zurück zum Artikel

Sicherheitsexperten gehen davon aus, dass die Cyberangriffe auf das ukrainische Stromnetz im Jahr 2015 ein Test waren: Staatliche Hacker, etwa aus Russland, sollen schlimmeres vorbereiten. Wir schützen sich hierzulande Firmen und Behörden vor den Folgen?

Im Dezember 2015 griffen Unbekannte mehrere Energieversorger in der Ukraine an [1]. Mit Hilfe einer Schadsoftware legten sie fast 30 Umspannwerke und Schaltanlagen lahm. Zudem behinderten sie das Notrufsystem des Landes. Für fast 230.000 Menschen fiel deshalb kurz vor Weihnachten der Strom aus. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) und andere IT-Spezialisten vermuten russische Hacker hinter dem Angriff. Dabei handelt es sich allerdings auch Jahre später nur um eine Vermutung – aufgeklärt ist der Vorfall nach wie vor nicht.

Der Angriff wird immer wieder als Beispiel für staatlich organisierte Hackerangriffe und die Verwundbarkeit von vernetzten Systemen herangezogen, obwohl der Fall NotPetya im Jahr 2017 [2] wahrscheinlich deutlich größere Schäden angerichtet hat. Auch hier deutet vieles auf staatliche russische Hacker als Drahtzieher hin. Trotzdem sorgen sich Experten besonders um kritische Infrastruktur: Energiekonzerne, Wasserwerke, Krankenhäuser, Banken und Flughäfen. Auch Kontrollzentren im Schienenverkehr und die Telekommunikation stehen im Fokus.

Mit Mesh-Netzwerken gegen den drohende Kommunikationskollaps

Wie schützen sich Unternehmen, etwa die Deutsche Bahn und die Deutsche Flugsicherung, vor Attacken gegen ihre Rechnernetze? Und falls es tatsächlich zum Alptraum-Szenario kommen sollte, welche Notfallmaßnahmen entwickeln Forscher für diesen Fall? Aus Sicht vieler Unternehmen bedeutet die Vernetzung ihrer Systeme Chance und Risiko zugleich. Einerseits bringt sie wirtschaftliche Vorteile, andererseits geht die Effizienz oft zu Lasten der Sicherheit. An der Technischen Universität (TU) Darmstadt beschäftigt man sich deshalb schon länger mit der Frage, was es bedeutet, wenn kritische Infrastrukturen – aus welchen Gründen auch immer – nicht mehr funktionieren.

Matthias Schulz, wissenschaftlicher Mitarbeiter an der TU, geht davon aus, dass im Ernstfall bei einem gezielten Angriff nach kurzer Zeit auch die Kommunikationsnetze ausfallen, zumindest die in privater Hand. Deshalb haben die Wissenschaftler zusammen mit der Uni Kassel, dem Bundesamt für Bevölkerungsschutz und dem Bundesforschungsministerium im Forschungsprojekt Nicer eine App namens Smarter entwickelt. Über solch ein System kann künftig vielleicht in Krisenlagen kommuniziert werden, wenn das Mobilfunknetz zusammengebrochen ist und es keine Internetverbindung gibt.

Das Ganze funktioniert über ein Mesh-Netzwerk: Per WLAN verbindet sich das Smartphone mit einem anderen Geräten, auf denen die App geladen ist. Die wiederum vernetzen sich mit weiteren Geräten im Umfeld. "Im freien Feld bekommen wir Reichweiten von 250 Metern von Smartphone zu Smartphone hin", erläutert Schulz. Über dieses ad hoch aufgebaute Peer-to-Peer-Netz können digitale Hilferufe oder Lebenszeichen bei jedem Funkkontakt zweier Telefone weitergeleitet werden, bis sie das Zielgerät erreichen.

Bergungsroboter und Drohnen

"Denkbar ist auch, dass wir mit Hilfe von Drohnen bei Katastrophen Ad-Hoc-Luftbrücken bauen, etwa um zwischen Teilnehmern, die voneinander abgeschnitten sind, wieder eine Kommunikation herzustellen. Oder auch um sich ein Bild von der Lage vor Ort zu machen", erläuterte Schulz.

Sein Kollege Stefan Kohlbrecher forscht mit seinem Team derweil an autonom operierenden Robotern verschiedenster Art, für den gleichen Einsatzzweck. "Stellen wir uns vor, es gibt in einem Kraftwerk ein Problem und die Kommunikation bricht zusammen. Dann könnten die Rettungskräfte ihr eigenes Kommunikationsnetzwerk aufbauen, indem sie eine Drohne hinschicken, die Daten einsammelt und diese wieder in der Kommandozentrale ablädt", sagt er. Die Technik bietet noch mehr Optionen: Ein rollender Bodenroboter kann im Krisenfall in unzugängliche Bereiche geschickt werden, etwa in ein verstrahltes oder einsturzgefährdetes Haus, um es zu vermessen. Das Gerät kommt mit einer 3D-Karte zurück. Opfer kann der Roboter mit einer Wärmebildkamera erfassen und dann eintragen.

Angriffsziel Flugsicherung

Während sich die Darmstädter Forscher mit Worst-Case-Szenarien befassen, versuchen Unternehmen zu verhindern, dass es überhaupt so weit kommt. Bei der Deutschen Flugsicherung (DFS) in Langen zum Beispiel wird deutlich, wie Experten Computernetze absichern, die kritische Infrastruktur steuern. Auf dem DFS-Campus befindet sich eine von vier Flugsicherheits-Kontrollzentralen in Deutschland. Dort und im Tower an 16 Flughäfen sind rund 2000 DFS-Lotsen im Einsatz und überwachen täglich bis zu 10.000 Flüge im deutschen Luftraum.

Die operativen Systeme sind von der Außenwelt abgeriegelt. Über das geschlossene Netz werden Fluginformationen und Radardaten übertragen. Dieses Netz ist streng getrennt vom Netz für die Bürokommunikation, das mit dem Internet verbunden und, wie jedes größere Firmennetz, regelmäßig automatisierten Hackerattacken ausgesetzt ist. Ganz ähnlich sind zum Beispiel auch die Netze in europäischen Atomkraftwerken aufgebaut.

Mehrere Firewall-Ringe sollen Angreifer aufhalten

In der Kontrollzentrale, deren Gebäude autark ist und ein eigenes Heizsystem und eine eigene Stromversorgung besitzt, gilt eine besondere digitale Schutzklasse. "Wir nennen es Schalenmodell", erläutert ein IT-Experte der DFS. Es gibt mehrere Lagen von Firewall-Ringen. "Durch die muss ein Angreifer erst einmal durch, bis er an den Kern unseres operativen Geschäfts käme." Bislang sei erst eine Attacke registriert worden. Im Herbst habe ein Angreifer mit chinesischer Adresse versucht, einzudringen. Er sei aber schon an der ersten Schicht gescheitert.

An der fortschreitenden digitalen Vernetzung führt für die Luftraumüberwacher kein Weg vorbei, auch wenn neue Gefahren drohen. Denn mit der analogen Punkt-zu-Punkt-Verbindung, über die die Kontrollzentren früher mit den Radaranlagen verbunden waren, ist der angestiegene Luftverkehr nicht mehr zu bewältigen. Dabei ist man sich in Langen sicher: "Die gezielten Hackerangriffe werden zunehmen."

Auch die Deutsche Bahn hat das Risiko erkannt

Beim Angriff des vermeintlichen Erpressungstrojaners WannaCry im Jahr 2017 [3] wurde die Deutsche Bahn mit am schwersten in Mitleidenschaft gezogen. Auch hier gehen manchen Sicherheitsforscher mittlerweile von einem staatlichen Angriff aus, zwischenzeitlich war Nordkorea als Urheber [4] im Gespräch. Spätestens nach WannaCry ist also auch der Bahn klar, dass mehr Vernetzung auch mehr Risiko durch Angreifer bedeutet. Und dabei plant die Bahn für die die kommenden Jahre ein großes Digitalisierungsprogramm. So soll das Stellwerksystem vernetzt und die Zug-zu-Zug-Kommunikation ausgebaut werden. Ein Ziel ist, die Abstände zwischen den Zügen zu verringern und mehr Züge auf die Strecke zu bringen.

Christian Schlehuber, Teamleiter Cybersecurity bei der DB Netz AG, ist sich des Risikos bewusst: "Alles, was man sich vorstellen kann, ist prinzipiell möglich." Also von Verspätungen bis zum absichtlichen Herbeiführen von Unfällen. "Eine hundertprozentige Sicherheit gibt es nie. Aber man muss zumindest sagen können: Wir haben das getan, was möglich war."

Von Anfang an auf die Sicherheit schauen

Für den Modernisierungsprozess hat sich die DB Netz AG Unterstützung von Experten gesucht. "Viele kritische Infrastrukturen sind noch immer nicht digital, die analogen Strukturen teils Jahrzehnte alt", sagt Professor Christoph Krauß vom Fraunhofer-Institut für Sichere Informationstechnologie und rät: "Bei der Modernisierung muss von Anfang an der Faktor IT-Sicherheit an erster Stelle stehen."

Gemeinsam mit Fraunhofer, der TU Darmstadt und der Technikfirma Sysgo AG soll nun ein Sicherheitskonzept für die Bahn erstellt werden. "Es geht beispielsweise darum, die Kommunikation dahingehend abzusichern, dass ein Angreifer ein falsches Steuersignal herbeiführt", erläutert Krauß.

Feindbild russischer Hacker

Und wie wahrscheinlich ist es, dass ein wohl politisch motivierter Angriff wie in der Ukraine auch Deutschland trifft? "Die Ukraine war für die Russen ein Testfeld. Dort haben sie geübt, die kritische Infrastruktur eines Landes an den Boden zu bringen", sagt ein renommierter IT-Sicherheitsexperte, der nicht namentlich genannt werden will. Mit Kollegen beobachtet er europaweit bei kritischen Infrastrukturen immer wieder Angriffe, die "sehr russisch aussehen".

Laut den Sicherheitsforschern wird viel indirekt agiert. Die Hacker greifen also nicht das Unternehmen selbst an, sondern einen kleineren Dienstleister. Dann verwenden sie beispielsweise dessen Mailprogramm, um präparierte Dokumente an das eigentliche Ziel zu schicken.

Die Ukraine war Vorbereitung

"Die Angreifer testen aus, wie weit sie kommen. Sie schauen sich um, zerstören aber nichts und ziehen sich wieder zurück." Das Problem dabei: Solche Attacken ohne sichtbare Folgen würden schnell übersehen. Dabei könnten die Hacker Unmengen von Informationen sammeln, um einen Konzern lahmzulegen. Sie verfolgen nach Ansicht des Experten eine Vorbereitungsstrategie: "Wenn es zu einer Auseinandersetzung kommt, können sie ganz schnell ganz viel Schaden anrichten. Das ist die logische Weiterentwicklung der Erfolge, die sie in der Ukraine hatten." (mit Material der dpa) / (fab [5])

URL dieses Artikels:
https://www.heise.de/-3948553

Links in diesem Artikel:
[1] https://www.heise.de/news/Stromausfall-in-der-Ukraine-augenscheinlich-durch-Hacker-ausgeloest-3063343.html
[2] https://www.heise.de/news/NotPetya-Maersk-erwartet-bis-zu-300-Millionen-Dollar-Verlust-3804688.html
[3] https://www.heise.de/news/WannaCry-Was-wir-bisher-ueber-die-Ransomware-Attacke-wissen-3713502.html
[4] https://www.heise.de/news/WannaCry-US-Regierung-beschuldigt-Nordkorea-3921444.html
[5] mailto:contact@fab.industries

Copyright © 2018 Heise Medien