Schwedens staatlicher Stromnetzbetreiber Svenska kraftnät hat bestätigt, dass er nach einer Klage der mit Russland verbundenen Cybercrime-Gruppe Everest eine Datenschutzverletzung erlitten hat. Die Hacker geben an, 280 Gigabyte an Daten von dem Betreiber erhalten zu haben, obwohl der genaue Inhalt des Diebstahls unbekannt bleibt.
Nach Angaben des Leiters der Informationssicherheit des Betreibers wurde die Sicherheitslücke entdeckt, nachdem ein Sicherheitsforscher das Unternehmen darauf aufmerksam gemacht hatte, dass Everest Daten auf seiner Leak-Plattform veröffentlicht hatte. Der Betreiber sagte, er untersuche den Vorfall und betonte, dass seine Stromversorgung nicht beeinträchtigt sei.
Das Unternehmen gab an, dass eine externe Dateiübertragungslösung kompromittiert wurde. Die Beamten betonten, dass es zwar einen Zugriff auf die Daten gebe, es aber keine Hinweise darauf gebe, dass wichtige Betriebssysteme beeinträchtigt worden seien. Die Ermittlungen dauern an, und die Behörden haben nicht öffentlich bekannt gegeben, welche Art von Aufzeichnungen offengelegt wurden.
In der Zwischenzeit behauptete Everest auf seiner Leak-Website, dass es auf Hunderte von Gigabyte an Daten von Svenska kraftnät zugegriffen habe, und drohte, weitere zu veröffentlichen, wenn seine Forderungen nicht erfüllt würden. Der Betreiber hat jedoch nicht bestätigt, ob die Daten echt sind oder welche Auswirkungen dies in vollem Umfang haben könnte.
Warum Organisationen kritischer Infrastrukturen ins Visier genommen werden
Betreiber nationaler Netze und anderer Infrastrukturen sind attraktive Ziele, da sie große Mengen sensibler Daten verwalten und Teil wesentlicher Dienste sind. Angreifer können gestohlene Informationen zur Erpressung, zur Erlangung eines strategischen Vorteils oder zur indirekten Störung nutzen.
In diesem Fall zeigt die Tatsache, dass die Betriebssysteme nicht betroffen waren, dass sich Angreifer auf Datendiebstahl und nicht auf direkte Sabotage konzentrieren können. Die schnelle Bestätigung des Vorfalls durch den Betreiber und die Zusammenarbeit mit den Behörden spiegeln den zunehmenden Fokus auf Reaktion und Transparenz bei Infrastrukturverletzungen wider.
Was bedeutet das für die Nutzer und die nationale Sicherheit?
Obwohl die schwedische Stromversorgung derzeit nicht gefährdet ist, wirft der Verstoß Fragen über die Sicherheit von Nicht-Kernsystemen auf, die kritische Infrastrukturen unterstützen. Externe Dateiübertragungstools, Zugriffsportale und Data Warehouses sind häufige Angriffsvektoren. Unternehmen müssen sie als Teil der Angriffsfläche behandeln.
Aus Sicht der nationalen Sicherheit veranschaulicht der Angriff die sich entwickelnden Taktiken von Cyberkriminalität und Ransomware-Gruppen. Anstatt Operationen direkt ins Visier zu nehmen, suchen Angreifer zunehmend nach Daten, um sie zu nutzen, entweder durch Lösegeld oder Veröffentlichung. Diese Verschiebung erschwert die Erkennung und Eindämmung der Bemühungen, insbesondere wenn Daten zu einer Ware werden.
Was Svenska kraftnät als nächstes tut
Svenska kraftnät sagte, dass es mit den schwedischen Strafverfolgungs- und Cybersicherheitsbehörden zusammenarbeitet, um das volle Ausmaß des Verstoßes zu ermitteln. Das Unternehmen überprüft das betroffene Tool, bewertet alle offengelegten Daten und stärkt seine Sicherheitslage entsprechend. Das Unternehmen verpflichtete sich auch, im Laufe der Untersuchung über den aktuellen Stand zu informieren.
Der Betreiber stellte auch klar, dass der Stromübertragungsbetrieb zu diesem Zeitpunkt stabil und nicht beeinträchtigt bleibt. Diese Zusicherung zielt darauf ab, das Vertrauen der Öffentlichkeit zu erhalten und den Beteiligten die Gewissheit zu geben, dass der Vorfall die Zuverlässigkeit des Netzes nicht beeinträchtigt hat.