Mit einer dringenden Warnung vor russischen Akteuren wenden sich internationale Sicherheitsbehörden an Betreiber kritischer Infrastrukturen.
Mutmaßliche Mitarbeiter des russischen Militärgeheimdienstes GRU haben sich Zugriff auf Netzwerke und IP-Kameras von Betreibern kritischer Infrastrukturen (KRITIS) verschafft. Das melden unter anderem NSA, FBI, der Bundesnachrichtendienst (BND) und die Bundesämter für Verfassungsschutz (BfV) sowie Sicherheit in der Informationstechnik (BSI). BSI-Präsidentin Claudia Plattner warnt im Gespräch mit heise online, dass es sich um Vorbereitungshandlungen für Sabotage handelt.
Betroffen sind laut einer Mitteilung der Behörden vor allem Unternehmen aus der Logistikbranche. Hier hätten Angreifer der Gruppierung APT-28 (alias “Fancy Bear”, bekannt u.a. durch einen Angriff auf die SPD) zugeschlagen, hinter der sich laut westlichen Diensten eine Einheit des russischen Militärgeheimdienstes GRU verbirgt. Die Angreifer hätten potenzielle Schwachstellen in der physischen Sicherheit ausgekundschaftet, bei mehr als 10.000 Kameras habe es Angriffsversuche gegeben.
Ob damit die gleichen Logistikunternehmen gemeint sind, die etwa von den im vergangenen Jahr entdeckten Brandsatz-Paketen betroffen waren, teilten die Behörden nicht mit. Vor allem Kameras in der Ukraine, in Rumänien, Polen und Ungarn seien angegriffen worden. Der ukrainische Nachrichtendienst hatte bereits im vergangenen Jahr vor derartigen Attacken gewarnt, nachdem ihm zwei Fälle bekannt wurden. BSI-Präsidentin Claudia Plattner mahnt deutsche Firmen, die Warnung ernst zu nehmen und eine Betroffenheit zu prüfen. “Wir haben eine sehr hohe Dunkelziffer”, sagt sie im Gespräch mit heise security. “Angreifer, die sich in unseren kritischen Infrastrukturen positionieren, tun das deshalb, damit sie in einem später gelagerten Fall schnell zuschlagen und die Kontrolle übernehmen können.”
Plattner: Vorbereitungen für Sabotage
Die Angriffe seien mit klaren Zielen verbunden, sagt Plattner: “Wir sprechen hier definitiv von Vorbereitungen für Sabotage als entferntes Ziel, und das müssen wir unglaublich ernst nehmen.” Dass die IP-Kameras neben den sonstigen Netzwerkinfrastrukturen und Nutzeraccounts die einzigen betroffenen Geräte seien, glaubt Plattner hingegen nicht: “Es ist eine ziemlich große Bandbreite, Kameras sind dabei ein vergleichsweise leichtes, aber furchtbar effektives Ziel. Man muss aber davon ausgehen, dass auch andere Komponenten betroffen sind.”
Das Bundesamt für Sicherheit in der Informationstechnik veröffentlichte auf seiner Website ein gemeinsames Advisory der Sicherheitsbehörden. Es bietet Handreichungen zur Erkennung und Eindämmung der Angriffe sowie Indikatoren für erfolgreiche Angriffe auf das eigene Netz (Indicators of Compromise, IoC).