Hack gegen Satellitennetzwerk:Angriff auf "Ka-Sat 9A"

Hack gegen Satellitennetzwerk: Windräder von Enercon. Wegen des Hackerangriffs gegen ein Satellitennetzwerk waren 5800 der Anlagen des Unternehmens in Deutschland offline.

Windräder von Enercon. Wegen des Hackerangriffs gegen ein Satellitennetzwerk waren 5800 der Anlagen des Unternehmens in Deutschland offline.

(Foto: Jan Woitas/dpa)

Als Panzer in die Ukraine rollten, legte jemand ein wichtiges Satellitennetzwerk lahm - auch deutsche Windräder waren betroffen. Nun werden neue Details bekannt, die auf einen russischen Ursprung des Angriffswerkzeugs hindeuten.

Von Jannis Brühl

Am 24. Februar, um fünf Uhr und zwei Minuten morgens ukrainischer Zeit, spielten die Modems verrückt. Mehrere Geräte, über die das Satellitennetzwerk Ka-Sat unter anderem ukrainisches Militär und Polizei mit Internet versorgt, wandten sich gegen ihr eigenes Netz. Sie überlasteten das System, Zehntausende Modems verloren den Kontakt zum Netz. "Große Mengen an fokussiertem, bösartigen Datenverkehr" gingen von den infizierten Spezialmodems aus, die sich "physisch in der Ukraine" befanden - es war ein Hackerangriff. So steht es im Bericht des US-Unternehmens Viasat, das den Satelliten Ka-Sat 9A betreibt. Internet über Satellit ist vor allem für gewerbliche Nutzer in abgelegenen Regionen interessant, die nicht auf gute terrestrische Leitungen zurückgreifen können, aber auf schnelles Netz angewiesen sind. Aus denselben Gründen ist es im Krieg besonders wertvoll.

Viasat hat nun Details zu dem Vorfall enthüllt, der wohl ein früher Kriegsakt war. Denn am frühen Morgen des 24. Februar begann, praktisch gleichzeitig mit dem Hack, Russlands Angriff auf die Ukraine. In den Geräten, die Erde und Himmel verbinden, spielte sich offensichtlich eine besondere Militäroperation ab. Die Ukraine begann ihre Verteidigung mit großen Problemen bei der Kommunikation ihrer Streitkräfte und Behörden.

Es ist davon auszugehen, dass Viasat die Veröffentlichung der Details mit dem US-Geheimdienst NSA abgesprochen hat, der den Vorfall seit Wochen untersucht. Fachleute vermuteten seit Bekanntwerden des Vorfalls Anfang März, dass das kein Zufall sein konnte. Die Washington Post hatte vor einer Woche unter Berufung auf anonyme US-Offizielle berichtet, die US-Geheimdienste verdächtigten Russlands militärischen Auslandsgeheimdienst GRU, die US-Regierung vermied eine öffentliche Schuldzuweisung aber. Ziel des Angriffs war Viasat zufolge wohl nicht, Daten zu stehlen, sondern einfach "den Dienst zu stören".

Der Angriff erwischte auch Enercon, Deutschlands größten Hersteller von Windkraftanlagen. 5800 seiner Anlagen in Deutschland seien nicht mehr online erreichbar, hatte der Hersteller Anfang März mitgeteilt. Die Windräder selbst liefen weiter, waren aber aus der Ferne nicht mehr zu überwachen und zu warten. Techniker mussten also aufwendig zu den Anlagen fahren. "Unser Service hat 90 Prozent der von der Störung der Satellitenkommunikation betroffenen Windenergieanlagen wieder in die Fernüberwachung und Fernwartung eingebunden. 1156 Windparks sind wieder online, bei 138 Windparks ist die Kommunikation noch gestört", sagte ein Sprecher von Enercon der SZ. "Es wird ein Zusammenhang mit dem russischen Angriffskrieg vermutet, die Störung der Kommunikation zu den Anlagen gilt als Kollateralschaden." Das Bundesamt für Sicherheit in der Informationstechnik warnt seit der Invasion davor, dass deutsche Infrastruktur Schaden nehmen könnte, wenn Angriffe aus der Ukraine "überschwappen". In einer vernetzten Welt bleiben Hackerangriffe oft nicht auf das eigentliche Zielland beschränkt.

Viasat muss 30 000 Modems austauschen

Aber wer störte das Satellitennetz, als der Angriff auf die Ukraine begann? Auch zu dieser Frage gibt es neue Details. Die Analysten des IT-Sicherheitsunternehmens Sentinel One haben sich die benutzte Schadsoftware näher angesehen, mit der die Angreifer die Modems unbrauchbar machten. Es handelt sich demnach um einen Wiper, also "Wischer", der Daten löscht, wie aus einer Analyse von Sentinel One hervorgeht. Getauft haben die Experten die Software "Acid Rain" - "saurer Regen". Ihnen fielen Ähnlichkeiten zu einem anderen digitalen Werkzeug auf, das Hackergruppen wie Sandworm und Fancy Bear benutzt haben, die Fachleute und US-Regierung dem GRU zuordnen. Sentinel zufolge handelt es sich beim Einsatz von Acid Rain "womöglich um die wichtigste Cyberattacke in Russlands laufender Invasion der Ukraine". Viasat bestätigte die Erkenntnisse von Sentinel One der US-Webseite Techcrunch.

Das ist noch kein endgültiger Beleg dafür, dass Russland hinter dem Angriff steckt, aber ein Fakt ist nun klar: Gleichzeitig zum Angriff mit Panzern und Raketen wurde ein Satellitennetzwerk, das auch die Ukraine versorgt, gezielt lahmgelegt - und zwar mit Technik, die Ähnlichkeiten zu früheren russischen Geheimdienstaktionen aufweist. Sollte sich der Verdacht gegen Russland bestätigen, würde der Angriff auf Ka-Sat auch die bislang verbreitete Annahme widerlegen, Wladimir Putin habe bei seinem Angriff auf den Nachbarn auf größere IT-Operationen verzichtet und einseitig auf physische Kriegsführung gesetzt.

Die absichtlichen und unabsichtlichen Opfer des Hacks müssen nun umrüsten. Viasat hat nach eigenen Angaben 30 000 neue Modems an Kunden verschickt, deren alte Geräte ausgefallen waren.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: