Pearl Harbor im Internet

Die Cyberwar-Attacke gegen Atomanlagen im Iran beweist eindrücklich: Angriffe gegen "kritische IT-Infrastrukturen" sind heute nicht mehr Science Fiction, sondern reale Möglichkeit. Doch in Deutschland fehlt das Gefahrenbewusstsein

Noch vor gut einem halben Jahr waren Cyber-Attacken Theorie – ein realistisches Szenario zwar, aber ein Zukunftsszenario. Dann sabotierten Hacker iranische Atomanlagen mit dem Computerwurm Stuxnet und machten die Theorie zur Realität. Stuxnet hat uns vor Augen geführt, mit welcher Raffinesse wir bei Cyber-Angriffen künftig zu rechnen haben – und welche Tragweite diese Attacken auf unser Gemeinwesen haben können.

Dabei ist der Blick auf die Informations- und Kommunikationstechnologie (IT) besonders interessant. Sie hat sich in den vergangenen Jahrzehnten rasend schnell entwickelt und gehört heute zu jenen „kritischen Infrastrukturen“, bei deren Ausfall Versorgungsengpässe, Störungen der öffentlichen Sicherheit oder andere dramatische Folgen drohen. Die IT hat unseren Alltag mittlerweile so sehr durchdrungen, dass ohne sie auch andere kritische Infrastrukturen – Energie, die staatliche Verwaltung, das Finanzwesen oder das Rettungswesen – nicht mehr funktionieren.

Vernetztheit als Achillesferse

Eine Schwachstelle kritischer Infrastrukturen ist die zunehmende globale Vernetzung, die für die wirtschaftliche Produktion erhebliche Vorteile hat und deshalb massiv vorangetrieben wird. Mittels Vernetzung werden Arbeitsprozesse optimiert in einer Wirtschaft, deren Produktionsweise mittlerweile geprägt ist von extrem arbeitsteiligen, hochspezialisierten und auf Effizienz ausgerichteten Strukturen. Ein Beispiel: An dem Bau eines Airbus sind rund 6.000 Zulieferer aus der ganzen Welt beteiligt. Sie produzieren für ein Flugzeug ungefähr 3,5 Millionen Einzelteile, die wie Zahnräder ineinander greifen. Fehlt ein Einzelteil, gerät die gesamte Produktion ins Stocken. 

Wird das Infrastrukturnetz beschädigt, kann es in Inseln zerfallen. Dann werden Austauschprozesse unterbrochen, die Versorgung kommt zum Erliegen. Im Falle eines einzelnen Produkts ist das nur ein betriebsinternes Problem. Wenn es aber um lebensnotwendige Dienstleistungen geht, ist die gesamte Gesellschaft betroffen. Katastrophenforscher bezeichnen die allumfassende Vernetztheit der kritischen Infrastrukturen als Achillesferse moderner Gesellschaften. Schon geringe Störungen können große negative Folgen haben. 

Deutlich sichtbar wurde diese Anfälligkeit im November 2006, als eine Hochspannungsleitung über der Ems abgeschaltet wurde, um die Durchfahrt des Kreuzfahrtschiffes „Norwegian Pearl“ zu ermöglichen. Infolgedessen kam es zu einer Kettenreaktion, die einen europaweiten Stromausfall verursachte. Rund 10 Millionen Menschen hatten keinen Strom mehr. Die Ursache der Kettenreaktion war eine Kombination aus menschlichem Versagen und einem Software-Fehler. Glücklicherweise währte der Ausfall nur anderthalb Stunden. Dennoch ließ er bei Katastrophenforschern die Alarmglocken schrillen. Bemerkenswert ist, dass Stromausfälle in der Risikowahrnehmung der Bevölkerung praktisch überhaupt keine Rolle spielen. Die Konsequenzen erscheinen harmlos – Licht, Kühlschrank, Computer fallen eben aus. In Wirklichkeit hätte ein länger andauernder Strommangel fatale Auswirkungen auf unsere moderne Gesellschaft.

Prozesssteuerung als Angriffsziel

Eine erhöhte Verwundbarkeit durch Vernetzung besteht auch auf dem Gebiet der industriellen Prozesssteuerung. So genannte SCADA-Systeme steuern Industrieanlagen und werden etwa in der Telekommunikation, im Transportwesen, aber auch in der Stromversorgung eingesetzt. Aus organisatorischen und ökonomischen Gründen werden diese Systeme zunehmend untereinander oder mit anderen Netzen verbunden. Das bringt neue Angriffspunkte mit sich. Denkbar ist etwa, dass ein Angreifer über das Bürokommunikationsnetz eines Betreibers Zugriff auf die Prozesssteuerungssysteme erlangt. Dann könnte er gängige Internet-Schadprogramme dazu verwenden, das System anzugreifen. Schon kurze Störungen können erhebliche Schäden verursachen. Beispielsweise fiel in den Vereinigten Staaten ein Atomkraftwerk volle 48 Stunden aus, weil das Prozesssteuerungssystem von einem Softwareupdate des Bürokommunikationsnetzes gestört wurde.

Das größte Sicherheitsrisiko ist der arglose Mitarbeiter „Heinz“

Prinzipiell gefährden drei Faktoren die IT-Sicherheit: technische Defekte, menschliches Versagen und kriminelle Angriffe. Ein IT-Sicherheitsexperte der Bundesagentur für Arbeit sagte kürzlich, die größte Sicherheitslücke in der IT sei „Heinz“. Heinz steht für den Mitarbeiter, der sich der Gefahren nicht bewusst ist. Der seinen USB-Stick arglos im Copy-Shop oder im Internet-Café benutzt und darüber Schadprogramme ins eigene Netzwerk einschleust. Natürlich wäre Heinz‘ Verhalten ungefährlich, wenn es keine Viren oder Würmer gäbe, die von Freizeit-Hackern, Kriminellen oder gar staatlichen Auftraggebern in Umlauf gebracht werden. 

Das Bundesamt für Sicherheit in der Informationstechnik beobachtet auf dem Gebiet der so genannten Cyber-Kriminalität eine zunehmende Professionalisierung. Die Zahl der Angriffe nimmt zu, ebenso wie deren Qualität. Das betrifft sowohl die technische Raffinesse als auch die Geschwindigkeit, mit der die Angriffe nach Bekanntwerden neuer Schwachstellen durchgeführt werden. Häufig sind dabei nicht Einzeltäter am Werk, sondern internationale Netzwerke. 

So wurde Estland im Frühjahr 2007 zum Opfer der bisher größten Hacker-Attacke. Die Täter hatten mehr als eine Million Computer unter ihre Kontrolle gebracht; die Angriffe kamen aus 178 Ländern. Und das jüngste Beispiel ist eben der Wurm Stuxnet als größter digitaler Angriff auf kritische Infrastrukturen. „Der digitale Erstschlag ist erfolgt“, titelte die Frankfurter Allgemeine. Mittlerweile wird vermutet, dass die Vereinigten Staaten und Israel mit dem Wurm gezielt iranische Atomanlagen angegriffen haben. 

Stuxnet sucht nach Programmen von Siemens. Er ist in der Lage, das Territorium zu erkennen, in dem er sich befindet und in dem er aktiv werden soll. Seine volle Wirkung entfaltet der Schädling jedoch erst, wenn er eine bestimmte Anlage oder einen spezifischen Prozess entdeckt hat, auf den er ursprünglich angesetzt war. Nach monatelangen Analysen gehen Experten davon aus, dass der Wurm Zentrifugen manipuliert, die – besonders im Iran – zur Uran-Anreicherung genutzt werden. Die Stuxnet-Entwickler haben ein gutes Dutzend anspruchsvolle Schadprogramme zu einem Supervirus zusammengebaut. Sie haben vier bis dahin unbekannte Windows-Sicherheitslücken ausgenutzt, so genannte Zero-Day-Exploits. Es handelt sich um exklusives Wissen, denn Zero-Day-Exploits sind nicht einfach zu finden. Auf dem Schwarzmarkt haben sie einen Wert von etwa einer Viertelmillion Euro. Das lässt Rückschlüsse auf die Ressourcen zu, die den Autoren zur Verfügung standen. 

Der Direktor der CIA, Leon Panetta, prophezeite im vergangenen Jahr: „Das nächste Pearl Harbor wird ziemlich sicher eine Cyber-Attacke auf unser Stromnetz sein.“ Die Bedrohung durch Cyber-Attacken wird mittlerweile als so schwerwiegend eingestuft, dass die Nato erwogen hat, dann den Bündnisfall auszurufen. Problematisch ist allerdings, dass die Aggressoren nur selten einwandfrei identifiziert werden können.

Klar ist jedenfalls, dass Informationsinfrastrukturen durch derartige Attacken massiv gefährdet sind. Um ihre Sicherheit zu gewährleisten, hat die Bundesregierung im Jahr 2005 den nationalen Plan zum Schutz der Informationsinfrastrukturen (NPSI) verabschiedet. Parallel schafft die EU mit der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) eine zentrale Stelle zur Bekämpfung von Cyberangriffen und -störungen. Ein Ziel ist die grenzübergreifende Zusammenarbeit zwischen nationalen IT-Notfallteams.

Allerdings sind die Mitgliedsstaaten wie die ENISA auf die Kooperation der Industrie angewiesen: Allein in Deutschland befinden sich die kritischen Infrastrukturen zu 80 Prozent in privatwirtschaftlicher Verantwortung. Außerdem müssen die Mitgliedsstaaten untereinander zusammenarbeiten. Das ist keine Selbstverständlichkeit: Beispielsweise verhindern nationale Interessen seit Jahren, den gemeinsam beschlossenen europaweiten freien Eisenbahnmarkt zu verwirklichen. Es ist nicht zu erwarten, dass nationale Egoismen hintan gestellt werden, wenn es um die Versorgungs- und IT-Wirtschaft geht.

Klare Zuständigkeiten wären ein hilfreicher erster Schritt

Und auch der – besonders im IT-Bereich – zunehmend global agierenden Wirtschaft fehlt es zurzeit noch an Gefahrenbewusstsein. Kommt es hier nicht schnell zu multinationaler und konzernübergreifender Zusammenarbeit und dem wechselseitigen Austausch über neue Entwicklungen, könnte der nächste Angriff auf eine kritische Infrastruktur unvorstellbare Schäden verursachen. Deshalb müssen die wirtschaftlichen und nationalen Interessen, die die effektive Zusammenarbeit verhindern, teilweise zurückgestellt werden – denn wenn der worst case eintritt, verlieren alle Beteiligten gleichermaßen. 

In einem ersten Schritt brauchen wir klare Organisationsstrukturen und Zuständigkeiten auf nationaler Ebene. Wie die Werthebach-Kommission kürzlich festgestellt hat, fehlt es bei der Bekämpfung der Kriminalität auf dem Gebiet der Internet und Kommunikationstechnologie (IuK) an einem systematischen Vorgehen, an behördenübergreifender Koordination sowie an der gezielten Fortbildung des Personals. Die Zusammenarbeit zwischen den staatlichen Behörden muss also verbessert werden. 

Koordination statt Kompetenzwirrwarr

In der Diskussion über IuK-Kriminalität wird hingegen oft ausgeblendet, dass diese auch kriminelle Angriffe auf kritische Infrastrukturen umfasst. Hier hat neben dem Bundeskriminalamt und dem Bundesamt für Sicherheit in der Informationstechnik auch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe Kompetenzen entwickelt. Da sich die drei Behörden in ihren verschiedenen Ausrichtungen ergänzen, spricht vieles dafür, ihre Zusammenarbeit zu institutionalisieren und ein gemeinsames Strategiezentrum zu bilden. Notwendig wäre eine Stelle mit Überblick und gut ausgebildetem Personal, kein Kompetenzwirrwarr oder gar konkurrierende Behörden. Schließlich bedarf es der gezielten und intensiven Aufklärung und Sensibilisierung der Bürgerinnen und Bürger. Unaufgeklärte Verbraucherinnen und Verbraucher, die ihre Computer nicht schützen, geben Hackern erst die Möglichkeit, Botnetze zu schaffen für groß angelegte Angriffe auf IT-Infrastrukturen. 

Die Bevölkerung unterschätzt die Gefährdung der IT-Sicherheit. Auch in der Politik weisen bisher nur wenige Fachleute auf das Problem hin. Berichterstatter und Sicherheitsbehörden allein können den Bewusstseinswandel jedoch nicht bewirken. Das Thema muss dringend raus aus den Hinterzimmern, raus aus den Fachkongressen und rein in die Öffentlichkeit. «

zurück zur Person