«Zum anderen haben wir gesehen, dass gezielt Dokumente abgeschöpft wurden», sagte Wüest. Es sei davon auszugehen, dass unter den PDF- und Word-Dateien auch Aufbaupläne für einzelne Komponenten seien. «Das ermöglicht natürlich jetzt, mit diesem Wissen einen nächsten Angriff besser vorzubereiten, selbst wenn die Passwörter geändert wurden.» Und gerade solche Betriebe wie Energieerzeuger blieben zum Teil jahrzehntelang kaum verändert in Betrieb. Symantec habe dabei keine Angriffe auf Atomkraftwerke festgestellt. «Wir sehen, dass die wahrscheinlichsten Ziele Fernzugriff und Sabotage sind», sagte Wüest zum Vorgehen der Angreifer. In den bisher bekannten Fällen war es Hackern 2015 und 2016 zwei Mal gelungen, Kraftwerke in der Ukraine zu stören.
Die Gruppe, die derzeit in die Netze der Kraftwerke einzudringen versucht, ist laut Symantec bereits seit 2011 aktiv und wird unter dem Namen «Dragonfly» geführt. Die Sicherheitsforscher legen sich nicht auf die Herkunft der Gruppe fest. Im Softwarecode seien Fragmente auf Russisch und Französisch gefunden worden, das könnten aber auch falsche Fährten sein. (dpa)