Der erpresste Landkreis Anhalt-Bitterfeld rief in Deutschland erstmals den "Cyberkatastrophenfall" aus. Allerdings ist der auf die Handlungsfähigkeit der Verwaltung beschränkt. Was Experten der Bundesregierung an möglichen Szenarien vorlegten, hat noch andere Folgen. Was, wenn der Strom plötzlich wegbleibt?
Chemnitz.
Bei Deutschlands "erstem Cyberkatastrophenfall" wird die digitale Infrastruktur derzeit Stück für Stück zurückerobert. Die im Juli mit einer Ransomware - einem Verschlüsselungsprogramm zur Erpressung von Lösegeld (engl. ransom) - lahm gelegte Verwaltung des Kreises Anhalt-Bitterfeld gewinnt mithilfe von Experten, unter anderem der Bundeswehr, allmählich die Hoheit über ihr System und über ihre Aufgaben zurück. Während kriminelle Energie von Erpressern einen Landkreis bereits an seine Grenzen zu bringen vermag, rechnet die Bundesregierung, was Cyberattacken betrifft, mit ganz anderen Dimensionen.
"In den ersten Stunden kommt es im Straßenverkehr aufgrund ausgefallener Ampeln, Beleuchtung und Verkehrsleitsystemen sowie des erhöhten Verkehrsaufkommens zu vielen Unfällen mit Verletzten und Todesopfern. Straßen sind verstopft, zahlreiche Kreuzungen sind blockiert. ... Vereinzelt kann es zu panikartigen Reaktionen kommen (z. B. bei Stau in einem Tunnel, in dem das Licht ausgegangen ist). Generell ist aber anzunehmen, dass die Bevölkerung zunächst gefasst reagiert, auch weil man mit einem baldigen Ende des Stromausfalls rechnet." Langsam passe sich die Bevölkerung an die neue Situation - ohne jeglichen Strom - an. Tankstellen fallen ohne funktionsfähige Pumpen dauerhaft aus. "Der motorisierte Individualverkehr in städtischen Gebieten nimmt tendenziell ab." In der ersten Woche entstehe er noch, weil Personen Verwandte und Bekannte versorgen oder abholen. Zunehmend bleibe die Bevölkerung zuhause, da auch Arbeitsstätten vom Stromausfall betroffen seien. Man versuche, deutlicher werdende Folgen im Haushalt in den Griff zu bekommen (Auftauen von Tiefkühltruhen, Störung der Wasserversorgung). Experten prognostizieren erste Diebstähle und Plünderungen, "sobald kommuniziert wird, dass ein Ende des Stromausfalls nicht absehbar ist". Aufgrund mangelnder Bezahlmöglichkeiten steige die Sorge vor Versorgungsengpässen. "In einigen Banken und Einzelhandelsgeschäften spielen sich teilweise chaotische Szenen ab", sehen sie voraus.
Das erörterte Szenario eines nationalen oder europaweiten Stromausfalls liest sich, als stamme es aus der Feder des österreichischen Bestsellerautoren Marc Elsberg. In seinem Debütroman "Blackout" hatte Elsberg einen europaweiten Stromausfall beschrieben, den Hacker mit Manipulation sogenannter Smart-Meter, also übers Internet kommunizierender Stromverbrauchsablesegeräte in Haushalten, auslösen.
Doch beim zitierten Szenario handelt es sich nicht um Fiktion. Auch wenn es wie die Vorlage für Elsbergs Thriller klingt, stammt es vom "Büro für Technikfolgenabschätzung beim Deutschen Bundestag". Das Beratergremium wurde beauftragt, Folgen eines Blackouts auszuloten, weil er als wahrscheinlichstes Szenario eines Zusammenbruchs gilt. Titel des 264 Seiten starken Papiers: "Gefährdung und Verletzbarkeit moderner Gesellschaften - am Beispiel eines großräumigen Ausfalls der Stromversorgung".
Einen realen Vorgeschmack gab es 2006, als wegen der Passage des Kreuzfahrtschiffs "Norwegian Pearl" auf der Ems der Stromkonzern Eon seine den Fluss querende 380.000-Volt-Leitung zur Vorsicht abschaltete. Da es nur wenige Haupttrassen nach Westeuropa gab und andere Versorger nicht schnell genug reagierten, kam es zu Kettenreaktionen von Überlastung und Engpässen. Folge: Zehn Millionen Haushalte waren Stunden ohne Strom. Menschen steckten in Fahrstühlen fest. Der Bahnverkehr lahmte. Ähnlich verletzlich wäre die im Zuge der Energiewende nötige Nord-Süd-Verbindung, jene Stromautobahnen, die den Süden mit Strom aus Windparks von der See beliefern sollen, um die Atomkraft zu ersetzen.
Stichwort Atomkraft: Mit ihr verbindet sich nicht nur der Fachbegriff des Größten anzunehmenden Unfalls (GAU). Auch im Fall eines gut organisierten Cyberangriffs sind kerntechnische Anlagen, etwa durch eine Kernschmelze, das maximal vorstellbare Schadensszenario. Zwar sagte der Präsident des Bundesamts für Sicherheit in der Informationstechnik, Arne Schönbohm, jüngst der "Zeit", er sehe "größere Gefahr bei Krankenhäusern" - auch ein Szenario, das im Roman von Elsberg und in der Vorhersage der Technikfolgenabschätzer beschrieben wird. Doch gab es auch bereits Attacken auf atomare Anlagen.
Der 2019 verstorbene frühere Generalsekretär der Internationalen Atomenergie-Organisation (IAEO), Yukiya Amano, sprach von mehreren Cyberangriffen auf Kernkraftwerke, die zu seiner Amtszeit stattfanden. In einem Fall wurde der Betrieb gestört. Näher verortet hatte Amano die Fälle nicht. In Deutschland wurde 2016 bekannt, dass im bayerischen Kernkraftwerk Gundremmingen Anlagenteile mit Schadsoftware infiziert waren. Die Software wurde auf einer Maschine zum Laden von Brennelementen entdeckt. Sie hatte den Zweck, automatisch Verbindungen zum Internet herzustellen. Eine Voraussetzung, sich von außen einzuhacken.
Dass die Systeme in Kernenergieanlagen vom Internet entkoppelt sind, wird oft als Beleg für deren Sicherheit genannt. Trügerische Sicherheit. Zum einen zwangen Angriffe auf die Stromversorgung 2015 Kernkraftwerke in der Ukraine zum Herunterfahren. Fällt erzwungener Leistungsabfall so stark aus, dass die Anlage eigenen Energiebedarf nicht decken kann, müssen Notstromaggregate die Kühlung übernehmen, um Kernschmelzeszenarien auszuschließen. Für längerfristigen Betrieb sind dieselgespeiste Notsysteme aber nicht ausgelegt. Besonders prekär, wenn wegen ausgefallener Treibstoffpumpen Nachschub fehlt.
Zum anderen ist Abschottung kerntechnischer Anlagen vom Internet auch nicht 100-prozentig sicher. Die in Döbeln lebende Hackerin Nadja Ungethüm erinnert an den Computerwurm "Stuxnet". Mit diesem wurde das iranische Atomwaffenprogramm um Jahre zurückgeworfen, nach bisherigen Erkenntnissen vom US- und israelischen Geheimdienst. Die mit immensem finanziellem Aufwand entwickelte Schadsoftware befiel Simatic-S7-Steuereinheiten der Firma Siemens. Befall allein sorgte nicht für Störung. Dafür waren zudem bestimmte Eigenschaften in der Konfiguration des Anlagenteils nötig, wie sie in der Nukleartechnik vorkommen. Auch in anderen Ländern waren Anlagen von Stuxnet befallen, doch konzentrierte sich die Ausbreitung auf den Iran. Nach Angaben eines hochrangigen Geheimdienstlers aus dem Iran waren dort zeitweise 16.000 Computer infiziert. 1000 von 5000 Zentrifugen in der iranischen Urananreicherungsanlage Natans wurden zerstört. Auch das Kernkraftwerk Buschehr am persischen Golf war beeinträchtigt.
"Ein System muss nicht im Internet sein, um es zu infizieren. Das kann bei Wartungsarbeiten passieren oder durch ein neues angeschlossenes Gerät", sagt Nadja Ungethüm. "Die benutzen ja auch normale Programme. Die guckt sich zwar die ganze Welt an. Und dennoch findet man immer wieder Schwachstellen." Ungethüm zählt zu den wenigen Hackern weltweit, die von Google gelistet ist, weil sie eine unerkannte Schwachstelle des Google-Browsers Chrome meldete und abstellen half. Zeiten, in denen sie als Hackerin Unfug trieb, seien lang vorbei, sagt Ungethüm. Vor Jahren machte sie sich selbstständig. Ihre Firma "Unnex" bietet sogenannte Penetrationstests an. Im Auftrag von Firmen tut sie nun, was sie früher unautorisiert getan hat: Schwachstellen in Systemen finden. Das schaffte sie auch schon bei Institutionen, die eigentlich als sicher gelten sollten. Auf der Website des US-Geheimdienstes NSA (National Security Agency) entdeckte Ungethüm zwei Sicherheitslücken. Eine nutzte sie 2014 aus, um ihr Firmenmotto auf der Website der mächtigen Abhörzentrale zu hinterlassen: "Durchleuchten Sie Ihre Homepage!"
Im Fall von Stuxnet könne der Wurm schon im Bauteil gewesen sein, bevor es in die Anlage gelangte, überlegt die Hackerin. "Als Hacker muss man an die Systeme rankommen, bevor sie in den abgeschotteten Bereich gehen. Deshalb warnen die Amerikaner so vorm Einbau von Huawei-Bauteilen ins Mobilfunknetz. Die Warnung ist nachvollziehbar. So was machen die Amerikaner ja auch. Bestimmte Verschlüsselungen sind von der NSA entwickelt, mit Schwachstellen", sagt sie. Ob diese bewusst angelegt seien, gleichsam als Hintertür, sei nicht zu sagen. Doch der einzige Weg, wie einer Sabotage von Bauteilen vorzubauen sei, "wäre, man baut alles selbst, aber das schaffen wir ja nicht".
In der vernetzten Welt hält Nadja Ungethüm es immerhin für möglich, Spuren der anonymen Urheber eines Cyberangriffs auszumachen. Bei Stuxnet lag die Spur zu Geheimdiensten in der Komplexität der Aktion und der logistischen Leistung. Generell glaubt Nadja Ungethüm, dass man auch von Staaten initiierten Cyberkrieg und hackerbetriebenen Cyberterrorismus unterscheiden könne. "Das Militär hätte eine Reihenfolge, in der es kritische Infrastruktur ausschalten würde", sagt sie. "Bei Hackern wäre das nicht so. Die müssen gucken, wo man reinkommt. Der erste Schritt ist das Sprungbrett. Man nimmt nicht das wichtigste Ziel zuerst, sondern das verwundbarste."
Sie überlegt. "Oder man baut sich ein Botnet", einen Zusammenschluss unbemerkt gekaperter Fremdrechner, die sich überall in der Welt befinden können und ihre Rechenleistung unfreiwillig in den Dienst des Hackers stellen. "So wird eine DDoS-Attacke zum einfachsten Weg", sagt Ungethüm. DDoS steht für "Distributed Denial of Service", sinngemäß übersetzt eine gezielte Überlastung, die angegriffene Server zusammenbrechen lässt. Heute werde das am ehesten über moderne, aber gewöhnlich nicht so gut gesicherte Smartgeräte ausgeführt, nicht über alte Rechner. In den meisten computergestützten Alltagsgeräten steckt ja selbst ein kleiner Computer. Auch wenn Nadja Ungethüm das Thriller-Szenario von Marc Elsberg nicht kennt. Die Smartmeter in Privathaushalten als angegriffenes Ziel zum Lahmlegen des Energienetzes samt Kraftwerken passen somit ins Bild. "Ein Hack in Industrieanlagen ist relativ schnell behebbar. Die Betonung liegt auf relativ", schränkt Nadja Ungethüm ein. Voraussetzung ist, dass man erkennt, wo das Problem herkommt."
Denial of Service, Trojaner und Ransomware - Fälle von Cyberattacken mit ihren unterschiedlichen Angriffsmethoden
Denial-of-Service-Angriffe, durch ein Botnet gesteuert, erlebte 2007 der Baltikumstaat Estland. Parlament, der Präsident, Ministerien, Banken und Medien waren betroffen. Nach Klarwerden der Verwundbarkeit richtete das Land Backup-Server in Luxemburg ein. In Estland wurde ein Cyberkriegsforschungszentrum gegründet - mit Beteiligung der Nato.
Über einen Trojaner gelang 2015 der bisher folgenschwerste Cyberangriff auf den Deutschen Bundestag. Es gab Indizien, dass das "APT28"- Hackerkollektiv, das für den russischen Militärgeheimdienst arbeitet, den Angriff initiierte. Bundestagsabgeordnete bekamen schadsoftwarebelastete E-Mails, deren Absender auf "@un.org" endete, die dem Anschein nach also von den Vereinten Nationen stammten. Durch Platzierung der Schadsoftware bekamen die Hacker unbemerkt Zugriff auf Passwörter und Administratoren-Accounts.
Eine Lücke in der Citrix-Software, die an sich der sicheren Kommunikation über sogenannte VPN-Tunnel (virtuelles privates Netzwerk) dient, ermöglichte es Hackern 2020 mit der Ransomware Doppel-Paymer die Systeme der Uni-Klinik Düsseldorf lahmzulegen. Die Polizei informierte die Hacker, dass durch sie Menschenleben in Gefahr seien. Die Unbekannten sandten einen digitalen Code zur Entschlüsselung der Daten. Die Klinik nahm den Betrieb wieder auf.
Über Ransomware legte die Hackergruppe Darkside im Mai 2021 das US-Unternehmen Colonial Pipeline lahm, deren Leitung 45 Prozent des Treibstoffbedarfs der US-Ostküste deckt. Es gab chaotische Engpässe. Die Firma zahlte in der Kryptowährung Bitcoin mehrere Millionen Dollar an die Erpresser. Im Juli 2021 brachten Unbekannte mit derselben Methode die Verwaltung des Kreises Anhalt-Bitterfeld zum Erliegen. Deutschlands erster "Cyberkatastrohenfall". (eu)
- Mehr Lesekomfort auch für unterwegs
- E-Paper und News in einer App
- Push-Nachrichten über den Tag hinweg
Nein Danke. Weiter in dieser Ansicht.
