ما تراه ليس كما يبدو

Von Tobias Koch news 6 Min. Lesezeit
ما تراه ليس كما يبدو

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die europäische Polizeibehörde Europol identifizierten am Dienstag eine koordinierte Serie von Phishing-Angriffen auf deutsche Energieversorger unter dem Codenamen ما تراه ليس كما يبدو. Laut einer gemeinsamen Presseerklärung in Berlin zielen die Angreifer darauf ab, Schadsoftware in geschlossene Netzwerke einzuschleusen, um Systemsteuerungen zu manipulieren. Erste Analysen ergaben, dass bereits 12 mittelständische Unternehmen im Bereich der Stromversorgung betroffen sind, wobei die technischen Forensiker bisher keine unmittelbaren Ausfälle im Netzbetrieb feststellten.

Die Experten der Behörden ordnen die Aktivitäten einer Gruppierung zu, die hochspezialisierte Verschleierungstaktiken anwendet. Ein Sprecher des BSI erklärte, dass die Schadcodes so programmiert wurden, dass sie herkömmliche Sicherheitssoftware durch die Simulation legitimer Systemprozesse umgehen. Diese Vorgehensweise erschwert die Entdeckung der Infiltration durch interne IT-Abteilungen erheblich, da die bösartigen Aktivitäten als Routineaufgaben des Betriebssystems getarnt bleiben.

Technischer Hintergrund der Operation ما تراه ليس كما يبدو

Die technische Analyse der betroffenen Server zeigt eine neue Form der Spear-Phishing-E-Mails, die gezielt an Administratoren in Kraftwerken versendet wurden. Diese Nachrichten enthielten präparierte Dokumente, die beim Öffnen ein Skript starteten, welches sich direkt in den Arbeitsspeicher lädt. Nach Angaben des BSI nutzt die Kampagne eine Schwachstelle in älteren Versionen von Fernwartungssoftware aus, für die zwar Patches existieren, die aber in vielen industriellen Anlagen noch nicht flächendeckend installiert wurden.

Sobald der Zugriff erfolgt ist, installiert das System eine Hintertür, die verschlüsselten Kontakt zu einem externen Server aufnimmt. Die Kommunikation erfolgt über Protokolle, die normalerweise für die Zeit-Synchronisation von Servern genutzt werden, was den Datenabfluss für herkömmliche Firewalls unsichtbar macht. IT-Forensiker der Firma CrowdStrike, die zur Unterstützung herangezogen wurden, bestätigten, dass die Täter selektiv Daten über die Netztopologie absaugen, statt sofortige Zerstörung anzustreben.

Die Rolle der Dateilosen Schadsoftware

Innerhalb dieser technischen Struktur spielt die sogenannte dateilose Malware eine zentrale Rolle. Im Gegensatz zu herkömmlichen Viren hinterlässt dieser Angriffstyp keine Spuren auf der Festplatte des infizierten Rechners. Die Befehle werden direkt im RAM ausgeführt und verschwinden nach einem Neustart des Systems, was die Beweissicherung für die Ermittlungsbehörden extrem erschwert.

Europol wies in einem technischen Bulletin darauf hin, dass die Angreifer offenbar über detaillierte Kenntnisse der in Deutschland verwendeten SCADA-Systeme verfügen. Diese Systeme steuern die physischen Prozesse in den Stromnetzen und Wasserwerken. Eine Kompromittierung dieser Ebene könnte es den Angreifern theoretisch ermöglichen, Schaltvorgänge aus der Ferne zu blockieren oder unbefugt auszuführen.

📖 Verwandt: the day the nazi died

Reaktionen der betroffenen Energieunternehmen

Der Bundesverband der Energie- und Wasserwirtschaft (BDEW) reagierte besorgt auf die neuen Erkenntnisse und rief seine Mitglieder zur sofortigen Überprüfung der Zugriffsprotokolle auf. Hauptgeschäftsführerin Kerstin Andreae betonte in einer Stellungnahme, dass die Sicherheit der Versorgung zwar oberste Priorität habe, die Komplexität der neuen Bedrohungslage jedoch zusätzliche Ressourcen erfordere. Viele Unternehmen der Branche haben bereits zusätzliche Überwachungsschichten eingezogen, um ungewöhnliche Datenströme in Echtzeit zu identifizieren.

Einige Stadtwerke meldeten, dass sie den Fernzugriff auf kritische Steuereinheiten vorübergehend vollständig deaktiviert haben, bis die Sicherheitslücken geschlossen sind. Dies führt in der Praxis zu Verzögerungen bei Wartungsarbeiten, da Techniker nun physisch vor Ort an den Anlagen erscheinen müssen. Die betroffenen Unternehmen lehnten es jedoch ab, spezifische Details zu den infizierten Rechnern zu nennen, um keine weiteren Angriffspunkte für Nachahmer zu liefern.

Herausforderungen für den Mittelstand

Besonders kleinere Versorger stehen vor logistischen Schwierigkeiten bei der Umsetzung der neuen Sicherheitsrichtlinien. Während große Konzerne wie E.ON oder RWE über spezialisierte Cyber-Defense-Center verfügen, fehlt es in kommunalen Betrieben oft an qualifiziertem Personal. Die Bundesregierung plant daher, die Mittel für das Cyber-Abwehrzentrum zu erhöhen, um auch kleinere Einheiten besser unterstützen zu können.

Das Bundesinnenministerium teilte mit, dass eine engere Verzahnung zwischen privaten Dienstleistern und staatlichen Stellen notwendig sei. Ein Entwurf für ein neues IT-Sicherheitsgesetz sieht vor, dass Betreiber kritischer Infrastrukturen dazu verpflichtet werden, Mindeststandards bei der Erkennung von Angriffen einzuhalten. Verstöße gegen diese Meldepflichten sollen künftig mit höheren Bußgeldern belegt werden, um die allgemeine Resilienz des Sektors zu steigern.

💡 Das könnte Sie interessieren: i want you the stay

Geopolitische Einordnung und Ursprungsanalyse

Die Urheberschaft der Kampagne ما تراه ليس كما يبدو bleibt Gegenstand intensiver Ermittlungen durch den Verfassungsschutz. Während offizielle Stellen keine direkten staatlichen Akteure nannten, deuten Signaturen im Code auf eine Gruppe hin, die in der Vergangenheit mit staatlich gelenkten Operationen in Verbindung gebracht wurde. Sicherheitsexperten der European Union Agency for Cybersecurity (ENISA) erklärten, dass die Infrastruktur der Angreifer über mehrere Länder verteilt ist, was eine Rückverfolgung erschwert.

Der Einsatz solch kostspieliger und langwieriger Spionagemethoden spricht laut Analysten gegen rein kriminelle Motive wie Erpressung durch Ransomware. Vielmehr gehe es um die Vorbereitung für potenzielle Konfliktfälle, in denen der Zugriff auf die Energieversorgung als strategisches Druckmittel genutzt werden könnte. Diese Einschätzung deckt sich mit Berichten über ähnliche Vorfälle in anderen EU-Mitgliedstaaten während der letzten 18 Monate.

Kritik an der staatlichen Informationspolitik

Trotz der schnellen Warnung gibt es Kritik an der Transparenz der Behörden gegenüber der Öffentlichkeit. Der Chaos Computer Club (CCC) bemängelte, dass technische Indikatoren zu spät geteilt wurden, was eine frühere Abwehr hätte ermöglichen können. Die Geheimhaltung bestimmter Details der Angriffsvektoren schütze zwar die Ermittlungen, lasse aber potenziell gefährdete Betriebe im Unklaren über die genaue Bedrohungslage.

Einige Abgeordnete im Innenausschuss forderten zudem eine klare Kommunikation darüber, ob bereits Daten von Bürgern abgeflossen sind. Die Bundesregierung wies dies zurück und erklärte, dass der Fokus der Angreifer auf der industriellen Steuerung und nicht auf Kundendatenbanken lag. Dennoch bleibt das Vertrauen in die digitale Souveränität der Infrastruktur bei Verbraucherschützern angeknackst, da die Vorfälle die Verwundbarkeit zentraler Lebensbereiche verdeutlichen.

🔗 Weiterlesen: wie wird das wetter

Präventive Maßnahmen und künftige Strategien

Die Bundesnetzagentur hat als Reaktion auf die Vorfälle einen neuen Leitfaden zur IT-Sicherheit herausgegeben, der strengere Trennungen zwischen Büro-IT und operativer Technik vorschreibt. In diesem Dokument wird empfohlen, die Netzwerke physisch voneinander zu isolieren, um eine Ausbreitung von Schadsoftware zu verhindern. Zudem müssen alle administrativen Konten zwingend mit einer Multi-Faktor-Authentifizierung gesichert werden, was bisher nicht in allen Anlagen Standard war.

Internationale Zusammenarbeit spielt bei der Abwehr eine wachsende Rolle. Das European Cybercrime Centre (EC3) koordiniert den Austausch von Bedrohungsdaten zwischen den Mitgliedstaaten, um Muster schneller zu erkennen. Durch die Harmonisierung der Meldeketten sollen Informationen über neue Angriffsmuster innerhalb von Stunden statt Tagen EU-weit zur Verfügung stehen.

Für die kommenden Monate planen die Behörden großflächige Stresstests für die IT-Systeme der Energieversorger. Diese Übungen sollen simulierte Angriffe beinhalten, um die Reaktionszeiten und die Effektivität der Notfallpläne unter realen Bedingungen zu prüfen. Das Ziel ist es, Schwachstellen zu identifizieren, bevor sie von Akteuren wie den Hintermännern der aktuellen Kampagne ausgenutzt werden können.

In den nächsten Wochen werden die Ermittler des BSI weitere Berichte zu den forensischen Untersuchungen vorlegen. Es bleibt abzuwarten, ob die vollständige Entschlüsselung der Kommunikation mit den Steuerungsservern weitere Opfer in anderen Sektoren ans Licht bringt. Die Frage der politischen Konsequenzen bei einer zweifelsfreien Identifizierung des Ursprungslandes steht weiterhin im Raum und wird die diplomatischen Beziehungen in den kommenden Monaten maßgeblich beeinflussen.

TK

Tobias Koch

Mit faktenbasierter Arbeitsweise liefert Tobias Koch Beiträge, die Leserinnen und Lesern Orientierung im Nachrichtengeschehen geben.

Ähnliche Artikel

Das Echo im steinernen Jerusalem und das Erbe von Benjamin Netanjahu

Das Echo im steinernen Jerusalem und das Erbe von Benjamin Netanjahu
Passagierflugzeug Nach Triebwerksausfall Zu Notlandung In Frankfurt Gezwungen

Passagierflugzeug Nach Triebwerksausfall Zu Notlandung In Frankfurt Gezwungen
Schwerer Schlag gegen Kriminalität im Netz durch das Projekt Usik

Schwerer Schlag gegen Kriminalität im Netz durch das Projekt Usik
Das Flimmern in der Dunkelheit der Welt und Cnn

Das Flimmern in der Dunkelheit der Welt und Cnn