Der Hackerangriff auf den Satellitennetz-Provider Viasat war offenbar eine gezielte Cyberattacke. Das Unternehmen bietet seinen Kunden schnelle, satellitengestützte Internetverbindungen – unter anderem in der Ukraine. Seit Kriegsbeginn hatte der Anbieter mit erheblichen Ausfällen zu kämpfen.

Man vermute einen »Zusammenhang mit dem Ukraine-Konflikt«, heißt es in einem internen Papier der Bundesregierung, das dem SPIEGEL vorliegt. Zuvor hatten sich Vertreter mehrerer deutscher Behörden mit dem börsennotierten US-Satellitenbetreiber ausgetauscht. Dabei habe Viasat mitgeteilt, »dass im Segment Mittel-/Osteuropa die Endgeräte bei den kommerziellen Kunden sabotiert wurden«. Öffentlich hatte Viasat bislang lediglich davon gesprochen, dass man ein »Cyberereignis« hinter den Ausfällen vermute.

Der Hackingangriff hatte dazu geführt, dass zahlreiche Kunden des von Viasat betriebenen Angebots KA-SAT keinen Internetzugang mehr hatten. Den entscheidenden Schritt ihres Angriffs unternahmen die Hacker dem Papier der Bundesregierung zufolge ausgerechnet am Morgen des russischen Angriffs auf die Ukraine. Am 24. Februar um 5 Uhr morgens aktivierten die Angreifer demnach ein fehlerhaftes Update, wodurch KA-SAT-Kunden ihre Netzzugänge verloren.

Folgen auch in Deutschland zu spüren

Unter anderem wegen dieser »zeitlichen Koinzidenz« vermutet die Bundesregierung inzwischen einen Zusammenhang mit dem Krieg in der Ukraine. Laut dem Vermerk gibt es dafür einen weiteren Grund: Das angegriffene KA-SAT-Segment in Mittel- und Osteuropa werde intensiv durch das ukrainische Militär genutzt.

Die Folgen der Attacke waren auch in Deutschland zu spüren. Mindestens 3000 Windräder, die über den Satellitenanbieter am Netz sind und darüber normalerweise ferngewartet werden können, waren plötzlich nicht mehr erreichbar – wobei sie weiter liefen und Strom erzeugen konnten. Die Bundesregierung bewertet den Angriff in dem Papier inzwischen als »Cyber-Kollateralschaden-Fall«. Weitere Auswirkungen auf die kritische Infrastruktur oder gar die Versorgungssicherheit in Deutschland seien derzeit nicht zu beobachten.

Angaben über den möglichen Hintergrund oder die Herkunft der Hacker sind in dem Schreiben nicht enthalten. Das Unternehmen selbst betreibe weiter »Ursachenforschung«, heißt es. Wie ernst die Bundesregierung den Vorfall nimmt, zeigt sich allerdings auch daran, wer am Gespräch mit Viasat am vergangenen Donnerstag teilnahm. Neben der für Kommunikationsnetzwerke verantwortlichen Bundesnetzagentur und dem für IT-Sicherheit zuständigen Bundesamt für Sicherheit in der Informationstechnik war auch der Verfassungsschutz vertreten.

Angriffsweg deutet auf versierte Hacker

Die Vorgehensweise, Schadsoftware über Software-Updates zu verbreiten, spricht genauso für professionelle Täter wie das strategische Ziel der Attacke – Satelliten-Internetanbieter waren auch in der Vergangenheit schon Opfer aufwendiger Cyberoperationen.

Eine der bislang folgenreichsten Cyberattacken hatte 2017 mit manipulierten Software-Aktualisierungen begonnen und ebenfalls einen Ukrainebezug. Damals hatte sich die Schadsoftware NotPetya zunächst über Updates der ukrainischen Buchhaltungssoftware MeDoc verbreitet. Der Schadcode vervielfältigte sich durch die Firmennetzwerke internationaler Konzerne indes schnell über die Landesgrenzen der Ukraine hinaus und betraf Firmen wie den Logistikriesen Maersk, den Pharmakonzern Merck und das Hamburger Unternehmen Beiersdorf. Die durch NotPetya verursachten Gesamtschäden beliefen sich auf mehr als zehn Milliarden Dollar. Als Urheber des damaligen Angriffs gilt eine Gruppierung namens »Sandworm«,  die dem russischen Militärgeheimdienst GRU zugeordnet wird.

Im aktuellen Fall hat sich ein Forscher der Universität der Bundeswehr München zu Wort gemeldet . Das betroffene KA-SAT-Angebot, das über sogenannte Spot-Beams unter anderem auch Kiew versorge, sei auf der Erde über acht Gateway-Stationen angebunden – wenn eines dieser Gateways durch einen Cyberangriff ausfalle, seien alle damit verbundenen Beams betroffen: »Und so kann es sein, dass die Russen eigentlich die Internetverbindungen in der Ukraine kappen wollten, aber damit auch die Windanlagen in Zentraleuropa vom Internet getrennt haben.«

Viasat ist nicht der einzige Satelliten-Internetanbieter, der derzeit die Ukraine versorgt und Problemen begegnet. Elon Musk hatte seinen Service Starlink zwei Tage nach Kriegsbeginn auch für die Ukraine freigeschaltet und beworben  – mindestens eine Lastwagenladung der notwendigen Terminals wurde zwischenzeitlich bereits geliefert . Einige dieser Terminals in der Nähe von Konfliktzonen seien über einige Stunden gestört worden, so Musk am Samstag in einem Tweet  – man arbeite nun vorrangig an der »Cyber-Verteidigung« des eigenen Angebots und dem Kampf gegen absichtsvolle Signal-Störungen.