Cyberangriffe auf amerikanisches Energieunternehmen möglich

Das größte staatliche Energieunternehmen der USA, die Tennessee Valley Authority (TVA), ist nach dem Bericht einer amerikanischen Bundesaufsichtsbehörde elektronisch verwundbar. Wie die Washington Post heute meldet, hält es das Government Accountability Office (GAO), eine Behörde, die dem Bundesrechnungshof in mancher Hinsicht ähnelt, für möglich, dass Cracker wichtige Systeme sabotieren könnten, die für die Stromversorgung von etwa 8,7 Millionen Amerikanern zuständig sind.

Der Bericht der Aufsichtsbehörde wurde von einem Ausschuss des Repräsentantenhauses für Innere Sicherheit angefordert, der sich mit Cyber-Security beschäftigt. Da das Netzwerk des Energieunternehmens mit dem Internet verbunden ist, sind nach Auffassung des GAO theoretisch Zugriffe auf Systeme möglich, welche die Energieerzeugung steuern. Sicherheitslücken, die man auf Computern und Netzwerken des Unternehmens entdeckt habe – hauptsächlich werden schlechter Antiviren-Schutz und leicht überwindbare Firewalls genannt –, könnten ausgenützt werden, um "lebenswichtige Steuersysteme zu manipulieren oder zu zerstören". "Im Endergebnis sind Systeme, welche die kritische Infrastruktur der TVA betreiben, dem gestiegenen Risiko unerlaubter Eingriffe bzw. Störungen durch interne oder externe Bedrohungen ausgesetzt", so der GOA-Bericht.

Manche Experten führen das gestiegene Risiko auf "Supervisory Control and Data Acquisition (SCADA)"- Systeme zurück, die es erlauben, technische Prozesse per Fernzugriff zu steuern und zu überwachen. In letzter Zeit sind in diesen Systemen immer  wieder  Sicherheitslücken entdeckt worden. Darüber hinaus berichtete die CIA Anfang dieses Jahres von Cyber-Angriffen auf Energieversorger – allerdings außerhalb der USA.

Die Washington Post zitiert jedoch auch Argumente von Sicherheitsexperten, welche die Situation nicht so dramatisch sehen. Demnach sei es für Cracker nicht so leicht, sich in Steuerungssystemen zurechtzufinden, die in Protokollen geschrieben sind, die auf den einzelnen Kunden zugeschnitten (custom protocols) und in Systeme eingebettet sind, die sie nie zuvor gesehen haben. Allerdings würde das Sicherheitssystem, das auf dem Prinzip des "security-by-obscurity" basiere, allmählich unterspült, weil die Betreiber vieler Anlagen von maßgeschneiderten, übernommenen Systemen ("legacy systems") auf gewöhnliche und bekannte Betriebssysteme wie Microsoft Windows oder Linux migrieren.

Die möglichen Sicherheitslücken konnten entdeckt werden, weil die TVA ein staatliches Unternehmen und dadurch öffentlicher Kontrolle unterworfen ist. Bei privaten Energieversorgern gibt es weit weniger Möglichkeiten der öffentlichen Einsichtnahme, entsprechend könnten hier noch wesentlich größere Risiken verborgen liegen. ()