Seit dem Beginn der russischen Invasion in die Ukraine ist es zu mehreren Cyberangriffen auf deutsche Windenergiebetreiber gekommen. Zwar können die Angriffe (wie so oft) nicht zweifelsfrei mit Russland beziehungsweise der russischen Regierung in Verbindung gebracht werden, doch das Timing und der Einsatz der Conti-Ransomware nähren den Verdacht, dass kriminelle, pro-russische Hacker verstärkt Unternehmen aus dem Bereich der erneuerbaren Energien ins Visier nehmen, um den Ausstieg aus russischem Öl und Gas zu sabotieren. In Deutschland wurden zwei Energieversorger gezielt angegriffen: Die Nordex Group und die Deutsche Windtechnik.

Die deutsche Windenergiebranche im Visier

Der Windkraftanalagenbetreiber Nordex bemerkte Ende März 2022 einen Security-Vorfall und musste daraufhin vorsorglich verschiedene Systeme außer Betrieb nehmen, unter anderem für den Fernüberwachungszugriff. Laut dem Unternehmen hielt sich der Schaden jedoch in Grenzen: "In enger Zusammenarbeit mit zuständigen Behörden hat das Team aus internen und externen IT-Experten umfassende Untersuchungen und forensische Analysen durchgeführt. Die vorläufigen Ergebnisse deuten darauf hin, dass sich die Auswirkungen des Vorfalls auf die interne IT-Infrastruktur beschränkt haben: Es gibt keinerlei Hinweise darauf, dass der Vorfall Turbinen oder Systeme Dritter beeinträchtigt oder sich anderweitig über die interne IT-Infrastruktur des Unternehmens hinaus ausgewirkt hat."

Nordex, another major wind turbine manufacturer hit by ‘cyber incident’ (normally meaning ransomware). Note that the release comes two days after the attack - and no mention of OT systems. I’m also noting that a lot of green energy companies were targeted lately. Coincidence? ???? pic.twitter.com/AOwmbci6Nj

— Henrik Moltke (@moltke) April 2, 2022

Die Cyberattacke auf die Deutsche Windtechnik, einem Servicedienstleister für Windkraftanlagen, fand Anfang April 2022 statt. Auch in diesem Fall mussten vorsorglich Verbindungen gekappt und Fernüberwachungsfunktionen deaktiviert werden. Größere Schäden konnten jedoch auch hier vermieden werden, wie das Unternehmen mitteilt: "Uns freut außerordentlich, dass die von uns betreuten Windenergieanlagen zu keinem Zeitpunkt von dem Angriff gefährdet waren oder Schaden erfahren haben. Auf IT-Ebene ist es gelungen, alle Systeme in gesicherter Umgebung zu prüfen und die Störungen zu identifizieren, einzugrenzen und zu isolieren. Die forensische Analyse ist beendet und hat im Ergebnis das Vorliegen eines zielgerichteten professionellen Cyberangriffs nachgewiesen."

Cybersecurity experts working with Deutsche Windtechnik are investigating whether the ransomware attack used the Russia-linked Conti malware, @catstupp reports https://t.co/nODuhEhG5c via @WSJ @WSJCyber

— Kim Nash (@knash99) April 25, 2022

Bereits zum Start der russischen Invasion Ende Februar 2022 war auch der größte deutsche Hersteller von Windenergieanlagen, die Enercon GmbH, von einer Cyberattacke auf den Satelliten KA-SAT betroffen: "Über den Satelliten geführte Kommunikationsdienste waren nahezu zeitgleich mit der Invasion russischer Truppen in die Ukraine ausgefallen. Betroffen waren europaweit rund 30.000 Satellitenterminals, die von Unternehmen und Organisationen aus verschiedenen Branchen genutzt werden. Gegenüber Enercon wurde inzwischen bestätigt, dass es sich bei der Ursache der Störung um einen Cyberangriff handelte, der jedoch nicht direkt auf Enercon beziehungsweise Enercon-Kunden abzielte. Es wird ein Zusammenhang mit dem russischen Angriffskrieg vermutet, die Störung der Kommunikation zu den Windenergieanlagen gilt als Kollateralschaden", teilt das Unternehmen mit.

Wie real die Bedrohung für Betreiber kritischer Infrastrukturen ganz allgemein - nicht nur bei deutschen Energieversorgern - ist, zeigt auch die vom US-Energieministerium, CISA, NSA und FBI veröffentlichte Warnung vor einer APT-Bedrohung, die speziell für Industrieumgebungen entworfen wurde und ebenfalls im Zusammenhang mit der Invasion Russlands in der Ukraine stehen soll. (fm)