Pickett USA: Stromnetze durch Datenpanne gefährdet

Der Datenraub bei dem amerikanischen Ingenieurbüro Pickett & Associates offenbart ein massives Sicherheitsloch in der US-Stromversorgung. Rund 139 Gigabyte sensiblester Infrastruktur-Daten sind in die Hände von Cyberkriminellen gelangt—darunter präzise Vermessungsdaten und operative Baupläne von drei der größten amerikanischen Stromkonzerne. Die Datei-Sammlung wird im Darknet zu etwa 585.000 Dollar angeboten.

Hochauflösende Stromnetz-Karten auf dem Schwarzmarkt

Die gestohlenen Daten sind diese Woche auf dunklen Foren aufgetaucht und umfassen etwa 892 Dateien: hochauflösende Luftaufnahmen, technische Konstruktionspläne und über 800 LiDAR-Punkt-Cloud-Dateien. Diese Scans zeigen mit extremer Genauigkeit, wo Hochspannungsleitungen verlaufen, wo Umspannwerke stehen und welche Vegetation in diesen Bereichen wächst.

Das ist deutlich brisanter als ein gewöhnlicher Kundendatenleck. Die Cybersicherheitsfirmen Hudson Rock und ThreatMon analysieren die Daten gerade intensiv. Der Hacker, der unter dem Pseudonym “Zestix” bekannt ist, bewirbt seine Ware ausdrücklich als „echte, operative Ingenieur-Infrastruktur” für Risikoanalysen. Ein Missbrauch wäre fatal: Mit solchen detaillierten Plänen könnten Angreifer gezielt Schwachstellen in Strommasten identifizieren oder physische Sabotageakte planen.

Dieser Datenraub zeigt, wie wenig Schutz oft zwischen Großkonzernen und ihren Zulieferern besteht – Zugangsdaten, fehlende Zwei‑Faktor‑Authentifizierung und ungesicherte Cloud‑Portale reichen. Ein kostenloses E‑Book für Geschäftsführer und IT‑Verantwortliche erklärt konkret, welche Maßnahmen jetzt sofort greifen (Zugriffssteuerung, 2FA‑Rollout, Lieferanten‑Audits) und liefert praxisnahe Checklisten. So lassen sich Sicherheitslücken schnell schließen, ohne große IT‑Investitionen. Jetzt Cyber‑Security‑Guide herunterladen

Experten deuten darauf hin, dass die Eindringlinge über gehackte Cloud-Portale eingedrungen sind. Der genaue Angriffsmethode: Cyberkriminelle nutzten Zugangsdaten, die von Spyware-Malware auf befallenen Mitarbeiter-Computern gestohlen worden waren. Das Ingenieurbüro hatte auf seinen Datei-Sharing-Plattformen offenbar keine Zwei-Faktor-Authentifizierung (2FA) aktiviert—ein klassisches Sicherheitsversäumnis.

Energieriesen unter Druck

Das Leck trifft drei der mächtigsten Stromversorger in Amerika. Duke Energy Florida bedient knapp 2 Millionen Kunden und bestätigte am 5. Januar, dass man die Vorwürfe sofort untersuche. In Stellungnahmen betonte der Konzern, dass man alles für den Schutz der Systeme und Anlagen unternehme—zu Details wollte man sich aber nicht äußern.

Auch Tampa Electric und American Electric Power (AEP) sind in den Unterlagen genannt. AEP versorgt fast 5,6 Millionen Menschen in elf Bundesstaaten mit Strom. Die potenzielle Offenlegung ihrer Leitungsnetze ist hochgradig alarmierend. Pickett USA selbst äußerte sich bislang nicht öffentlich zum Hack, doch erste Anwaltskanzleien werben bereits aktiv um Geschädigte für Sammelklagen.

Das unterschätzte Risiko: Gestohlene Passwörter

Diese Attacke zeigt einen beunruhigenden Trend: Cyberkriminelle zwingen sich nicht mehr mit ausgefeilten Hacker-Tricks in Systeme ein. Stattdessen kaufen sie einfach gestohlene Passwörter und Nutzerdaten auf dem Schwarzmarkt—und benutzen diese, um sich wie legitime Nutzer einzuloggen.

Laut Cybernews-Bericht waren in dieser Kampagne nicht nur Pickett USA betroffen, sondern etwa 50 weitere Unternehmen weltweit. Die Angreifer zielen dabei gezielt auf Enterprise-Datei-Sharing-Plattformen wie Citrix ShareFile und Nextcloud ab. Die Passwörter stammten zum Teil schon seit Monaten oder Jahren aus Malware-Logs im Underground-Forum—niemand hatte sie aktualisiert.

Der fehlende Schutz durch 2FA war der entscheidende Fehler: Die Hacker konnten sich einfach anmelden, die riesigen Datenarchive herunterladen und wieder verschwinden, ohne Alarm auszulösen.

Das Kernproblem: Der schwache Dienstleister

Der Pickett-Hack offenbart eine strukturelle Verwundbarkeit der amerikanischen Infrastruktur. Die großen Energiekonzerne bauen oft auf Sicherheitszentren, die gut ausgerüstet sind. Doch ihre Zulieferer und Auftragnehmer? Das sind häufig die größten Sicherheitslöcher. Ein kleines Ingenieurbüro hält buchstäblich den Schlüssel zu den größten Kraftwerken und Stromleitungen des Landes.

Experten warnen schon lange vor diesem sogenannten Extended Enterprise-Risiko. Wer die Daten dritter Anbieter nicht gut schützt, gefährdet auch die großen Konzerne dahinter. Im Gegensatz zu klassischen Ransomware-Angriffen, die auf Kundendaten (personenbezogene Informationen) zielen, ist das Kernproblem hier: Die Daten lassen sich nicht einfach austauschen wie ein gehacktes Passwort oder eine neue Kreditkartennummer. Diese LiDAR-Karten der Stromnetze sind quasi zeitlose Blaupausen—wer sie hat, hat einen dauerhaften Vorsprung.

Was folgt jetzt?

In den kommenden Wochen müssen die betroffenen Energieversorger wohl eine Art Inspektionsrundgang durchführen: Welche der im Leck offenbarten Stromleitungs-Korridore brauchen extra physische Sicherheit?

Die Aufsichtsbehörde NERC (North American Electric Reliability Corporation) wird die Drittanbieter-Risiken der beteiligten Konzerne prüfen wollen. Und rechtlich wird es teuer: Die Anwaltskanzlei Srourian kündigt bereits Sammelklagen an und fokussiert auf den fahrlässigen Umgang mit der 2FA.

Cybersicherheits-Analysten prophezeien, dass dieser Fall ein Wendepunkt wird. Künftig dürften Energieversorger ihre Ingenieurbüros und Survey-Partner viel strenger an der kurzen Leine halten—mit Null-Toleranz-Richtlinien für fehlende Authentifizierung.

PS: Viele erfolgreiche Angriffe beginnen mit gestohlenen Passwörtern oder Phishing – genau wie in diesem Fall. Dieses kostenlose Praxis‑E‑Book zeigt in vier leicht umsetzbaren Schritten, wie Sie Ihr Unternehmen und externe Dienstleister besser absichern, Phishing‑Angriffe erkennen und Notfallpläne für Datenlecks aufsetzen. Es enthält Checklisten, Vorlagen für Lieferanten‑Audits und eine schnelle Prioritätenliste für die ersten 72 Stunden. Gratis E‑Book zur Cyber‑Security anfordern