“, ist somit eines der Ungeeignesten das Sie hätten wählen können.

  20. @Heiko Kamann | 07. Januar 2016 – 21:10
    NEIN und NEIN!!
    Aber diese Denkweise erklärt wohl zum Teil den Zustand des Bundestag-LAN in diesem Sommer!! Wenn schon mal die Hardware getauscht werden muss …..
    Aber genau auf diese Schlampigkeit bauen Angreifer, STUXNET lässt grüßen.

    Die objektive Feststellung einer Gefährdung eines LAN durch anzuschließende Devices und die sich daran vielleicht einmal anschließende Frage einer legitimen Strafverfolgung haben erst mal gar nichts miteinander zu tun.
    Diese Maßnahme dient dem Aufspüren und Unschädlich machen von Viren, Trojanern und somit dem Schutz aller, bevor diese eingeschleppt werden.
    Überlegen Sie nochmal, was Sie da geschrieben haben.

Kommentare sind geschlossen.