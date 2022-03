Berlin Ein Cyberangriff auf die deutsche Tochter des russischen Mineralölkonzerns Rosneft hat zu einem massiven Datenverlust geführt. Die Hacker haben offenbar auch noch andere Unternehmen der Branche im Visier: Wie das Handelsblatt aus IT-Sicherheitskreisen erfahren hat, gab es Zugriffsversuche über Fernwartungszugänge. Diese seien jedoch von den Betreibern durch Trennen der Verbindung unterbunden worden.

Der Hackerangriff der Gruppe Anonymous war am Wochenende durch übereinstimmende Medienberichte in „Spiegel“ und „Welt“ bekannt geworden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte am Montag, dass das Unternehmen in der Nacht zu Samstag einen IT-Sicherheitsvorfall gemeldet habe. Dazu ist es verpflichtet, weil es eine „kritische Infrastruktur“ betreibt.

Auswirkungen auf die Versorgung seien bisher nicht offenbar geworden, schrieb das BSI. Der Betreiber und die Behörden seien in stetigem Austausch. „Das BSI hat zudem eine entsprechende Cybersicherheitswarnung an andere Unternehmen und Organisationen der Mineralölwirtschaft herausgegeben.“ Der Vorfall bestätige die Einschätzung der Behörde zur verschärften Sicherheitslage im Cyberraum kurz nach Beginn des russischen Angriffs auf die Ukraine.

Rosneft ist Russlands größter Ölproduzent. Vorsitzender des Aufsichtsrats ist der ehemalige Bundeskanzler Gerhard Schröder (SPD). Er steht unter anderem wegen dieses Amts seit Putins Überfall auf die Ukraine heftig in der Kritik. Rosneft Deutschland ist an drei deutschen Raffinerien beteiligt, in Schwedt in Brandenburg (PCK), Karlsruhe (Miro) und Neustadt an der Donau (Bayernoil).

Die Produktion in den Raffinerien des Unternehmens läuft unterdessen weiter. „Der operative Betrieb ist nicht beeinträchtigt“, sagte Burkhard Woelki von Rosneft Deutschland. Alle IT-Systeme seien allerdings runtergefahren, der E-Mail-Verkehr sei unterbrochen.

Die Kommunikation von Rosneft sorgt derweil bei den Kunden für Irritationen. Vom Angriff erfuhren einige aus der Zeitung. Rosneft habe seine Kunden nicht darüber informiert, Opfer eines Cyberangriffs geworden zu sein, hieß es etwa aus Unternehmenskreisen von BP. „In der Regel werden wir über solche Vorfälle in Kenntnis gesetzt.“

Das britische Unternehmen bezieht Öl unter anderem von dem russischen Lieferanten. Auf das operative Geschäft von BP habe der Angriff auf Rosneft jedoch keine Auswirkungen. Shell Deutschland, das mit Rosneft gleich zwei Raffinerien hierzulande gemeinsam betreibt (Schwedt und Miro), wollte sich hingegen auf Anfrage nicht zu dem Vorfall äußern.

Anonymous spottet über Rosneft

Das Hackerkollektiv Anonymous reklamierte den Angriff noch am Freitagabend für sich. Die Website Anonleaks verkündete: „20 Terabyte: Anonymous kapert Daten von Rosneft Deutschland.“ Aktivisten sei es gelungen, Zugriff auf die Server von Rosneft Deutschland zu erhalten und „massenweise Daten abzugreifen“. Ihre Angaben illustrierten die Angreifer mit Screenshots, die beispielsweise Dateiverzeichnisse und Datenbanken zeigen sollen.

Betroffen seien demnach auch Back-ups der Laptops von Führungskräften. Außerdem will die Gruppe aus der Ferne 59 iPhones und andere Geräte gelöscht haben. Man werde die heruntergeladenen Informationen nun sichten, so die Hacker: „Wir sind gespannt, ob wir was über Herrn Schröder erfahren.“ Eine Veröffentlichung aller Daten sei indes nicht geplant.

Die Behauptungen lassen sich nicht unabhängig prüfen. Sollte die Darstellung der Hacker stimmen, dürfte Rosneft seine Systeme nur sehr unzureichend geschützt haben. Die Aktivisten behaupten, sich zwei Wochen lang „kontinuierlich und pausenlos“ in den Systemen bewegt und große Datenmengen kopiert zu haben. Über Rosneft machen sie sich lustig. So fragen sie an einer Stelle: „IT-Security auf höchstem Niveau?“ Und antworten selbst: „Rosnjet!“

Aus Sicherheitskreisen ist zu erfahren, dass die Täter unter anderem über die Steuerung und Verwaltung von Druckern bei Rosneft eingedrungen seien. Auf der Anonymous-Website heißt es, „man sollte mehr auf die Service-Accounts von Druckern im Active Directory achten“.

Das Kollektiv begründete den Angriff zum einen damit, dass Rosneft über die Deutschlandtochter Sanktionen umgehen und so Devisen für Russland einnehmen könne, zum anderen mit dem Lobbyismus des früheren Bundeskanzlers Schröder für das Unternehmen.

In der Veröffentlichung betont Anonymous, man habe „nicht direkt in den russischen Energieunternehmen rumfuhrwerken“ wollen, da die Energieversorgung einiger Staaten an Russland hänge. Rosneft Deutschland sei jedoch hauptsächlich in Bereichen wie Vertrieb tätig und betreibe keine kritische Infrastruktur. „Keine Pipelines, die man abschalten könnte, keine Atomreaktoren, ja selbst die Raffinerien würden weiterarbeiten.“

BKA ermittelt gegen die Hacker

Die deutschen Behörden nehmen den Vorfall trotzdem ernst. Die Staatsanwaltschaft Berlin hat ein Ermittlungsverfahren gegen unbekannt eingeleitet, wie eine Sprecherin bestätigte. Die Ermittlungen führt keine Landespolizei, sondern das Bundeskriminalamt. Nähere Angaben etwa zum Tatvorwurf könne sie derzeit noch nicht machen, sagte die Sprecherin. Infrage kommt wohl Computersabotage nach Paragraf 303b des Strafgesetzbuches – die Höchststrafe sind drei Jahre Haft.

Vor zwei Wochen warnten mehrere Behörden im Handelsblatt vor Aktionismus gegen russische Ziele. Das BSI sieht ein „erhebliches Gefährdungspotenzial“ und „nicht vorhersagbare Folgewirkungen“. Zwei Staatsanwaltschaften mit Schwerpunkt Internetkriminalität betonten, dass für aktivistische Attacken aus Deutschland keine Sonderregeln gälten und dass die Attacken strafrechtlich verfolgt würden.

Sven Herpig, der Leiter für Internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung, nannte derartige Attacken „höchst problematisch“. Er sagte: „Dadurch werden keine strategischen Ziele für den Frieden erreicht. Die Gefahr von Kollateralschäden ist hingegen hoch. Da kann viel schiefgehen.“ Die Aktivisten riskierten zudem, auf den Gegnerlisten der russischen Nachrichtendienste zu landen.

Die Anonymous-Website weist einen „Martin Gadler“ mit E-Mail-Adresse als Ansprechpartner aus. Eine kurzfristige Anfrage, wie die Hacker die eingeleiteten Ermittlungen bewerten, beantwortete er am Montagnachmittag nicht.

Anonymous ist ein Kollektiv, das nicht eng umrissen ist – jeder kann sich zum Aktivisten erklären. Die Gruppe hat sich seit Putins Einmarsch auf die Seite der Ukraine geschlagen und Moskau den „Cyberkrieg“ erklärt. So legte sie nach eigenen Angaben Websites russischer Behörden und Unternehmen mit Überlastungsangriffen lahm und hackte angeblich zeitweise TV-Sender und Streamingdienste.

