Anfällige Anlagen

Eine neue nationale Cyber-Abwehr soll verhindern, dass Hacker die zunehmend vernetzte Industrie in Deutschland angreifen und sabotieren.

Michael Hange macht mit seinen grau melierten Haaren und der dezenten Brille so gar nicht den Eindruck eines "Cyber-Sheriffs", zu dem die "Bild"-Zeitung den Mathematiker kürzlich ernannt hat. Entspannt blickt der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus seinem Büro im siebten Stock eines Zweckbaus an der Godesberger Allee in Bonn auf das Grün des Venusberg-Waldes. Wenige Kilometer entfernt sitzt in einem ehemaligen Geheimdienst-Gebäude im Stadtteil Mehlem eine Gruppe von Beamten des BSI, des Bundeskriminalamts, des Verfassungsschutzes und anderer Sicherheitsbehörden an ihren Rechnern. Sie bildet den Kern des im Juni eröffneten Cyber-Abwehrzentrums, dessen Sprecher Hange ist. Der von Geheimniskrämerei umgebene Trupp soll Behörden und kritische Infrastrukturen wie Elektrizitätswerke, Verkehrsnetze oder Banken vor Sabotageakten aus dem Internet schützen und deren Urheber dingfest machen.

55.000 neue Schadprogramme kursieren jeden Tag im Netz, vier- bis fünfmal täglich erhalten Regierungsstellen E-Mails mit gefährlichen Trojanern. Seit einigen Wochen überschlagen sich die Berichte über gravierende Angriffe auf Netzwerke und Datenbanken von Organisationen wie der NATO oder dem Internationalen Währungsfond – der viel beschworene "Cyberkrieg" wird zunehmend heftiger geführt. Gleichzeitig bereitet den staatlichen Cyber-Spezialisten auch die um sich greifende Vernetzung Kopfzerbrechen. Die sogenannten Cyber-Physical Systems dringen in immer neue Bereiche des privaten und wirtschaftlichen Lebens vor: Das drahtlos mit einem Leitzentrum verbundene Auto ruft auf Knopfdruck den Reparaturdienst, der Fernseher stellt eine Verbindung zum Internet her, wo im Online-Shop das gerade beworbene Traumkleid bestellt werden kann. Bis zu 15 Milliarden vernetzte Geräte werde es bis zum Jahr 2015 geben, schätzt der US-Marktforscher IDC.

Die Vernetzung erleichtert nicht nur den Verbrauchern das Leben, auch die Industrie profitiert: In den letzten Jahren haben immer mehr Unternehmen ihre SCADA-Systeme (Supervisory Control and Data Acquisition) zur Steuerung industrieller Prozesse mit der Außenwelt gekoppelt. In der "intelligenten Fabrik" der Zukunft können Techniker den Produktionsprozess von einem Smartphone aus dirigieren, durch die Direktverbindung der Buchhaltungssoftware mit der Automatisierungsanlage werden Bestellungen und Produktion aufeinander abgestimmt.

Dass der Effizienzgewinn durch vernetzte Technik zugleich ein großes Potenzial für Angriffe von Hackern, Kriminellen und Geheimdiensten birgt, machte im vergangenen Jahr der Computerwurm Stuxnet deutlich: Der mit großem Aufwand und viel Insider-Wissen über spezielle Siemens-Steuerungen programmierte Schädling gelangte nach heutiger Kenntnis über mehrere Software-Lücken in Microsoft-Systemen und den USB-Stick eines Mitarbeiters in die iranische Urananreicherungsanlage Natans. Er richtete dort Schaden in Zentrifugen an und warf Teherans Atomprogramm Schätzungen zufolge um Jahre zurück. Wie ein Weckruf habe der Angriff auf die Automatisierungsbranche gewirkt, sagt BSI-Chef Hange. Plötzlich war bewiesen: Die einst als autonome Software-Inseln konzipierten SCADAs sind nicht unverwundbar. "Die Angreifer dringen bis in die Prozesssteuerung vor, indem sie zum Beispiel die Bürorechner normaler Mitarbeiter kompromittieren", erläutert Timo Steffens, Experte für die IT-Sicherheit von Industrieanlagen beim BSI.

Die Prinzipien, nach denen Stuxnet funktioniert, könnten zu einer Blaupause für die immer professioneller agierende Hackerszene werden. Der ehemalige ranghohe CIA-Experte Cofer Black warnte Anfang August auf der Cyber-Sicherheitskonferenz "Black Hat" in Las Vegas gar davor, dass Terroristen sensible Anlagen künftig wohl eher per Fernsteuerung über das Internet sabotieren werden als mit Sprengsätzen. "Die Gewährleistung von Sicherheit im Cyberraum und der Schutz kritischer Infrastrukturen vor IT-Angriffen sind zu existenziellen Fragen des 21. Jahrhunderts geworden", formuliert es ungewohnt dramatisch auch das Bundesinnenministerium.

Dennoch besteht die neue Abwehrmannschaft des BSI in Bonn-Mehlem vorläufig nur aus zehn Mitgliedern. Zu wenige, meint der Hamburger IT-Fachmann Ralph Langner, der maßgeblich zur Entschlüsselung von Stuxnet beigetragen hat. Das Zentrum solle vor allem als eine Informationsdrehscheibe dienen und brauche deshalb vorerst nicht noch mehr Mitarbeiter, hält BSI-Präsident Michael Hange entgegen. Die Beamten dort müssten vor allem den Kontakt zu ihren jeweiligen Behörden halten, das operative Geschäft werde dann je nach Zuständigkeit in den verschiedenen Fachabteilungen erledigt. Allein bei der technischen Analyse arbeiten derzeit 150 Experten des BSI dem Zentrum zu.

Eine erste Bewährungsprobe hat der Bonner Cyber-Schutztrupp bereits hinter sich: Im Juli drang eine Hacker-Gruppe namens "No-Name-Crew" auf Server von Zoll und Polizei vor und kaperte brisante Daten. In Mehlem wurden sofort Sonderschichten für die Analyse des Angriffs angesetzt. Heute ist klar, dass die Eindringlinge sich Zugang zum Privat-PC eines Polizisten verschafften und darüber in die Behördenserver einbrachen. Ein 23-jähriger Hacker wurde festgenommen, die Staatsanwaltschaft ermittelt. "Der Fall hat uns vor allem eines gelehrt: Wir müssen sehr schnell reagieren", sagt Hange.

Einer Behörde wie dem Zoll kann das BSI laut Gesetz vorschreiben, wie sie ihre Software-Systeme absichern soll. Wenn es um Unternehmen geht – die immerhin 80 Prozent aller kritischen Infrastrukturen betreiben –, haben Hange und seine Cyber-Crew kein Weisungsrecht. "Für uns ist das Einwirken da mitunter schwer, zumal die jeweiligen Industrieprozesse häufig auch sehr speziell sind", sagt der BSI-Chef.

Und gerade die Betreiber von SCADA-Systemen sind konservativ: Das Umprogrammieren der oft veralteten Software sei ein langwieriges Unterfangen, sagt Steffen Peter vom Leibniz-Institut für innovative Mikroelektronik in Frankfurt/Oder. Ein Anhalten der Produktion kann Millionen verschlingen: "Die Anlagen sind deshalb zum Teil 10 bis 20 Jahre im Dauerbetrieb, ohne dass etwas verändert wird", berichtet der Informatiker. Nach Angaben des BSI hat sich der Verkauf von Sicherheitskomponenten an Industriekunden seit Stuxnet zwar verdoppelt. Im Internet kursieren aber bereits automatische Tools, mit denen sich SCADA-Systeme auf mögliche Lücken wie unzulängliche Passwörter abklopfen lassen.

Die Automatisierungsbranche bemüht sich nach dem Stuxnet-Schock vor allem um Kundenberuhigung. Siemens richtete eine Support-Website ein und stellte innerhalb einer Woche einen Virenscanner zur Verfügung. Der Wurm sei weltweit nur bei 24 Kunden entdeckt und die Infektionen seien schnell bereinigt worden, erklärt ein Sprecher. Jüngste Datendiebstähle wie bei der Supermarktkette Rewe oder dem Elektronikkonzern Sony, bei denen in großem Stil persönliche Kundeninformationen über das Netz entwendet wurden, haben allerdings gezeigt, dass viele Unternehmen aus Angst vor Imageschäden immer noch zögerlich über Cyber-Angriffe informieren. Auch beim Design ihrer hauseigenen Netze lassen sie sich oft ungern in die Karten schauen. Dabei hänge der Erfolg des Cyber-Abwehrzentrums ganz entscheidend von der Kooperationsbereitschaft der Unternehmen ab, sagt BSI-Präsident Hange. Von schärferen gesetzlichen Auflagen hält Hange dennoch wenig. Sicherheit müsse schließlich auch "praktikabel" bleiben, sagt er. Und fügt mit schwachem Lächeln hinzu: "Ich bin eben eher ein Missionar als ein Cyber-Sheriff." (bsc)