Hacker haben in der Ukraine zu Weihnachten 700.000 Menschen im Dunkeln sitzen lassen. © Daniel Reinhardt/dpa

Ein Word-Dokument könnte entscheidend dazu beigetragen haben, dass im Südwesten der Ukraine 700.000 Menschen vorübergehend vom Stromnetz abgeschnitten waren. Das zumindest berichten das slowakische Sicherheitsunternehmen ESET und der ukrainische Fernsehsender TSN. Demnach haben unbekannte Hacker den Stromausfall am 23. Dezember ausgelöst. Wie sie das genau taten, ist nicht ganz klar. ESET geht aber davon aus, dass sie mithilfe präparierter Office-Dateien die Malware BlackEnergy in das System eines regionalen Energieversorgers schleusen konnten.

Dazu sollen sie gefälschte E-Mails an Mitarbeiter des Energieversorgers verschickt haben, mit der Werchowna Rada als vermeintlichem Absender, dem ukrainischen Parlament. Der Inhalt sollte die Mitarbeiter zum Herunterladen des Anhangs bewegen: Die ukrainische Armee solle kampfbereit gehalten werden, hieß es ESET zufolge in der Mail, und der Staat brauche dafür eine Liste aller Mitarbeiter. Weitere Informationen sollten die Empfänger in einer angehängten Word-Datei finden.

Wer die Datei öffnete, bekam laut ESET angezeigt, dass die Word-Version veraltet sei. Um den Inhalt zu lesen, sollte die Opfer das Ausführen eines Makros erlauben, also einer Befehlssammlung, die bestimmte Aufgaben automatisiert. Wer dann auf "Aktivieren" klickte, ließ die Malware ins System.

BlackEnergy sabotiert Industriesysteme

Die Malware-Familie BlackEnergy ist bekannt. Schon 2014 hatten Hacker mit damit auf ähnliche Weise staatliche Organisationen und Unternehmen in Polen und der Ukraine attackiert. Dabei konnten sie auf Passwörter und Dateien zugreifen.

Mittlerweile haben die Täter BlackEnergy mit einem Feature namens KillDisk ausgestattet. Das kann nicht nur Festplatten beschädigen, indem es wichtige Systemdateien löscht. Laut ESET beinhaltet es auch Funktionen zum Sabotieren von Industriesystemen. In diesem Fall sollen sie dazu geführt haben, dass die Verbindung zwischen mehreren Umspannstationen abbrach.

Dass solche Steuerungsanlagen im Prinzip anfällig sind, ist bekannt. Es gezielt zu tun, sodass sie sich wie vom Angreifer gewünscht verhalten, ist allerdings schwierig, weil es Expertenwissen verlangt, das nur wenige haben. Die Informationen von ESET sind deshalb eher als Theorie zu verstehen denn als komplette Beweisführung. Das Unternehmen formuliert seinen Verdacht selbst recht vorsichtig.

Auch die Stromversorgung in Deutschland ist hackbar

Grundsätzlich ist es auch in Deutschland möglich, von außen die Stromversorgung zu beeinflussen. Der Hacker Felix "FX" Lindner hat das mal für eine Dokumentation an den Stadtwerken Ettlingen demonstriert. Und auf dem 32. Chaos Communication Congress (32c3) im Dezember hat Mathias Dalheimer gezeigt, wie man einen Blackout durch Frequenzmanipulationen verursachen kann

"In Deutschland gibt es kein Bewusstsein dafür, wie man mit kritischer Infrastruktur umgehen soll. Das ist nicht zu tolerieren", sagt Dalheimer. "Wenn Hacker erst einmal einen Angriffspunkt gefunden haben, können sie bei vielen Stadtwerken einen Stromausfall verursachen, da alle ein verwandtes System nutzen." 

Einen Angriff wie in der Ukraine erwartet Dalheimer hierzulande aber derzeit nicht. Zwar sei es technisch möglich, allerdings gebe es in der Ukraine durch den Konflikt zwischen prorussischen Separatisten und dem ukrainischen Militär ein besonders schwieriges politisches Umfeld und entsprechende Motive für Sabotage.