Die unsichtbare Gefahr
Hacker bedrohen die Strom- und Gasversorgung in Nordrhein-Westfalen und versuchen, Unternehmen auszuspionieren. Wie sicher sind Kraftwerke, Kläranlagen und Pipelines?
Das Uniklinik Düsseldorf ist eines der besten Krankenhäuser Nordrhein-Westfalens. Es bietet die sogenannten Maximalversorgung. Egal welches Problem ein Patient hat, hier ist er gut aufgehoben. Vor allem, wenn es schnell gehen muss: Die Uniklinik ist wichtig für die Notfallversorgung des Rheinlands. Doch im September 2020 musste sich das Uniklinikum fast zwei Wochen lang von der Versorgung von Notfällen abmelden. Damals starb eine Patientin, weil der Krankenwagen sie statt in das Großkrankenhaus in Düsseldorf in eine Klinik nach Wuppertal bringen musste. Am Ende fehlten ihr die entscheidenden 30 Minuten, die über Leben und Tod entschieden. Schuld an dem Tod der Patientin und dem Ausfall des Uniklinikums Düsseldorf war nicht ein technischer Fehler oder Schlamperei. Die Uniklinik war Ziel eines Hackerangriffs geworden. Die Patientenverwaltung, die von der Attacke besonders schwer getroffen wurde, fiel wochenlang aus: Hacker hatten die Computer des Krankenhauses angegriffen. Danach machten Gerüchte die Runde: Die Klinik sei erpresst worden war eines, die Russen hätten angegriffen ein anderes. Doch mehr als zwei Jahre nach dem Schlag ist nur klar, dass nichts klar ist. Auf die Frage der, wer denn die Täter gewesen seien und was sie wollten, antwortet das Krankenhaus knapp: „Die Ermittlungen laufen über die Staatsanwaltschaft Köln und sind noch nicht abgeschlossen.“
Es gab in den vergangenen Monaten spektakuläre Anschläge auf das, was man kritische Infrastruktur nennt: In München fiel der Strom nach einem Brandanschlag auf Stromleitungen aus und in Herne und Berlin wurden Kommunikationskabel der Bahn durchtrennt. In der Folge fuhren in weiten Teilen Deutschlands die Züge nicht. Der spektakulärste Anschlag erfolgte unter Wasser und zerstörte die Gaspipelines Nordstream 1 und 2 in der Ostsee. Aber wie der Fall Düsseldorf zeigt, ist die unsichtbare Gefahr, die von Hackern ausgeht, ebenso bedeutsam und kann Menschenleben kosten. In Kreisen der Landesregierung gelten Cyberangriffe sogar als das größte Risiko, wenn es um Stromausfälle im kommenden Winter geht.
Vor allem Hacker aus Ländern wie Russland oder China haben die Betreiber der kritischen Infrastruktur, aber auch Technologieunternehmen und ihre Mitarbeiter im Visier. Was sich allerdings nicht alle Fachleute, die von der WELT AM SONNTAG gefragt wurden, aus Angst vor Klagen offen zu sagen trauen. Heiko Althoff ist da mutiger: „Wir werden“, sagt der IT-Chef der Emschergenossenschaft, „jeden Tag mehrere Tausend Mal angegriffen.“ Das sei nicht besonderes, fast jedem größeren Unternehmen wäre das mittlerweile so. „Die Angreifer sind bunt gemischt. Da sind junge Hacker bei, die einfach mal probieren wollen, ob sie bei uns durchkommen. Aber auch Profis aus Russland und China, die an unsere Daten wollen. Und dann gibt es natürlich noch die Kriminellen, die immer raffinierter werden.“ Es hätte schon Rechnungen gegeben, bei denen alles, sogar die Auftragsnummer, stimmte und nur die Kontonummer geändert worden war. „Als Unternehmen der kritischen Infrastruktur, sagt der Vorstandsvorsitzende der Emschergenossenschaft Uli Paetzel, „müssen wir uns regelmäßig vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizieren lassen. Zuletzt war das im Oktober der Fall. Wir sind also auf dem Stand.“ Die Genossenschaft sorgt mit ihrem Kanalnetz dafür, dass die Abwässer der Ruhrgebietsstädte nicht ungeklärt in den Rhein fließen. Aber das ist nicht ihre einzige Aufgabe: Über 842 Quadratkilometer des Reviers, eine Fläche doppelt so groß wie Köln, liegt unterhalb des Grundwasserspiegels. Das Unternehmen ist verantwortlich dafür, dass rund um die Uhr Pumpen laufen, die dafür sorgen, dass nicht ganze Städte im Wasser versinken. Kritischer als die Anlagen der Emschergenossenschaft kann Infrastruktur kaum sein.
Damit die IT, über die Pumpwerke, Kanäle und Kläranlagen gesteuert wird, möglichst sicher ist, betreibt das Unternehmen einen großen Aufwand. Mitarbeiter werden geschult, die PCs auf den Schreibtischen sind Teil eines abgesicherten Netzwerks, das ständig überwacht wird und alle Anlagen hängen an einer virtuellen Leitsteuerung, die ebenfalls stark gesichert sind. Und zur Not lassen sich alle Pumpen per Hand bedienen.
Nicht alle Unternehmen sind so offen wie die Emschergenossenschaft. Wie genau sich Netzbetreiber wie Amprion und Eon, der Energieversorger RWE und die Besitzer der großen Gasleitungen wie Thyssengas und Open Grid Europe (OGE) vor Angriffen aus dem Internet wappnen, mag auf Anfrage niemand mitteilen. Klar ist nur: Die Gefahr wird von allen erkannt. „Das Thema IT-Sicherheit ganz oben auf der Agenda“, sagt RWE, „Wir stehen hier regelmäßig mit den staatlichen Sicherheitsbehörden im Austausch und lehnen uns insbesondere an die jeweilige Lageeinschätzung des BSI an“ OGE und Thyssengas versichert: „Das Thema Cybersicherheit ist ein zentraler Aspekt unserer Geschäftstätigkeit, dem sicheren und zuverlässigen Gastransport.“ „Unser gruppenweites Cybersicherheitsteam“, teilt E.ON mit „verfolgt die Situation genaustens, während unsere Präventions- und Erkennungsmaßnahmen laufend aktualisiert werden.“
Tim Güneysu ist Sprecher des Horst Görtz Institutes für IT-Sicherheit in Bochum, einer der ersten Adressen in Europa, wenn es um das Thema Cybersicherheit geht. „Die meisten großen Unternehmen treiben viel Aufwand, um sich zu schützen“, sagt der Informatiker. Eigene Abteilungen für die Sicherung der Computer und Netze mit qualifizierten Mitarbeitern und aufwendige Softwarelösungen würden für ein hohes Maß an Schutz suchen.
Anders sieht es nach Ansicht von Güneysu häufig bei den kleinen und mittleren Unternehmen aus. „Die haben oft nicht die Ressourcen, die notwendig sind, die eigene IT abzusichern. Dazu käme, dass sie häufig ihre Attraktivität für Angreifer unterschätzen: „In die Medien schaffen es meistens nur die Angriffe auf große Unternehmen oder Institutionen wie Universitäten. Viele glauben, sie wären nicht im Visier von Hackern, aber das ist leider ein Irrtum.“ Ein Schwachpunkt würde Hackern genügen, um in das System einzudringen und vielleicht wertvolle Daten über die Konstruktion von Produkten zu stehlen. Regelmäßig finden am Horst Görtz Institut Veranstaltungen wie die Innovationskonferenz Cybersicherheit 2022 statt. Dort treffen IT-Experten auf Vertreter der Politik und Unternehmen. Dabei geht es nicht nur um die IT-Sicherheit für Unternehmen, sondern auch um IT-Sicherheit als Standortfaktor. Vor allem in Bochum haben sie in den vergangenen Jahren zahlreiche Unternehmen der Branche gegründet oder angesiedelt. An Wissen fehlt es nicht in Nordrhein-Westfalen. Es müsste nur stärker umgesetzt werden.
Der Artikel erschien in einer ähnlichen Version bereits in der Welt am Sonntag.
Zu diesem Thema habe ich 4 Anmerkungen:
1. Der größte Knackepunkt bei der IT Sicherheit ist die Frage der Lösegeldzahlungen. Viele Unternehmen,
die in den letzten Jahren durch Cyberangriffe erpresst wurden, haben stillschweigend gezahlt. Es soll jetzt
keiner glauben, dass diese Gelder in irgendeinem St. Petersburger Bordell verprasst werden – die Cybergangstergruppen muss man sich als mittelständische Unternehmen vorstellen. Die Lösegelder werden in neue Technik und teuerbezahlte IT Fachkräfte investiert.
Es gibt keine absolut sichere IT Technik und Software, sondern nur IT Technik und Software, die in soweit sicher ist, als das sie Cyberangriffe zu teuer und zu aufwendig macht. Je mehr Lösegeld gezahlt wird, desto mehr Geld und Aufwand können bei zukünftigen Cyberangriffen investiert werden, desto unsicherer wird auch jetzt noch sichere IT Technik und Software.
Die Forderung nach einem absoluten Verbot von Lösegeldzahlungen steht im Raum. Allerdings steht in der Praxis so manche Firma vor dem Ruin, wenn nicht gezahlt wird.
Auch muss über ein Verbot diskutiert werden, solche Lösegeldzahlungen über Versicherungen abzusichern. Diese verleiten dazu, die interne Cybersicherheit zu vernachlässigen.
2. Die Frage nach dem sogenannten Schwachstellenmanagment. Stattliche Stellen haben Wissen über Sicherheitslücken, behalten dieses aber für sich, um diese Schwachstellen für Spionage, Kriminalitätsbekämpfung, oder gar für Hackbacks einsetzen zu können. Es wäre naiv, zu glauben, dass nur die Guten diese Sicherheitslücken finden, aber die bösen Buben nicht!
Jede offen gelassene Sicherheitslücke ist ein Gefährdung der deutschen Wirtschaft. Experten schätzen die Schäden durch Cyberangriffe für die deutsche Wirtschaft auf jährlich 223 Millarden Euro.
Jede von stattlichen Stellen erkannte Sicherheitslücke muss zeitnah geschlossen und veröffentlicht werden.
3. Die digitale Sicherheit und das Digitale im allgemeinen nehmen in der Kompetenzverteilung der Bundesregierung nicht den Raum ein, der notwendig wäre. Die digitale Sicherheit ist in der deutschen Bundespolitik nur ein Wurmfortsatz in einem Innenministerium, deren Chefin mit digitalen Themen absolut überfordert ist, und sich lieber um Armbinden kümmert, als um die digitale Sicherheit der deutschen Wirtschaft.
4. Ich sehe in Open Source Software einen wichtigen Baustein der Cybersicherheit in Deutschland. Wer eine wirklich nachhaltige Digitalisierung der deutschen öffentlichen Verwaltung will, sollte sich vorher einmal Pardus oder AstraLinux angesehen haben. Nicht, um diese so zu übernehmen, sondern um eine grobe Richtung zu erkennen, wie eine durchdachte Digitalisierung aussehen könnte.
Danke für den Hinweis auf Pardus und AstraLinux. Aber hat es mit LiMux nicht schon einen Versuch gegeben, der leider kein wirklicher Erfolg wurde? Warum auch immer….
LiMux, AstraLinux und Pardus:
Bei Pardus und AstraLinux wurde zuerst auf nationaler Ebene ein grundsolides Betriebssystem auf OpenSource Bassis entwickelt, und dann den öffentlichen Verwaltungen angeboten.
Bei LiMux hat eine einzelne Kommune sich an der Entwicklung eines eigenen Betriebsprogramm überhoben. Dazu kamen kamen noch massive wirtschaftliche Interessen, siehe Mikrosoft Sitz in München.
Diese ständigen Verweise auf LiMux sind meiner Meinung nach Ausdruck von Denkfaulheit und digitaler Orientierungslosigkeit, zumal heute Linux und OpenSource europaweit in vielen öffentlichen Verwaltungen eingesetzt wird.
Ich finde, dass ein nationales allgemein verfügbares und frei nutzbares Betriebssystem auf OpenSource Basis genauso Teil der öffentlichen Infrastruktur sein sollte, wie Brücken, Strassen oder Stromleitungen.
Am Anfang einer durchdachten Digitalisierung muss das Betriebssystem stehen. Das muss grundsolide konzipiert sein, durch OpenSource Transparenz, Sicherheit und Vertrauen gewährleisten. Erst auf einem solchen Betriebssystem kann dann die weitere Digitalisierung aufgebaut werden.
Eine Digitalisierung auf der Basis, das öffentliche Verwaltungen öffentliche Aufträge für einzelne Projekte vergeben, versetzt mich in Angst und Schrecken um meine Daten und meine digitale Identität.
@Ein staunender Bauklotz
#3
Danke für die Zusammenfassung. So kann ich das Ergebnis von der Linux-Einführung besser einordnen. Ich habe es sowieso nicht verstanden, warum der Staat seine und die Daten seiner Bürger der Fa. M$ in den Rachen wirft.