Ein umfangreicher Hackerangriff hat am Sonntag gleich mehrere Energieunternehmen in der Rhein-Main-Region empfindlich getroffen: Betroffen sind die Mainzer Stadtwerke sowie das Darmstädter Unternehmen Entega, wie etwa die Hessenschau berichtete. Internetseiten und Email-Server seien seit Sonntag nicht erreichbar, das gilt auch für die Internetseiten der Mainzer Mobilität und des Taubertsbergbades. Bei der Entega hieß es, man sei Opfer eines kriminellen Hackerangriffs. Experten warnen bereits seit Wochen vor Angriffen durch russische Hackergruppen in der Folge des Ukraine-Krieges.
Der Angriff auf die IT-Struktur der Energieunternehmen begann offenbar in der Nacht zum Sonntag, wie die Hessenschau schreibt: Seither seien Internetseiten nicht mehr erreichbar, Mitarbeiter könnten keine E-Mails mehr bearbeiten – betroffen seien laut der Entega rund 2.000 Mitarbeiter sowie die Webseiten des Unternehmens. Man sei „Opfer eines kriminellen Hackerangriffs“, schrieb die Entega am Sonntagnachmittag auf dem Kurznachrichtendienst Twitter. Kritische Infrastruktur und Kundendaten seien aber nicht betroffen.
Die Entega ist einer der großen Energieversorger in der Rhein-Main-Region und liefert Strom, Gas und Wasser an Kunden auch in Mainz. Die sogenannte kritische Infrastruktur der Entega mit ihren Strom-, Gas- und Wassernetzen „sei aber gesondert geschützt und nicht betroffen“, sagte Entega-Sprecher Michael Ortmanns gegenüber dem Hessischen Rundfunk, und betonte: „Es besteht keine Gefahr von Versorgungsausfällen.“
Gleichzeitig waren von dem Angriff aber auch die Mainzer Stadtwerke betroffen, auch hier ist die Internetseite derzeit ebenso wenig aufrufbar wie die der Verkehrsunternehmens Mainzer Mobilität oder des Taubertsbergbades. Der Grund: Beide Energieversorger hätten den selben IT-Dienstleister, das gemeinsame Tochterunternehmen Count+Care GmbH, sagte Ortmanns gegenüber dem Hessischen Rundfunk. Dort arbeite man mit Hochdruck an den Problemen, so die Hessenschau weiter. Wann die Dienste wieder funktionieren, könne Ortsmanns aber noch nicht sagen.
Es ist der erste große Hackerangriff auf die IT-Systeme von Unternehmen im Rhein-Main-Gebiet, die zur sogenannten „Kritischen Infrastruktur“ (Kritis) gehören. Darunter verstehen Fachleute besonders wichtige Bereiche der Versorgungssicherheit in Deutschland, also eben Energieunternehmen, aber auch Krankenhäuser, Verkehrswesen, Finanzwesen sowie Information und Kommunikation – auch Medien gehören dazu.
Schweitzer: „Dieser Krieg findet auch im Cyberraum statt“
Mitte Mai hatte Innenminister Roger Lewentz (SPD) noch auf einer Pressekonferenz betont, „eine konkrete Bedrohung“ auf Unternehmen der Kritis durch Cyberangriffe sei „derzeit nicht gegeben“. Gleichzeitig räumte der Minister aber auch ein, dass sich die Bedrohungslage für solche Angriffe durch den Krieg in der Ukraine deutlich erhöht habe. „Dieser Krieg findet auch im Cyberraum statt“, warnte Transformationsminister Alexander Schweitzer (SPD) auf derselben Pressekonferenz Mitte Mai: „Die Anspannung ist da, die Aufmerksamkeit ist sehr hoch.“ Man gehe auch für Deutschland von einer erhöhten Gefahrenlage aus.
Tatsächlich hatte auch der rheinhessische Energieversorger EWR Mitte März massive Attacken von Computer-Hackern gemeldet. Man sei Tag und Nacht dabei, die IT-Systeme zu schützen, sagte Vorstandsprecher Wilhelm damals gegenüber dem SWR. Woher die Cyber-Angriffe kommen, sei aber nicht bekannt – ob es einen Zusammenhang mit dem Krieg in der Ukraine gibt, wurde öffentlich nie mitgeteilt. Bekannt ist aber, dass russische Hacker vermehrt Angriffe starten – auch gegen Unternehmen in Deutschland.
So berichtete der Spiegel etwa Anfang Mai, russische Hacker hätten die Websites deutscher Sicherheitsbehörden, Ministerien und Politiker angegriffen. Betroffen gewesen seien die Bundespolizei, mehrere Landespolizeibehörden, der Bundestag, das Bundesverteidigungsministerium sowie die SPD-Website von Bundeskanzler Olaf Scholz – die sogenannten DDoS-Attacken, bei denen die Server mit einer Flut von Email-Anfragen bombardiert und lahm gelegt werden, seien wohl Vergeltungsaktionen für deutsche Waffenlieferungen an die Ukraine aus. Die Gruppe „Killnet“ bekannte sich im Messengerdienst Telegram zu den Attacken, berichtete Heute Online.
Ende Mai berichtete das Handelsblatt, kremlnahe Hacker bereiteten „womöglich gerade einen großen Angriff in Richtung Deutschland vor, der auch Energienetze und Industrieanlagen treffen könnte.“ Und das Handelsblatt zählt weitere Beispiele für jüngste Attacken auf: Ein russischer Hackerangriff auf Webseiten des Verteidigungsministeriums und des Bundestags, ein Angriff auf den Windturbinenhersteller Nordex im März sowie eine Cyberattacke auf den US-Landmaschinenhersteller Agco, der auch bei der Tochterfirma Fendt im Allgäu die Produktion stoppte.
Verfassungsschutz warnt vor Angriffen russischer Hacker
Ob hinter solchen Attacken tatsächlich russische Hackergruppen stecken, wird offiziell meist nicht bestätigt – aber Experten sind alarmiert. Auch der Verfassungsschutz warnt vor vermehrten Angriffen russischer Hacker. „Wir hatten in der Vergangenheit Attacken von von Russland aus agierenden Hackergruppen“, sagte auch der Präsident des rheinland-pfälzischen Landeskriminalamtes, Johannes Kunz. Seit Kriegsausbruch stelle man fest, „dass die auch politisch agieren.“ Es hätten sich inzwischen Hackergruppierungen als politisch agierend herausgebildet, „die wir eindeutig zuordnen können“, sagte er.
Ob die jüngsten Attacken auf den IT-Dienstleister von Entega und Mainzer Stadtwerken irgendeinen Zusammenhang zu russischen Hackergruppen oder dem Ukraine-Krieg haben, ist bislang völlig unklar. Über den Hintergrund des Hackerangriffs gebe es „noch keine gesicherten Erkenntnisse“, sagte Entega-Sprecher Ortmanns. Ein Expertenteam des hessischen Innenministeriums sowie des Landes- und Bundeskriminalamts mache sich ein umfassendes Bild und habe umgehend wirksame Gegenmaßnahmen gegen den kriminellen Angriff eingeleitet.
Info& auf Mainz&: Normalerweise würdet Ihr hier jetzt Links zu den Internetseiten der genannten Unternehmen finden – allein: Das geht ja nun gerade nicht. Die App der Mainzer Mobilität ließ sich bei uns Sonntagabend noch aufrufen, ob sie funktioniert, ließ sich erst mal nicht ausmachen. In den sozialen Netzwerken schwiegen sich Mainzer Stadtwerke und Mainzer Mobilität am Sonntag zum Hackerangriff komplett aus. Ihr müsst Euch also überraschen lassen…
