https://www.faz.net/-gpf-8x2rg

Cyberangriffe : Leichtes Spiel für Hacker

Um in ein IT-Netz einzudringen braucht der Hacker nur ein Schwachstelle. In Ettlingen waren das die leicht zugänglichen Netzwerksteckdosen. Bild: dpa

Die Stadtwerke in Ettlingen ließen ihre Verwundbarkeit für Cyberangriffe testen – und staunten. Binnen kurzer Zeit könnten die Bürger ohne Wasser und Strom sein.

          Eberhard Oehler hat die Kamera seines Smartphones mit schwarzer Folie abgeklebt. Oehler, studierter Elektroingenieur, ist eigentlich ein technikaffiner Mensch. Doch seit der Geschäftsführer der Ettlinger Stadtwerke 2013 erfahren hat, wie stark das kleine Versorgungsunternehmen im Süden Karlsruhes Hackerangriffen ausgesetzt sein kann, ist er vorsichtig geworden mit Smartphones und Computern. Dave Eggers „The Circle“ und das Buch „Blackout“ von Marc Elsberg stehen bei ihm Seite für Seite durchgearbeitet im Regal.

          Rüdiger Soldt

          Politischer Korrespondent in Baden-Württemberg.

          Eigentlich war es ein Zufall, dass er sich mit dem Thema Hackerangriffe auf Energieversorgungsunternehmen beschäftigt hat, der Fernsehsender Arte wollte vor vier Jahren für eine Dokumentation die Datensicherheit der deutschen Stromversorger testen. Bei den großen Konzernen kamen die Journalisten nur bis zum Pförtner. Einem derart heiklen Versuch wollte sich niemand aussetzen. Durch einen privaten Kontakt kam dann ein Gespräch mit Oehler zustande, die Ettlinger Stadtwerke waren einverstanden, stimmten dem fiktiven, von einer privaten Computerfirmen inszenierten „Penetrationstest“ zu.

          Wasser-, Strom- und Gasversorgung stark gefährdet

          Das Ergebnis war aufschlussreich und besorgniserregend: Der mit dem Hackerangriff beauftragte Computerfachmann Felix Lindner habe nur wenige Minuten gebraucht, bis er das Passwort der Software entschlüsselt hatte, sagt Oehler. Es wäre ein Leichtes gewesen, 40 000 Stromkunden und einen Großteil der 200 000 Wasserkunden in Ettlingen und der Region von der Versorgung abzuschneiden. Der versierte Hacker hätte 18 Stunden gebraucht, dann wären die Bürger in Ettlingen ohne Strom und ein paar Tage später, wenn die Trinkwasserhochbehälter nicht mehr per Pumpen hätten befüllt werden können, auch ohne Wasser gewesen.

          Die digitale F.A.Z. PLUS
          F.A.Z. Edition

          Die digitale Ausgabe der F.A.Z., für alle Endgeräte optimiert und um multimediale Inhalte angereichert

          Mehr erfahren

          Alle Organisationen und Unternehmen, die Wasser, Strom und Gas liefern oder für die Gesundheitsversorgung oder den Transport verantwortlich sind, haben in den Zeiten von Cyberkriminalität eine angreifbare, kritische Infrastruktur. Im Februar 2016 brach bei einem Cyberangriff auf das Lukaskrankenhaus in Neuss das zentrale Managementsystem zusammen.

          Schwachstellen sind schnell zu finden

          Oehler hat seit dem fingierten Hackerangriff 50 Vorträge gehalten, in denen er vor den Gefahren der Cyberkriminalität warnt. Softwarefirmen beschreiben die Schutzschirme zur Abschirmung von IT-Netzen mit Metaphern aus der Süßwarenwerbung: „Außen knusprig, innen cremig.“ Mit der Realität hat das wenig zu tun. Denn um in ein IT-Netz einzudringen, muss der Hacker nur eine Schwachstelle finden. So gab es in Ettlingen in den Tagungsräumen der Stadtwerke gut zugängliche Netzwerksteckdosen. Der Zutritt zu solchen Räumen ist schwer zu kontrollieren, es hätte ausgereicht, wenn ein Krimineller im Auftrag eines Hackers ein W-Lan- oder 3-G-Funkmodul in einer dieser Netzwerkdosen installiert hätte.

          Mit einem solchen Modul hätte ein Hacker binnen kurzer Zeit einen perfekten Zugang in das Computernetz der Stadtwerke gehabt. Zur Not hätte der Angreifer einen Pizzaboten mit 3-G-Modulen im Tornister in den Schulungsraum geschickt. Gefährliche Schnittstellen sind Notstromaggregate oder Multifunktionsdrucker, die heute in der Regel zur Wartung über einen eigenen Internetanschluss verfügen. Die Zentrale der Ettlinger Stadtwerke ist zu Beginn der neunziger Jahre gebaut worden, damals war „Cyberkriminalität“ kein Thema.

          Stadtwerke verbessern IT-Technik

          Die deutsche Energiewirtschaft war seit 2007 mindestens fünf größeren Attacken mit Schadsoftware ausgesetzt. „Bis wir den Test gemacht haben“, erzählt Oehler, „konnte ich zum Beispiel von meinem Rechner aus in die Systeme unserer Leitstelle hineinschauen, das war gar nicht nötig, man hat das damals wohl aus Unachtsamkeit eingerichtet.“ Nach dem Test war Schluss damit, Oehler beauftragte seine Computerfachleute und eine externe Firma damit, die IT-Technik der Stadtwerkezentrale zu überarbeiten.

          Das Bundeskriminalamt hat inzwischen eine Abteilung für Cyberkriminalität. Verbrechen im virtuellen Raum werden dennoch als umsatzstark eingeschätzt.

          Die Passwörter wurden neu vergeben, USB-Anschlüsse stillgelegt, überflüssige Internetzugänge abgeschaltet. Die Zahl der Mitarbeiter in der eigenen Computerabteilung verdoppelten die Stadtwerke. Die Softwareunternehmen wurden über Sicherheitslücken informiert. Etwa 500 000 Euro investierte das kommunale Unternehmen. „Wir konnten 90 Prozent der Löcher schließen, wir haben dazu aber anderthalb Jahre benötigt, und es entstehen durch die Fortentwicklung der Technik ständig neue Löcher“, sagt Oehler.

          Guter Schutz wird teurer

          Von den 900 Stadtwerken in Deutschland treibt mit Sicherheit nicht jedes einen so hohen Aufwand wie das in Ettlingen. Nach Auskunft des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Bonn ist das „Schutzlevel einzelner Betreiber“ unterschiedlich. Wie viele Hackerangriffe es auf Stadtwerke gab, ist nicht bekannt. Immerhin müssen die Unternehmen bis Ende 2017 nach dem IT-Sicherheitsgesetz nachweisen, dass sie für den Fall eines Hackerangriffs die Lage mit einem zertifizierten „Informationsmanagementsystem“ steuern können.

          Oehler hält Cybercrime für den umsatzstärksten Zweig der Kriminalität – nach dem Drogenhandel und der Prostitution. Nach Schätzungen von Wirtschaftswissenschaftlern beläuft sich der jährliche ökonomische Schaden weltweit, der durch Cyberkriminelle verursacht wird, auf 400 Milliarden Dollar. In Deutschland betrug die Schadenssumme in den Jahren 2015 und 2016 mindestens 100 Milliarden Euro. Unter diese Schäden fallen zum Beispiel Plagiate, die Störung von Betriebsabläufen, Patentrechtsverletzungen oder auch Lösegelderpressungen mit gestohlenen Daten. Um sich zu schützen, müssen Kommunen, Firmen und Landesregierungen für Beratung und Schutzsoftware immer mehr Geld ausgeben.

          Hohe Dunkelziffer bei Cyberangriffen

          Es gibt auch einige Probleme, die politisch noch ungelöst sind: So können Softwarenutzer die Hersteller für Fehler immer noch nicht zur Verantwortung ziehen, weil das Produkthaftungsgesetz für Computerprogramme nicht gilt. Viele Stadtwerke sind gegen Blackouts nicht versichert, der Grund ist aus Sicht der Versicherungsunternehmen die bisherige „Katastrophenarmut“. Das Bewusstsein für die Hackerangriffe ist immer noch unterentwickelt. Auch werden Hackerangriffe zwar an die Bundesnetzagentur gemeldet, aber die Stadtwerke in Ettlingen würden noch nicht einmal anonym informiert, wenn es im benachbarten Karlsruhe einen größeren Cyberangriff geben würde. „Die Dunkelziffer der Angriffe ist noch immer hoch. Wir bemerken sie ja in der Regel nicht, wenn kein Schaden entsteht. Und das Geld, um spezielle IT-Forensiker zu beschäftigen, das fehlt uns“, sagt Oehler.

          Mit der Energiewende kommt auf die deutschen Städte mit ihren Stadtwerken noch ein Problem zu, das wahrscheinlich größer ist als die derzeitige Gefährdungslage: Es heißt „Smart metering“. Die Energiewende führt zur dezentralen Energieerzeugung, aus fünf Produzenten sind mehrere hundert geworden. Jedes Gerät, mit dem an einem Windrad Daten gemessen und übermittelt werden, ist aber ein neues Scheunentor für die Cyber-Verbrecher.

          Gegenschläge im Netz werden geprüft

          Die Bundesregierung will umfassend prüfen, welche rechtlichen und technischen Möglichkeiten noch zu schaffen sind, um Cyberangriffe, also Attacken auf deutsche Einrichtungen über das Internet, noch besser abwehren zu können und gegebenenfalls mit Gegenangriffen zu reagieren. Das Bundesinnenministerium teilte mit, dass man nationale und internationale Regeln brauche, „die neben Schutz und Abwehr die Rückverfolgung eines Angriffs aus dem Ausland und gegebenenfalls das Unschädlichmachen eines Servers im Ausland ermöglichen“.

          In Sicherheitskreisen wird ein solcher Gegenangriff auf einen Server, von dem eine Attacke ausgeht, als „Hack Back“ bezeichnet. Ein solcher ist allerdings nicht nur wegen der noch offenen rechtlichen und technischen Fragen schwer durchzuführen, sondern auch deswegen, weil bei vielen Angriffen kaum oder gar nicht zu klären ist, von welcher Quelle sie ausgingen.

          Das Innenministerium sagte, es sei wichtig, dass ein Staat sich „als wehrhafte Demokratie“ vergewissere, dass Angriffe aus dem Ausland „gegebenenfalls auch mit Wirkung auf Server im Ausland“ unterblieben. Über Rechtsgrundlagen und technische Fähigkeiten seien zu Beginn der kommenden Legislaturperiode „wichtige Entscheidungen“ zu treffen. Die „Süddeutsche Zeitung“ hatte berichtet, dass der Bundessicherheitsrat beschlossen habe, bis zum Sommer eine Analyse zu dem Thema erstellen zu lassen. (elo.)

          Weitere Themen

          Weiter Weg zum Klimaschutzgesetz Video-Seite öffnen

          Schulze fordert Maßnahmen : Weiter Weg zum Klimaschutzgesetz

          Zwar zeichnet sich ein Grundkonsens des Klimakabinetts ab, den CO2-Ausstoß höher zu belasten, allerdings herrscht noch Uneinigkeit über den Zeitpunkt. Vor allem der Verkehrssektor bereitet Sorgen.

          Topmeldungen

          Persischer Golf : Amerika meldet Abschuss iranischer Drohne

          Amerikas Präsident zufolge zerstörte die „USS Boxer“ das unbemannte Fluggerät über der Straße von Hormus, weil sie ihr zu nahe gekommen sei. Teheran entgegnet, Iran fehle keine Drohne.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.