In den letzten beiden Artikeln wurden die IT-Attacken auf die ukrainische Energieversorgung in den Jahren 2015 und 2016 thematisiert. Bereits in der unmittelbaren Vergangenheit wurden jedoch flächendeckend auch industrielle Anlagen überwiegend in Europa und in den USA zielgerichtet über das Internet angegriffen.

Diese Zugriffe erfolgten offenbar nicht primär, um Schaden an den infiltrierten Einrichtungen anzurichten, sondern mutmaßlich in erster Linie, um gezielt Spionage an den betroffenen Unternehmen zu betreiben. Im Visier der Hacker standen vor diesem Hintergrund vor allem Firmen bzw. Institutionen aus der Energiewirtschaft, der Luft- und Raumfahrt, der Pharmazie, dem Verteidigungswesen sowie der Erdölbranche. Diese Sektoren zeigen die zugrundeliegende Motivation der Hacker in Form der Angriffe auf Betreiber überwiegend kritischer Infrastrukturen (vgl. Art. „Energie als kritische Infrastruktur“).

Das dafür geschriebene Schadprogramm trägt den Namen Havex, auch als Backdoor.Oldrea bekannt, und soll von einer Hackergruppe namens Dragonfly aka Energetic Bear stammen. Der Schadcode wurde im Jahr 2013 von Forensikern des finnischen IT-Sicherheitsunternehmens F-Secure und des US-amerikanischen Softwarehauses Symantec entdeckt. Aufgrund ihrer Eigenschaften wurde die Schadsoftware als Remote Access-Trojaner (RAT) eingestuft, die auch als sogenannte Creepware bezeichnet wird, da die Malware das befallene System über eine Remotenetzwerkverbindung mit Administratorrechten von fernsteuernden C&C-Kommandoservern aus ohne Kenntnis des Computerbenutzers kontrolliert. Verbreitet wurde das trojanische IT-Pferd insbesondere per e-Mail bzw. personengezieltem (Spear) Phishing.

Neben der erfolgreichen, breit angelegten Industriespionage wurde jedoch auch physischer bzw. materieller Schaden angerichtet. Deutsche Firmen waren ebenfalls betroffen. So verzeichnete beispielsweise ein deutscher Gasnetzbetreiber „Anomalien im Datenstrom“. Weiterhin wurde in mehreren Dutzend Fällen das industrielle Netzwerk und Steuerungssystem nationaler Industrieunternehmen durch die Malware gekapert, infolgedessen Teile ihrer jeweiligen Anlagen- und Maschinenparks kontrolliert, manipuliert und auch sabotiert wurden. Insgesamt sollen etwa 2.000 Firmen dem IT-Angriff durch Havex respektive eine seiner 88 spezifischen Varianten zum Opfer gefallen sein. Wie Industroyer (vgl. Art. „Cyberangriffe auf die ukrainische Stromversorgung II“) beherrschte auch Havex die in SCADA-Prozessen und -Anlagen eingesetzten gängigen Kommunikationsprotokolle, so zum Beispiel OLE for Process Control (OPC).

Dies könnte ein weiterer Ausdruck einer „digitalen Sorglosigkeit“ insbesondere in Deutschland sein, da die zentralen Steuerungssysteme hiesiger Unternehmen direkt an das Internet angeschlossen, aber hard- und softwareseitig ganz offensichtlich nur unzureichend geschützt sind. So ist derzeit nach wie vor auch nur ein Bruchteil des deutschen e-Mail-Verkehrs verschlüsselt. Schätzungen zufolge soll der durch derartige IT-Übergriffe entstandene Schaden allein in Deutschland bei etwa 50 Milliarden Euro im Jahr liegen. Die Tendenz ist jedoch steigend, wenn man bedenkt, dass Schätzungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zufolge weltweit fast 900 Millionen Schadprogramme im Umlauf sind, wobei täglich ca. 350.000 neue Produkte, Versionen und Varianten von Malware sowie potentiell unerwünschte Anwendungen (PUA) hinzukämen, und auf der anderen Seite jedoch nur unzureichend in Cybersicherheit investiert werde. Dadurch haben Cyber-Kriminelle oder ausländische Dienste mit entsprechenden Ressourcen die Möglichkeit, die Netzwerke von Politik, Unternehmen und Wissenschaft zu infiltrieren, auszuspionieren und / oder zu attackieren.