Das Fernheizwerk Neukölln ist Ziel eines Cyberangriffs geworden. Nach Informationen von WELT wurde die Attacke bereits am Freitag, 20. März, bemerkt. Nach Angaben aus Sicherheitskreisen fordern die Angreifer Lösegeld für die Freigabe der betroffenen Daten.
Demnach setzten die Täter dem Unternehmen eine Frist bis zum 29. März. Diese ließ der Betreiber nach Informationen dieser Redaktion verstreichen. Für diesen Fall drohte die Hackergruppe damit, die erbeuteten Daten im Darknet zu veröffentlichen. Einen entsprechenden Leak konnte WELT am Montag nicht feststellen.
Nach aktuellem Stand ist nicht die eigentliche Wärmeversorgung betroffen. Der Angriff traf nach Informationen von WELT die Verwaltungsebene. Dort ist unter anderem das Rechnungswesen gestört, zudem kommt es zu erheblichen Ausfällen in der internen Kommunikation.
In dieser Woche soll damit begonnen werden, die betroffenen Systeme schrittweise wieder hochzufahren. Die forensische Analyse sei in vollem Gange, heißt es aus Unternehmenskreisen. Wie die Angreifer in die IT-Strukturen eindringen konnten, ist bislang unklar.
In Sicherheitskreisen werden mehrere Szenarien diskutiert. Als wahrscheinlich gilt ein Phishing-Angriff, bei dem ein Mitarbeiter eine manipulierte E-Mail mit infiziertem Anhang geöffnet haben könnte. Möglich sei aber auch, dass Beschäftigte gezielt ausgespäht und attackiert wurden. Ebenso wird geprüft, ob veraltete IT-Infrastruktur Sicherheitslücken aufwies, die von den Angreifern ausgenutzt wurden.
Bekannte Gruppierung soll hinter Tat stecken
Hinter der Attacke soll nach Informationen von WELT die Gruppierung „DragonForce“ stehen. Solche sogenannten Ransomware-Gruppen verschlüsseln die Daten ihrer Opfer und fordern Lösegeld für die Entschlüsselung. Die Täter treten seit 2023 in Erscheinung und gelten als arbeitsteilig organisiert. Demnach rekrutiert die Gruppe über Untergrundforen gezielt Mittäter und nutzt ein Partnernetzwerk, über das auch Schadsoftware Dritter verbreitet werden kann. In einzelnen Berichten wird die Gruppe zudem mit politisch motivierten Cyberangriffen in Verbindung gebracht und als „pro-palästinensisch“ beschrieben.
Die Berliner Polizei bestätigte, dass der Ransomware-Angriff seit dem 20. März bekannt ist. Die Heizleistung und die technischen Anlagen seien nicht betroffen, teilte die Behörde mit. Weitere Angaben machten die Behörden unter Verweis auf laufende Ermittlungen nicht. Hinweise auf ähnliche Angriffe auf andere Berliner Betreiber liegen nach aktuellem Stand nicht vor.
Die Berliner Senatsverwaltung für Wirtschaft teilte auf Anfrage mit, ebenfalls formal über die „IT-Störung“ informiert worden zu sein, verwies jedoch auf fehlende Zuständigkeiten für Fernwärme und IT-Sicherheit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) äußerte sich nicht zum konkreten Fall und verwies wiederum auf den Betreiber.
Das Fernheizwerk Neukölln gehört zu den wichtigen Wärmeversorgern im Berliner Süden. Das Unternehmen betreibt seit 1911 ein Kraftwerk am Weigandufer und beliefert heute rund 60.000 Wohnungen sowie zahlreiche öffentliche Einrichtungen. Das Fernwärmenetz umfasst nach Unternehmensangaben derzeit etwa 124 Kilometer. Die Gesellschaft befindet sich mehrheitlich in privater Hand.
Wir sind das WELT-Investigativteam: Sie haben Hinweise für uns? Dann melden Sie sich gerne, auch vertraulich – per E-Mail oder über den verschlüsselten Messenger Threema (8SNK792J).
Haftungsausschluss: Das Urheberrecht dieses Artikels liegt bei seinem ursprünglichen Autor. Der Zweck dieses Artikels besteht in der erneuten Veröffentlichung zu ausschließlich Informationszwecken und stellt keine Anlageberatung dar. Sollten dennoch Verstöße vorliegen, nehmen Sie bitte umgehend Kontakt mit uns auf. Korrektur Oder wir werden Maßnahmen zur Löschung ergreifen. Danke
