| 
18.6.18 Blackout - Stromausfall, das große Risiko
Ein wichtiger Beitrag des SZ-Magazin beschreibt die Risiken und Szenarien, die mit einem großräumigen Stromausfall einhergehen. Angriffe auf das Stromnetz gehören inzwischen zum Alltag - und könnten bei Erfolg immense Folgen haben.
(Foto: Illustration: Dirk Schmidt)
Als das Licht ausgeht, schaut Oleksei Yasinsky sofort aus dem Fenster seiner Wohnung in Kiew. Er blickt in schwarze Schluchten, alle Häuser im Dunkeln. Nicht schon wieder! Er steht von der Couch auf, holt Kerzen, sieht auf die Uhr, sie zeigt Mitternacht. Gerade eben lief auf seinem Fernseher der Hollywoodfilm Snowden. Dann fiel der Strom aus. Es ist der 17. Dezember 2016, der Tag, von dem Technikexperten wie er später sagen, dass es ein Wendepunkt gewesen sei. In dieser Nacht ist Yasinsky sich sicher: Die Hacker sind zurückgekehrt.
Der Stromausfall in Kiew dauert kaum mehr als eine Stunde, um ein Uhr fließt die Energie zurück in die Häuser. Doch Yasinsky erkennt ein Muster, das ihm Sorge macht. Schon im Vorjahr um diese Zeit gingen in der Ukraine die Lichter aus - seinerzeit vor allem im Westen des Landes. Schnell wurde klar: Hacker waren in die Rechner der Stromversorger eingedrungen und hatten die Kontrolle erlangt. Sie konnten den Strom einfach ausknipsen. Computerexperten mit einem Hang zu düsteren Szenarien hatten so einen Angriff lange vorher gesagt. Kaum jemand hatte ihnen zugehört, denn passiert war ja nie etwas. Bis jetzt.
Yasinsky war einer der Ersten, der hinter dem Stromausfall mehr sah als eine technische Panne. Er arbeitet für die Firma Information Systems Security Partners, die sich seit Jahren durch interne Netzwerke von gehackten Konzernen in der Ukraine pflügt, um digitale Spuren zu finden, die die Hacker hinterlassen haben. Schon 2015 zeigte sich: Mindestens sechs Monate lang waren die Hacker unbemerkt in den Netzen des Energieversorgers herumgeschlichen und hatten Systeme ausspioniert mit dem Ziel, sie lahmzulegen.
Außerhalb der Ukraine nahm die Öffentlichkeit zunächst kaum Notiz von den beiden Vorfällen. Doch IT-Sicherheitsexperten auf der ganzen Welt schreckten auf. Diejenigen unter ihnen, die üblicherweise gern scherzen, dass Eichhörnchen durch versehentliches Nagen an Leitungen für mehr Stromausfälle verantwortlich seien als Hacker, waren nach dem 17. Dezember 2016 erstaunlich still. Denn so eine gezielte, professionelle Attacke kannten sie bisher nur aus der Theorie, als Horrorszenario aus Lehrbüchern oder Thrillern.
Ohne Strom keine Heizung, kein Kühlschrank, keine Waschmaschine, kein Festnetz, kein Internet, vielleicht per Smartphone, aber nur solange die Batterie hält, kein Wasser aus der Leitung, keine Dusche, keine Toilettenspülung, weil die Pumpen nicht funktionieren. Ohne Strom keine Straßenbahnen, keine Straßenlaternen, keine Ampeln, keine Supermarktkassen, vielleicht erst noch etwas Bargeld, aber keine Geldautomaten, keine Aufzüge, kein Tanken, keine Apotheken, keine Autobahntunnel. Die schließen, denn: ohne Strom kein Licht und keine Belüftung. Kein öffentliches Leben, wie man es kennt.
Wie ein großer Stromausfall eskalieren könnte, erzählt der österreichische Autor Marc Elsberg im Roman Blackout von 2012, der monatelang auf den Bestsellerlisten stand. Auf 800 Seiten wird beschrieben, wie Hacker einen tagelangen Stromausfall in ganz Europa verursachen. Es herrscht Chaos an der Grenze zum Bürgerkrieg. Plünderungen, Angst vor Kernschmelzen in Atomkraftwerken, Kämpfe um Wasser und Lebensmittel, Tote durch Unfälle. "Ich habe mich für das Buch sehr viel mit Technik befasst und genau recherchiert", sagt Elsberg dem SZ-Magazin. Er war erschrocken darüber, wie verletzlich eine so lebenswichtige Einrichtung wie das Stromnetz ist. Und über die Folgen, die ein Ausfall hätte. Kurz vor dem Erscheinen seines Romans legte das Büro für Technikfolgenabschätzung beim Deutschen Bundestag eine Studie vor, die zu ähnlichen Ergebnissen kam.
Was Computerspezialisten nach der jüngsten Attacke auf den Rechnern der ukrainischen Stromnetzbetreiber fanden, war ein perfekt geplanter Angriff mit eigens dafür programmierter Software, entwickelt von Experten, vermutlich in jahrelanger Arbeit. Sicherheitsforscher zögern normalerweise, einen so aufgeladenen Begriff wie Cyberwaffe zu verwenden, doch in diesem Falle waren sich die meisten von ihnen einig: Was in der Ukraine zum Einsatz kam, war genau das. Eine sehr effektive Waffe sogar, vermutlich von einer Regierung entwickelt, die testen wollte, wie weit sich ein Stromnetz in einem anderen Land manipulieren lässt. Eine solche Software kann wirkungsvoller sein als ein Raketenwerfer, der mal einen Strommast oder ein Rechenzentrum beschädigen könnte: Ein Schadprogramm ist unsichtbar und kann sich langsam in einem System ausbreiten, um dann an vielen Stellen gleichzeitig anzugreifen.
Das Besondere an diesem Hackerangriff war, dass er sich nicht auf das Lahmlegen von Computern beschränkte. Vielmehr attackierte er die Steuerungselektronik von Maschinen, was im schlimmsten Fall dazu führen kann, dass Generatoren überhitzen und Leitungen schmelzen. So richtet ein Computerprogramm physischen Schaden an, der dann aufwendig repariert werden muss. Wenn diese Cyberwaffe einmal erprobt ist, fürchten IT-Sicherheitsforscher, dann lässt sie sich auf der ganzen Welt einsetzen. Denn die Stromversorgung läuft fast überall recht ähnlich ab.
Auch in Deutschland stellte sich nach den Stromausfällen in der Ukraine die Frage: Kann so ein Angriff auch hier erfolgen? Und was würde das bedeuten? Monatelang diskutierten deutsche Behörden und Energieversorger - größtenteils unter Ausschluss der Öffentlichkeit über die Erkenntnisse aus der Ukraine. Das SZ-Magazin hat mit zwei Dutzend Personen gesprochen, die mit diesen Diskussionen vertraut sind. Sie kommen aus verschiedenen Bereichen, von Sicherheitsbehörden bis hin zu Forschungszweigen, die sich mit der Stabilität des Netzes befassen. Der überwiegende Teil der Gesprächspartner war nur bereit zu sprechen, sofern ihr Name nicht genannt wird.
Alles nicht so wild, sagen die einen Deutschland sei gut ausgerüstet, die großen Energieversorger würden die Gefahren kennen und sich darauf vorbereiten. Doch andere Fachleute zeichnen ein erschreckendes Bild. Auch Deutschland könne ein Ziel solcher Hackerangriffe werden. Viele Experten sind sich grundsätzlich einig: Mit ihren heutigen Mitteln könnten Hacker einen Stromausfall von maximal zwei Tagen auslösen, und auch der würde nicht ganz Europa lahmlegen, sondern wäre auf einzelne Regionen beschränkt. Aber das deutsche Stromnetz sei besonders fragil und anfällig für Störungen. Der Grund: Durch den Atomausstieg und die Energiewende haben sich in Deutschland einige Grundsätze der Stromversorgung geändert. Früher wurde Energie meistens dort produziert, wo sie gebraucht wurde. Heute muss der Strom oft weit transportiert werden, Strom aus Windenergie etwa in der Regel von Norden nach Süden. Und Strom aus erneuerbaren Energien hat Vorrang in den Leitungen. So findet ein permanenter Austausch zwischen Stromerzeugern und Stromverbrauchern statt, je nachdem, wie viel Strom aus welcher Quelle gerade wo gebraucht wird. Die Steuerungsprozesse könnten nun etwa so manipuliert werden, dass plötzlich dort Unmengen an Strom angefordert würden, wo keiner benötigt wird. Zudem sind die Stromleitungen von Westen nach Osten chronisch überlastet - eine Folge der deutschen Teilung. Der Ausbau der Netze ist beschlossen, aber aufwendig und teuer.
Und noch etwas besorgt viele Experten: Zu so einem wirksamen Hackerangriff sind mittlerweile einige Länder in der Lage. In der Ukraine deutet vieles auf Russland hin. Was würde es aber bedeuten, wenn ein Land in die Stromnetze eines anderen Landes eindringen würde mit dem Ziel, sie zu sabotieren? Ein erfahrener Mitarbeiter einer Bundesbehörde, die für den Schutz kritischer Infrastruktur verantwortlich ist, zögert lange, bevor er eine Antwort gibt. Dann sagt er mit entschlossener Stimme: "Das wäre ein feindlicher Angriff. Das wäre Krieg."
Das Stromnetz ist ein riesiger Verbund Hunderter Kraftwerke, Leitungen und Schaltzentralen, die in ganz Europa zusammenhängen. Es ist ein sensibles Gebilde und derart komplex, dass selbst die meisten Vorstände von Energieversorgern und Netzbetreibern nur die Teile der Stromversorgung verstehen, für die sie zuständig sind.
Großkraftwerke und Windparks pumpen Energie in das Übertragungsnetz. Über dieses Netz aus Tausenden Kilometern transportieren Leitungen den Strom in regionale Verteilnetze. In Umspannwerken bringen 500 Tonnen schwere Transformatoren den Strom erst auf Mittelspannung und später, die Masten schrumpfen deutlich, auf Niederspannung. Am Ende, gezähmt auf eine haushaltsübliche Dosis von 230 Volt, kommt er aus der Steckdose.
Überall in Europa drehen sich die Generatoren der Kraftwerke 50 Mal in der Sekunde, die Frequenz liegt also bei 50 Hertz. Ein Hackerangriff, der diese Frequenz ändert, könnte schwere Folgen haben. Fällt der Strom von 50 Hertz etwa auf 47,5 Hertz oder steigt er auf 51,5 Hertz, kann ein Blackout "kaum noch verhindert werden", wie es in einem Bericht des Verbandes der Europäischen Übertragungsnetzbetreiber heißt. Viele Experten geben sich gelassen: Dass so ein massiver Angriff gelingt, sei sehr unwahrscheinlich.
Doch technisch möglich wäre es. Eine Forschergruppe aus Informatikern und Ingenieuren der Universität Cambridge in England hat im Juli 2015, einige Monate vor dem ersten großen Hackerangriff auf das ukrainische Stromnetz, eine Untersuchung darüber vorgelegt, wie man mit dem Eindringen in Computernetze in 15 US-Bundesstaaten inklusive der Metropolen New York und Washington den Strom teilweise tagelang abschalten könnte. Éireann Leverett, einer der Autoren der Cambridge-Studie, sagt: "Ich hatte jahrelang mit Energieunternehmen und Regierungen zu tun. Die Menschen dort haben das Risiko nicht verstanden." Erst der Angriff auf die Ukraine sei ein Weckruf gewesen: "Auf einmal war vielen klar, worüber wir reden." Den Angriff von 2016 nennt er "sehr clever". Doch im weitverzweigten System der Stromversorgung kommen diese Botschaften längst nicht bei allen an.
In den Chefetagen der Energieversorger und Stromkonzerne spitzt sich nach den Ukraine-Hacks ein alter Konflikt zu. Auf der einen Seite stehen die Technikexperten mit Ordnern voller Studien und Bedrohungsszenarien durch Hacker; auf der anderen Seite die Budgetverantwortlichen, die Warnungen vor gezielten Angriffen für übertrieben halten. Wer soll für die zusätzlichen Sicherheitsmaßnahmen bezahlen? IT-Fachleute sind teuer und Strom soll möglichst billig sein.
Um mehr Geld zu bekommen, haben sich viele Sicherheitsverantwortliche einen Trick einfallen lassen: Sie schenken ihren Chefs das Buch Blackout von Marc Elsberg. Oder sie buchen den Schriftsteller gleich für einen Vortrag in ihrem Unternehmen. "Menschen verstehen komplexe Dinge oft erst, wenn man sie in eine gute Geschichte verpackt", sagt Elsberg. Und Sicherheitsmitarbeiter von Firmen wie Vattenfall, wo Elsberg als Redner auftrat, schwärmen hinterher, man finde nun viel einfacher Gehör bei den Entscheidungsträgern.
Und doch hören die Techniker immer wieder ähnliche Argumente, wenn es um eine bessere Absicherung gegen Hacker geht: Deutschland sei nicht mit der Ukraine vergleichbar. Neuere Technik. Bessere Wartung. Und ein Stromnetz, das gut gegen Ausfälle einzelner Generatoren gerüstet sei. Außerdem gebe es hier genauere Richtlinien der Behörden. Wichtige Betreiber von sogenannter kritischer Infrastruktur etwa Stromversorger, Atomkraftwerke oder Wasserwerke - unterliegen einer Meldepflicht, sobald sie etwas Verdächtiges auf ihren Rechnern finden: damit jeder andere gewarnt ist und sein System prüfen kann.
Doch so einfach sei es nicht, sagen Sicherheitsexperten. Der deutsche Strommarkt besteht aus vielen regionalen Versorgern. Oft sind es Stadtwerke, die in der Regel weniger Geld zur Verfügung haben als Konzerne. Viele Versorger sind so klein, dass sie von den Meldepflichten ausgenommen sind. Das ist für Hacker ideal: Wenn sie in so ein System eindringen, bekommt es kaum jemand mit. Gerade diese kleineren Anbieter hätten "häufig noch großen Nachholbedarf", sagt Arne Schönbohm, Leiter des Bundesamts für Sicherheit in der Informationstechnik. Viele Menschen, die bei kleineren Stromanbietern oder Stadtwerken für die Sicherheit zuständig sind, sind keine Fachleute für Cybersicherheit. "Es fehlt oft an spezialisiertem Personal und finanzieller Ausstattung, um ein angemessenes Sicherheitsniveau zu erreichen", sagt Schönbohm. Immer wieder hören Mitarbeiter des BSI Sätze wie: Wir sperren nachts die Tür zu unserem Schaltzentrum ab, viel mehr können wir oft nicht tun zu wenig Geld, zu wenige Ressourcen. Ein anderer Sicherheitsexperte sagt, bei vielen kleinen Stromanbietern wirke es, "als würde man einen drohenden Vulkanausbruch mit einem Regenschirm abwehren wollen". Solange der Vulkan nicht ausbricht, sei alles gut. Dabei könnte der reihenweise Ausfall kleinerer Stadtwerke zu einer Kettenreaktion führen, der die landesweite Stromversorgung ins Wanken brächte.
Die Übertragungsnetzbetreiber in Deutschland, die den Strom aus den Kraftwerken zu Verteilnetzbetreibern im ganzen Land transportieren, wollen in diesem Jahr die Stromausfälle in der Ukraine genauer untersuchen. Und zumindest die großen Stromfirmen rüsten nun auf. Sie schicken Mitarbeiter in Kurse, um sie auf den aktuellen Stand zu bringen. Kai Thomsen leitet als Ausbilder bei SANS, einem weltweit renommierten Ausbildungsinstitut für Cybersicherheit, regelmäßig ein fünftägiges Seminar, in dem Angriffe auf kritische Infrastrukturen technisch seziert werden. Bundeswehrmitarbeiter schwärmen von SANS, der Bundesnachrichtendienst soll hier Personal suchen. Das SZ-Magazin war bei einem Kurs dabei, unter strengen Voraussetzungen: keine Namen oder Bilder der Teilnehmer, keine Firmennamen.
Der Kurs findet in einem Allerweltshotel in einer deutschen Großstadt statt, graue Schreibtische, Teppichboden, ein Beamer. Die Teilnehmer saugen jedes Wort auf, als Thomsen erklärt, dass die meisten Angriffe in zwei Phasen ablaufen. Zunächst würden Hacker ihr Opfer auskundschaften. Meistens reiche eine E-Mail mit manipuliertem Anhang, die Hacker an Menschen verschicken würden, deren Job es ist, solche Anhänge zu öffnen. So komme die Schadsoftware ins Büronetz, das üblicherweise aus normalen Computern bestehe, die nicht mit den Schaltzentralen der technischen Anlagen verbunden seien. Doch die Bürocomputer seien nur Mittel zum Zweck. Hätten Hacker dort unbemerkt die Kontrolle erlangt, beginne die zweite Phase: Die Hacker verschafften sich digitalen Zugriff auf Unterlagen, Baupläne, Organigramme. Jede Anlage sei ein Unikat, die Hard- und Software werde nach Bedarf verbaut. Für Hacker erschwere das die Aufgabe, einzelne Kraftwerke anzugreifen ganz zu schweigen von einem Angriff, der das komplette europäische Verbundnetz ins Visier nehme.
Nun werde, erklärt Kai Thomsen, jeder Bereich einzeln ausgekundschaftet. Die Angreifer würden Wege in die Produktionsanlagen suchen, also dorthin, wo die Generatoren stehen. Dann beginne die nächste Suche: Welcher Motor läuft, welches Modell, welcher Hersteller? Auch dieser Prozess könne Monate dauern. Mit diesem Wissen könnten Hackergruppen dann eine auf bestimmte Anlagen zugeschnittene Zerstörungssoftware erstellen. Die Hacker müssten sich entscheiden: Je besser sie eine Anlage kennen würden, desto gezielter könnten sie die Vorgänge manipulieren. Aber je gezielter ihr Angriff sei, desto weniger Anlagen seien betroffen. Um maximalen Schaden anzurichten, lohne es sich nicht, ein einzelnes Kraftwerk ins Visier zu nehmen. Aber auch in kritischen Infrastrukturen gebe es Monokulturen: ein Produkt, das so gut funktioniere oder so gut für sich geworben habe, dass es an vielen Orten eingesetzt werde. Finde man heraus, welches das ist, erleichtere das den Einstieg sehr.
Schwierig ist es nicht, an diese Informationen zu kommen. Recherchen des SZ-Magazins haben ergeben, dass ein Drittel aller knapp 900 Netzbetreiber in Deutschland sich an einer kritischen Stelle auf dieselbe Software verlässt. Wer es schafft, diese Software zu hacken, hätte also eine Art Generalschlüssel, der rund 300 Schlösser gleichzeitig knackt. Das zeigt, wie sehr sich die Bedrohung verändert hat. Auf der einen Seite sind Kraftwerke und wichtige Schaltzentralen physisch gesichert wie Festungen, umgeben von meterhohem Stacheldraht. Hinein kommt man nur mit Geleitschutz, durch mehrfach gepanzerte Türen. Sicherheitsbehörden prüfen wichtige Mitarbeiter, um sicherzustellen, dass diese nicht erpressbar sind. Auch sind wichtige Anlagen oft nicht mit dem Internet verbunden. Doch gleichzeitig kommt an kritischen Stellen eine Standardausstattung zum Einsatz. Und zentrale Bauteile der Steuerung werden einfach beim günstigsten Hersteller gekauft, deren Mitarbeiter ihr Wissen über Schwachstellen verraten oder verkaufen können.
Die Bedrohung ist längst nicht allen Verantwortlichen bewusst
Im Rahmen einer Studie der Universitäten Siegen und Frankfurt wurden im Herbst 2016, fast ein Jahr nach dem ersten großen Angriff auf die Ukraine, alle kleineren deutschen Stromnetzbetreiber angeschrieben und um eine Einschätzung der Sicherheit ihrer Computersysteme gebeten. Einen Notfallplan für einen Hackerangriff hat demnach weniger als die Hälfte der Unternehmen, die den Fragebogen beantwortet haben. Etwa jeder zweite Stromnetzbetreiber gab an, keine Risikoanalysen durchzuführen, also nicht genau zu wissen, wo sein System Schwachstellen hat. Und viele haben nicht mal eine eigene Abteilung für -Sicherheit. Natürlich ist so eine Studie nur ein Ausschnitt. Ab IT er sie deckt sich mit den Befunden vieler Sicherheitsexperten: Die Bedrohung durch Software, die nicht nur Computer, sondern ganze Industrieanlagen lahmlegt, ist längst nicht allen Verantwortlichen bewusst.
In Firmenbüros werden Rechner normalerweise alle drei bis sieben Jahre ausgewechselt. Die großen Schaltzentralen der Strombetreiber wirken dagegen oft wie Museen. Es finden sich zwanzig Jahre alte Rechner, auf denen veraltete Betriebssysteme ruckeln, die nicht gewartet werden. Und durch die Vernetzung der Systeme ist die Gefahr enorm gestiegen, dass Schadsoftware eingeschmuggelt wird. Ein IT-Sicherheitsexperte, der bei einem der vier großen Energieversorger arbeitet E.ON, RWE, Vattenfall, EnBW -, drückt es bildlich aus: "Früher haben wir Burgen mit nur einem Eingang gebaut - bei denen es also auch nur eine Zugbrücke gab." Heute sei das Stromnetz dynamischer geworden, ein riesiger Marktplatz für Europa, wo Hunderte Kraftwerke nach Bedarf Strom einspeisen, vermessen durch Sensoren. Permanent müssten Daten über viele Ein- und Ausgänge hin- und hergeschoben werden. Es gebe nun also viel mehr Zugbrücken. Diese Brücken würden zwar gut bewacht, aber Hacker könnten eben zwischen mehreren Wegen wählen.
Am Ende hatten die Angreifer in der Ukraine 2015 drei Stromversorger komplett im Griff. Sie steuerten die Computer in den Leitstellen aus der Ferne, Mauszeiger bewegten sich wie von Geisterhand, ohne dass die Mitarbeiter etwas dagegen tun konnten. Die Hacker starteten die Angriffe gleichzeitig und öffneten Stromunterbrecher, mindestens 27 Umspannwerke fielen aus, 225 000 Menschen wurden mehrere Stunden lang von der Energiezufuhr abgeschnitten. Mindestens zwanzig Hacker seien an dem Angriff beteiligt gewesen, meint der SANS-Ausbilder Kai Thomsen. Ihm zufolge hatten die Hacker ihr Vorgehen akribisch getestet: "Wenn man so einen Angriff startet, überlässt man nichts dem Zufall." Helko Kögel, der für Rohde & Schwarz Cybersecurity viele Firmen in strategischen Fragen zur Cyberabwehr und Informationssicherheit berät, berichtet von Fällen, in denen Hacker ganze Industrieanlagen im Wert von Zehntausenden Euro kauften, nur um sie unter Laborbedingungen lahmzulegen. Kai Thomsen ist davon überzeugt, dass auch der Angriff in der Ukraine so ablief. Die dortigen Stromversorger mussten Mitarbeiter losschicken, um die Anlagen manuell zu steuern. Manche der Rechnersysteme waren nach dem Hack so stark beschädigt, dass es bis zu einem Jahr dauerte, bis die Anlage wieder automatisch lief. Wie ferngesteuert: In einem der Angriffe in der Ukraine gelang es den Hackern, die Rechner so unter ihre Kontrolle zu bringen, dass sie per Mauszeiger wichtige Regler einfach abschalten konnten.
Der Stromausfall in Kiew dauert kaum mehr als eine Stunde, um ein Uhr fließt die Energie zurück in die Häuser. Doch Yasinsky erkennt ein Muster, das ihm Sorge macht. Schon im Vorjahr um diese Zeit gingen in der Ukraine die Lichter aus - seinerzeit vor allem im Westen des Landes. Schnell wurde klar: Hacker waren in die Rechner der Stromversorger eingedrungen und hatten die Kontrolle erlangt. Sie konnten den Strom einfach ausknipsen. Computerexperten mit einem Hang zu düsteren Szenarien hatten so einen Angriff lange vorher gesagt. Kaum jemand hatte ihnen zugehört, denn passiert war ja nie etwas. Bis jetzt.
Yasinsky war einer der Ersten, der hinter dem Stromausfall mehr sah als eine technische Panne. Er arbeitet für die Firma Information Systems Security Partners, die sich seit Jahren durch interne Netzwerke von gehackten Konzernen in der Ukraine pflügt, um digitale Spuren zu finden, die die Hacker hinterlassen haben. Schon 2015 zeigte sich: Mindestens sechs Monate lang waren die Hacker unbemerkt in den Netzen des Energieversorgers herumgeschlichen und hatten Systeme ausspioniert mit dem Ziel, sie lahmzulegen.
Außerhalb der Ukraine nahm die Öffentlichkeit zunächst kaum Notiz von den beiden Vorfällen. Doch IT-Sicherheitsexperten auf der ganzen Welt schreckten auf. Diejenigen unter ihnen, die üblicherweise gern scherzen, dass Eichhörnchen durch versehentliches Nagen an Leitungen für mehr Stromausfälle verantwortlich seien als Hacker, waren nach dem 17. Dezember 2016 erstaunlich still. Denn so eine gezielte, professionelle Attacke kannten sie bisher nur aus der Theorie, als Horrorszenario aus Lehrbüchern oder Thrillern.
Ohne Strom keine Heizung, kein Kühlschrank, keine Waschmaschine, kein Festnetz, kein Internet, vielleicht per Smartphone, aber nur solange die Batterie hält, kein Wasser aus der Leitung, keine Dusche, keine Toilettenspülung, weil die Pumpen nicht funktionieren. Ohne Strom keine Straßenbahnen, keine Straßenlaternen, keine Ampeln, keine Supermarktkassen, vielleicht erst noch etwas Bargeld, aber keine Geldautomaten, keine Aufzüge, kein Tanken, keine Apotheken, keine Autobahntunnel. Die schließen, denn: ohne Strom kein Licht und keine Belüftung. Kein öffentliches Leben, wie man es kennt.
Wie ein großer Stromausfall eskalieren könnte, erzählt der österreichische Autor Marc Elsberg im Roman Blackout von 2012, der monatelang auf den Bestsellerlisten stand. Auf 800 Seiten wird beschrieben, wie Hacker einen tagelangen Stromausfall in ganz Europa verursachen. Es herrscht Chaos an der Grenze zum Bürgerkrieg. Plünderungen, Angst vor Kernschmelzen in Atomkraftwerken, Kämpfe um Wasser und Lebensmittel, Tote durch Unfälle. "Ich habe mich für das Buch sehr viel mit Technik befasst und genau recherchiert", sagt Elsberg dem SZ-Magazin. Er war erschrocken darüber, wie verletzlich eine so lebenswichtige Einrichtung wie das Stromnetz ist. Und über die Folgen, die ein Ausfall hätte. Kurz vor dem Erscheinen seines Romans legte das Büro für Technikfolgenabschätzung beim Deutschen Bundestag eine Studie vor, die zu ähnlichen Ergebnissen kam.
Was Computerspezialisten nach der jüngsten Attacke auf den Rechnern der ukrainischen Stromnetzbetreiber fanden, war ein perfekt geplanter Angriff mit eigens dafür programmierter Software, entwickelt von Experten, vermutlich in jahrelanger Arbeit. Sicherheitsforscher zögern normalerweise, einen so aufgeladenen Begriff wie Cyberwaffe zu verwenden, doch in diesem Falle waren sich die meisten von ihnen einig: Was in der Ukraine zum Einsatz kam, war genau das. Eine sehr effektive Waffe sogar, vermutlich von einer Regierung entwickelt, die testen wollte, wie weit sich ein Stromnetz in einem anderen Land manipulieren lässt. Eine solche Software kann wirkungsvoller sein als ein Raketenwerfer, der mal einen Strommast oder ein Rechenzentrum beschädigen könnte: Ein Schadprogramm ist unsichtbar und kann sich langsam in einem System ausbreiten, um dann an vielen Stellen gleichzeitig anzugreifen.
Das Besondere an diesem Hackerangriff war, dass er sich nicht auf das Lahmlegen von Computern beschränkte. Vielmehr attackierte er die Steuerungselektronik von Maschinen, was im schlimmsten Fall dazu führen kann, dass Generatoren überhitzen und Leitungen schmelzen. So richtet ein Computerprogramm physischen Schaden an, der dann aufwendig repariert werden muss. Wenn diese Cyberwaffe einmal erprobt ist, fürchten IT-Sicherheitsforscher, dann lässt sie sich auf der ganzen Welt einsetzen. Denn die Stromversorgung läuft fast überall recht ähnlich ab.
Auch in Deutschland stellte sich nach den Stromausfällen in der Ukraine die Frage: Kann so ein Angriff auch hier erfolgen? Und was würde das bedeuten? Monatelang diskutierten deutsche Behörden und Energieversorger - größtenteils unter Ausschluss der Öffentlichkeit über die Erkenntnisse aus der Ukraine. Das SZ-Magazin hat mit zwei Dutzend Personen gesprochen, die mit diesen Diskussionen vertraut sind. Sie kommen aus verschiedenen Bereichen, von Sicherheitsbehörden bis hin zu Forschungszweigen, die sich mit der Stabilität des Netzes befassen. Der überwiegende Teil der Gesprächspartner war nur bereit zu sprechen, sofern ihr Name nicht genannt wird.
Alles nicht so wild, sagen die einen Deutschland sei gut ausgerüstet, die großen Energieversorger würden die Gefahren kennen und sich darauf vorbereiten. Doch andere Fachleute zeichnen ein erschreckendes Bild. Auch Deutschland könne ein Ziel solcher Hackerangriffe werden. Viele Experten sind sich grundsätzlich einig: Mit ihren heutigen Mitteln könnten Hacker einen Stromausfall von maximal zwei Tagen auslösen, und auch der würde nicht ganz Europa lahmlegen, sondern wäre auf einzelne Regionen beschränkt. Aber das deutsche Stromnetz sei besonders fragil und anfällig für Störungen. Der Grund: Durch den Atomausstieg und die Energiewende haben sich in Deutschland einige Grundsätze der Stromversorgung geändert. Früher wurde Energie meistens dort produziert, wo sie gebraucht wurde. Heute muss der Strom oft weit transportiert werden, Strom aus Windenergie etwa in der Regel von Norden nach Süden. Und Strom aus erneuerbaren Energien hat Vorrang in den Leitungen. So findet ein permanenter Austausch zwischen Stromerzeugern und Stromverbrauchern statt, je nachdem, wie viel Strom aus welcher Quelle gerade wo gebraucht wird. Die Steuerungsprozesse könnten nun etwa so manipuliert werden, dass plötzlich dort Unmengen an Strom angefordert würden, wo keiner benötigt wird. Zudem sind die Stromleitungen von Westen nach Osten chronisch überlastet - eine Folge der deutschen Teilung. Der Ausbau der Netze ist beschlossen, aber aufwendig und teuer.
Und noch etwas besorgt viele Experten: Zu so einem wirksamen Hackerangriff sind mittlerweile einige Länder in der Lage. In der Ukraine deutet vieles auf Russland hin. Was würde es aber bedeuten, wenn ein Land in die Stromnetze eines anderen Landes eindringen würde mit dem Ziel, sie zu sabotieren? Ein erfahrener Mitarbeiter einer Bundesbehörde, die für den Schutz kritischer Infrastruktur verantwortlich ist, zögert lange, bevor er eine Antwort gibt. Dann sagt er mit entschlossener Stimme: "Das wäre ein feindlicher Angriff. Das wäre Krieg."
Das Stromnetz ist ein riesiger Verbund Hunderter Kraftwerke, Leitungen und Schaltzentralen, die in ganz Europa zusammenhängen. Es ist ein sensibles Gebilde und derart komplex, dass selbst die meisten Vorstände von Energieversorgern und Netzbetreibern nur die Teile der Stromversorgung verstehen, für die sie zuständig sind.
Großkraftwerke und Windparks pumpen Energie in das Übertragungsnetz. Über dieses Netz aus Tausenden Kilometern transportieren Leitungen den Strom in regionale Verteilnetze. In Umspannwerken bringen 500 Tonnen schwere Transformatoren den Strom erst auf Mittelspannung und später, die Masten schrumpfen deutlich, auf Niederspannung. Am Ende, gezähmt auf eine haushaltsübliche Dosis von 230 Volt, kommt er aus der Steckdose.
Überall in Europa drehen sich die Generatoren der Kraftwerke 50 Mal in der Sekunde, die Frequenz liegt also bei 50 Hertz. Ein Hackerangriff, der diese Frequenz ändert, könnte schwere Folgen haben. Fällt der Strom von 50 Hertz etwa auf 47,5 Hertz oder steigt er auf 51,5 Hertz, kann ein Blackout "kaum noch verhindert werden", wie es in einem Bericht des Verbandes der Europäischen Übertragungsnetzbetreiber heißt. Viele Experten geben sich gelassen: Dass so ein massiver Angriff gelingt, sei sehr unwahrscheinlich.
Doch technisch möglich wäre es. Eine Forschergruppe aus Informatikern und Ingenieuren der Universität Cambridge in England hat im Juli 2015, einige Monate vor dem ersten großen Hackerangriff auf das ukrainische Stromnetz, eine Untersuchung darüber vorgelegt, wie man mit dem Eindringen in Computernetze in 15 US-Bundesstaaten inklusive der Metropolen New York und Washington den Strom teilweise tagelang abschalten könnte. Éireann Leverett, einer der Autoren der Cambridge-Studie, sagt: "Ich hatte jahrelang mit Energieunternehmen und Regierungen zu tun. Die Menschen dort haben das Risiko nicht verstanden." Erst der Angriff auf die Ukraine sei ein Weckruf gewesen: "Auf einmal war vielen klar, worüber wir reden." Den Angriff von 2016 nennt er "sehr clever". Doch im weitverzweigten System der Stromversorgung kommen diese Botschaften längst nicht bei allen an.
In den Chefetagen der Energieversorger und Stromkonzerne spitzt sich nach den Ukraine-Hacks ein alter Konflikt zu. Auf der einen Seite stehen die Technikexperten mit Ordnern voller Studien und Bedrohungsszenarien durch Hacker; auf der anderen Seite die Budgetverantwortlichen, die Warnungen vor gezielten Angriffen für übertrieben halten. Wer soll für die zusätzlichen Sicherheitsmaßnahmen bezahlen? IT-Fachleute sind teuer und Strom soll möglichst billig sein.
Um mehr Geld zu bekommen, haben sich viele Sicherheitsverantwortliche einen Trick einfallen lassen: Sie schenken ihren Chefs das Buch Blackout von Marc Elsberg. Oder sie buchen den Schriftsteller gleich für einen Vortrag in ihrem Unternehmen. "Menschen verstehen komplexe Dinge oft erst, wenn man sie in eine gute Geschichte verpackt", sagt Elsberg. Und Sicherheitsmitarbeiter von Firmen wie Vattenfall, wo Elsberg als Redner auftrat, schwärmen hinterher, man finde nun viel einfacher Gehör bei den Entscheidungsträgern.
Und doch hören die Techniker immer wieder ähnliche Argumente, wenn es um eine bessere Absicherung gegen Hacker geht: Deutschland sei nicht mit der Ukraine vergleichbar. Neuere Technik. Bessere Wartung. Und ein Stromnetz, das gut gegen Ausfälle einzelner Generatoren gerüstet sei. Außerdem gebe es hier genauere Richtlinien der Behörden. Wichtige Betreiber von sogenannter kritischer Infrastruktur etwa Stromversorger, Atomkraftwerke oder Wasserwerke - unterliegen einer Meldepflicht, sobald sie etwas Verdächtiges auf ihren Rechnern finden: damit jeder andere gewarnt ist und sein System prüfen kann.
Doch so einfach sei es nicht, sagen Sicherheitsexperten. Der deutsche Strommarkt besteht aus vielen regionalen Versorgern. Oft sind es Stadtwerke, die in der Regel weniger Geld zur Verfügung haben als Konzerne. Viele Versorger sind so klein, dass sie von den Meldepflichten ausgenommen sind. Das ist für Hacker ideal: Wenn sie in so ein System eindringen, bekommt es kaum jemand mit. Gerade diese kleineren Anbieter hätten "häufig noch großen Nachholbedarf", sagt Arne Schönbohm, Leiter des Bundesamts für Sicherheit in der Informationstechnik. Viele Menschen, die bei kleineren Stromanbietern oder Stadtwerken für die Sicherheit zuständig sind, sind keine Fachleute für Cybersicherheit. "Es fehlt oft an spezialisiertem Personal und finanzieller Ausstattung, um ein angemessenes Sicherheitsniveau zu erreichen", sagt Schönbohm. Immer wieder hören Mitarbeiter des BSI Sätze wie: Wir sperren nachts die Tür zu unserem Schaltzentrum ab, viel mehr können wir oft nicht tun zu wenig Geld, zu wenige Ressourcen. Ein anderer Sicherheitsexperte sagt, bei vielen kleinen Stromanbietern wirke es, "als würde man einen drohenden Vulkanausbruch mit einem Regenschirm abwehren wollen". Solange der Vulkan nicht ausbricht, sei alles gut. Dabei könnte der reihenweise Ausfall kleinerer Stadtwerke zu einer Kettenreaktion führen, der die landesweite Stromversorgung ins Wanken brächte.
Die Übertragungsnetzbetreiber in Deutschland, die den Strom aus den Kraftwerken zu Verteilnetzbetreibern im ganzen Land transportieren, wollen in diesem Jahr die Stromausfälle in der Ukraine genauer untersuchen. Und zumindest die großen Stromfirmen rüsten nun auf. Sie schicken Mitarbeiter in Kurse, um sie auf den aktuellen Stand zu bringen. Kai Thomsen leitet als Ausbilder bei SANS, einem weltweit renommierten Ausbildungsinstitut für Cybersicherheit, regelmäßig ein fünftägiges Seminar, in dem Angriffe auf kritische Infrastrukturen technisch seziert werden. Bundeswehrmitarbeiter schwärmen von SANS, der Bundesnachrichtendienst soll hier Personal suchen. Das SZ-Magazin war bei einem Kurs dabei, unter strengen Voraussetzungen: keine Namen oder Bilder der Teilnehmer, keine Firmennamen.
Der Kurs findet in einem Allerweltshotel in einer deutschen Großstadt statt, graue Schreibtische, Teppichboden, ein Beamer. Die Teilnehmer saugen jedes Wort auf, als Thomsen erklärt, dass die meisten Angriffe in zwei Phasen ablaufen. Zunächst würden Hacker ihr Opfer auskundschaften. Meistens reiche eine E-Mail mit manipuliertem Anhang, die Hacker an Menschen verschicken würden, deren Job es ist, solche Anhänge zu öffnen. So komme die Schadsoftware ins Büronetz, das üblicherweise aus normalen Computern bestehe, die nicht mit den Schaltzentralen der technischen Anlagen verbunden seien. Doch die Bürocomputer seien nur Mittel zum Zweck. Hätten Hacker dort unbemerkt die Kontrolle erlangt, beginne die zweite Phase: Die Hacker verschafften sich digitalen Zugriff auf Unterlagen, Baupläne, Organigramme. Jede Anlage sei ein Unikat, die Hard- und Software werde nach Bedarf verbaut. Für Hacker erschwere das die Aufgabe, einzelne Kraftwerke anzugreifen ganz zu schweigen von einem Angriff, der das komplette europäische Verbundnetz ins Visier nehme.
Nun werde, erklärt Kai Thomsen, jeder Bereich einzeln ausgekundschaftet. Die Angreifer würden Wege in die Produktionsanlagen suchen, also dorthin, wo die Generatoren stehen. Dann beginne die nächste Suche: Welcher Motor läuft, welches Modell, welcher Hersteller? Auch dieser Prozess könne Monate dauern. Mit diesem Wissen könnten Hackergruppen dann eine auf bestimmte Anlagen zugeschnittene Zerstörungssoftware erstellen. Die Hacker müssten sich entscheiden: Je besser sie eine Anlage kennen würden, desto gezielter könnten sie die Vorgänge manipulieren. Aber je gezielter ihr Angriff sei, desto weniger Anlagen seien betroffen. Um maximalen Schaden anzurichten, lohne es sich nicht, ein einzelnes Kraftwerk ins Visier zu nehmen. Aber auch in kritischen Infrastrukturen gebe es Monokulturen: ein Produkt, das so gut funktioniere oder so gut für sich geworben habe, dass es an vielen Orten eingesetzt werde. Finde man heraus, welches das ist, erleichtere das den Einstieg sehr.
Schwierig ist es nicht, an diese Informationen zu kommen. Recherchen des SZ-Magazins haben ergeben, dass ein Drittel aller knapp 900 Netzbetreiber in Deutschland sich an einer kritischen Stelle auf dieselbe Software verlässt. Wer es schafft, diese Software zu hacken, hätte also eine Art Generalschlüssel, der rund 300 Schlösser gleichzeitig knackt. Das zeigt, wie sehr sich die Bedrohung verändert hat. Auf der einen Seite sind Kraftwerke und wichtige Schaltzentralen physisch gesichert wie Festungen, umgeben von meterhohem Stacheldraht. Hinein kommt man nur mit Geleitschutz, durch mehrfach gepanzerte Türen. Sicherheitsbehörden prüfen wichtige Mitarbeiter, um sicherzustellen, dass diese nicht erpressbar sind. Auch sind wichtige Anlagen oft nicht mit dem Internet verbunden. Doch gleichzeitig kommt an kritischen Stellen eine Standardausstattung zum Einsatz. Und zentrale Bauteile der Steuerung werden einfach beim günstigsten Hersteller gekauft, deren Mitarbeiter ihr Wissen über Schwachstellen verraten oder verkaufen können.
Die Bedrohung ist längst nicht allen Verantwortlichen bewusst
Im Rahmen einer Studie der Universitäten Siegen und Frankfurt wurden im Herbst 2016, fast ein Jahr nach dem ersten großen Angriff auf die Ukraine, alle kleineren deutschen Stromnetzbetreiber angeschrieben und um eine Einschätzung der Sicherheit ihrer Computersysteme gebeten. Einen Notfallplan für einen Hackerangriff hat demnach weniger als die Hälfte der Unternehmen, die den Fragebogen beantwortet haben. Etwa jeder zweite Stromnetzbetreiber gab an, keine Risikoanalysen durchzuführen, also nicht genau zu wissen, wo sein System Schwachstellen hat. Und viele haben nicht mal eine eigene Abteilung für -Sicherheit. Natürlich ist so eine Studie nur ein Ausschnitt. Ab IT er sie deckt sich mit den Befunden vieler Sicherheitsexperten: Die Bedrohung durch Software, die nicht nur Computer, sondern ganze Industrieanlagen lahmlegt, ist längst nicht allen Verantwortlichen bewusst.
In Firmenbüros werden Rechner normalerweise alle drei bis sieben Jahre ausgewechselt. Die großen Schaltzentralen der Strombetreiber wirken dagegen oft wie Museen. Es finden sich zwanzig Jahre alte Rechner, auf denen veraltete Betriebssysteme ruckeln, die nicht gewartet werden. Und durch die Vernetzung der Systeme ist die Gefahr enorm gestiegen, dass Schadsoftware eingeschmuggelt wird. Ein IT-Sicherheitsexperte, der bei einem der vier großen Energieversorger arbeitet E.ON, RWE, Vattenfall, EnBW -, drückt es bildlich aus: "Früher haben wir Burgen mit nur einem Eingang gebaut - bei denen es also auch nur eine Zugbrücke gab." Heute sei das Stromnetz dynamischer geworden, ein riesiger Marktplatz für Europa, wo Hunderte Kraftwerke nach Bedarf Strom einspeisen, vermessen durch Sensoren. Permanent müssten Daten über viele Ein- und Ausgänge hin- und hergeschoben werden. Es gebe nun also viel mehr Zugbrücken. Diese Brücken würden zwar gut bewacht, aber Hacker könnten eben zwischen mehreren Wegen wählen.
Am Ende hatten die Angreifer in der Ukraine 2015 drei Stromversorger komplett im Griff. Sie steuerten die Computer in den Leitstellen aus der Ferne, Mauszeiger bewegten sich wie von Geisterhand, ohne dass die Mitarbeiter etwas dagegen tun konnten. Die Hacker starteten die Angriffe gleichzeitig und öffneten Stromunterbrecher, mindestens 27 Umspannwerke fielen aus, 225 000 Menschen wurden mehrere Stunden lang von der Energiezufuhr abgeschnitten. Mindestens zwanzig Hacker seien an dem Angriff beteiligt gewesen, meint der SANS-Ausbilder Kai Thomsen. Ihm zufolge hatten die Hacker ihr Vorgehen akribisch getestet: "Wenn man so einen Angriff startet, überlässt man nichts dem Zufall." Helko Kögel, der für Rohde & Schwarz Cybersecurity viele Firmen in strategischen Fragen zur Cyberabwehr und Informationssicherheit berät, berichtet von Fällen, in denen Hacker ganze Industrieanlagen im Wert von Zehntausenden Euro kauften, nur um sie unter Laborbedingungen lahmzulegen. Kai Thomsen ist davon überzeugt, dass auch der Angriff in der Ukraine so ablief. Die dortigen Stromversorger mussten Mitarbeiter losschicken, um die Anlagen manuell zu steuern. Manche der Rechnersysteme waren nach dem Hack so stark beschädigt, dass es bis zu einem Jahr dauerte, bis die Anlage wieder automatisch lief. Wie ferngesteuert: In einem der Angriffe in der Ukraine gelang es den Hackern, die Rechner so unter ihre Kontrolle zu bringen, dass sie per Mauszeiger wichtige Regler einfach abschalten konnten.
Beim Angriff 2016 war es nicht mehr nötig, eine Computermaus aus der Ferne zu bedienen. "Da hat die Software die wesentlichen Teile der destruktiven Phase des Angriffs von allein ausgeführt", sagt Thomsen. Die Hacker hatten viel dazugelernt.
Wie groß die Unterschiede zwischen den Hackerangriffen von 2015 und 2016 sind, ist vielen Verantwortlichen aber immer noch nicht bewusst. Direkt nach dem ersten Angriff 2015 nahmen Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnik Kontakt mit den deutschen Energieversorgern auf. Im April 2016 trafen sich in der Zentrale in Bonn etwa vierzig Personen und diskutierten über den Angriff, darunter Vertreter der Stadtwerke von Düsseldorf und München, der vier großen Energieversorger und der Übertragungsnetzbetreiber. "Wir reden über solche Vorfälle gemeinsam und prüfen, ob wir Nachholbedarf haben", sagt einer, der dabeisaß. Zwei Wochen nach dem Termin verschickte das BSI eine Feedback-Mail, derzufolge das nicht der Fall sei. Niemand kontaktierte die Ukraine. Man schätzt die technische Kompetenz dort als eher gering ein - und holt sich in technischen Fragen lieber Hilfe von befreundeten Regierungen wie den USA, die den Stromausfall 2015 vor Ort untersuchten.
Nach dem Angriff 2016 gab es kein Treffen des Fachgremiums im Bundesamt für Sicherheit in der Informationstechnik mehr. Die Beteiligten sahen keinen Anlass. Viele Experten sind entsetzt darüber, denn gerade dieser Fall verlangt in ihren Augen nach einer systematischen Auswertung. "Man wiegt sich leicht in falscher Sicherheit", sagt Guido Gluschke, Direktor des Instituts für Sicherheit an der Technischen Hochschule Brandenburg.
Zwar sind in Deutschland viele wichtige Elemente der Stromversorgung doppelt gesichert. Sie blieben also funktionstüchtig, auch wenn ein Element komplett ausfällt. Doch diese Logik ist oft noch an den Bedrohungen der alten Welt ausgerichtet, in der Sprengstoff oder Naturkatastrophen die größten Gefahren waren. Was hilft es, sehr gut gegen Erdbeben und Terroranschläge gewappnet zu sein, wenn die Angreifer durch die Datenleitungen kommen? "Ich habe in Deutschland keine Instanz finden können, die das Thema tiefgreifend technisch auf arbeiten wollte", sagt Gluschke. Dabei wirke das, was in der Ukraine passiert ist, wie eine geplante militärische Aktion. In einem Krieg könnten solche Hackerattacken ein Mittel von vielen sein, mit denen ein Land angegriffen wird. Doch weil die Hacker im Kriegsfall schnell reagieren müssten und solche Angriffe sehr zeitaufwendig seien, würden sie bereits zu Friedenszeiten geplant.
Anfang 2017 fand eine geheime Sitzung unter anderem von Bundestagsabgeordneten, Bundesnachrichtendienst und Bundesamt für Verfassungsschutz statt. Die Beteiligten kamen überein, dass ein Strom-Hack eine Bedrohung für die nationale Sicherheit darstelle. Sie befanden, dass präventive Maßnahmen allein nicht reichen würden. Ein fünfstufiger Plan wurde entworfen, an dessen Spitze die Cyberabwehr steht. Dabei geht es um digitale Gegenschläge, durch die fremde Infrastruktur zerstört werden soll. Hacker gegen Hacker. Völkerrechtlich wäre das sehr fragwürdig: Eine deutsche Behörde würde ohne Kriegserklärung in fremdes Territorium eindringen, wenn auch nur digital, und dort Schaden anrichten. Solche Fälle sollten die absolute Ausnahme bleiben, beteuert einer, der bei diesen Verhandlungen dabei war. Aber ein schwerer Angriff auf das Stromnetz könnte so eine Ausnahme sein.
In den USA ist man schon weiter. Im alle vier Jahre erscheinenden Atomwaffeneinsatzplan wurde dieses Jahr zum ersten Mal beschrieben, dass bei einem schweren Cyberangriff auf die kritische Infrastruktur der USA oder eines NATO-Verbündeten nun auch mit einem nuklearen Erstschlag gekontert werden könnte.
Nur: Bei wem soll man sich da revanchieren? Hackerattacken sind sehr schwer bestimmten Ländern zuzuschreiben. Den Angriff auf die Ukraine ordnen viele IT-Sicherheitsforscher russischen Hackern zu. Die Firma Dragos, die einen umfassenden Bericht über den Angriff erstellt hat, nennt die Gruppe Electrum. Sie soll die Schadsoftware entwickelt und an Hacker einer Gruppe namens Sandworm weitergegeben haben, die dann für den konkreten Angriff zuständig gewesen sei. Die Entwickler sind die talentierteren Hacker, die im Hintergrund bleiben. Sie basteln Werkzeuge und geben sie ab, sie steigen selbst nicht in die Netze ein. Was, wenn Russland oder Nordkorea eine Schadsoftware erstellen, für den konkreten Angriff aber Hacker engagieren wie Söldner, die in allen möglichen Ländern sitzen können? Wer kann dann für den Angriff verantwortlich gemacht werden? Im Dezember 2017 blieben die Lichter in der Ukraine an. Diesmal kein Angriff. "Warum auch?", fragt Oleksei Yasinsky, der Mann aus Kiew. "Die Hacker haben zwei Angriffe ausprobiert und dabei alles gelernt, was es zu lernen gab." Das US-Technikmagazin Wired nannte den Hack in der Ukraine ein "Testlabor für den russischen Cyberkrieg": eine Probe, was technisch machbar sei, um dieses Wissen auch andernorts anwenden zu können. In den nächsten Jahren werde man vergleichbare Angriffe in den USA und in Europa sehen, sagt Yasinsky, diese würden aber deutlich leiser ablaufen. Was die Öffentlichkeit bisher nicht wusste: Solche Attacken laufen bereits. Im Sommer 2017 fanden sich digitale Fingerabdrücke der Hackergruppe Sandworm bei mindestens zwei deutschen Energieversorgern, wie mehrere Quellen dem SZ-Magazin berichteten.
Damit ist klar: Die momentan wohl bedrohlichste Hackergruppe für Stromnetze hat auch Deutschland ins Visier genommen und versucht sich Zugang zu Systemen zu verschaffen. Anscheinend hat man sie erkannt, ihr Auskundschaften blieb erfolglos. Diesmal zumindest. Die US-Heimatschutzbehörde schlug zuletzt Mitte März 2018 Alarm. In Zusammenarbeit mit dem FBI habe man eine konkrete Bedrohung ausgemacht: ein Programm, dass sich Zugang zur Fernsteuerung von Anlagen verschaffen wolle, mit der möglichen Absicht, ganze Systeme lahmzulegen, Ziel sei womöglich Europa. Um möglichst effektiv zu sein, könne sich die Schadsoftware in mehreren Sprachen anmelden. English, Spanisch, Italienisch, Französisch. Und Deutsch.
Wie groß die Unterschiede zwischen den Hackerangriffen von 2015 und 2016 sind, ist vielen Verantwortlichen aber immer noch nicht bewusst. Direkt nach dem ersten Angriff 2015 nahmen Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnik Kontakt mit den deutschen Energieversorgern auf. Im April 2016 trafen sich in der Zentrale in Bonn etwa vierzig Personen und diskutierten über den Angriff, darunter Vertreter der Stadtwerke von Düsseldorf und München, der vier großen Energieversorger und der Übertragungsnetzbetreiber. "Wir reden über solche Vorfälle gemeinsam und prüfen, ob wir Nachholbedarf haben", sagt einer, der dabeisaß. Zwei Wochen nach dem Termin verschickte das BSI eine Feedback-Mail, derzufolge das nicht der Fall sei. Niemand kontaktierte die Ukraine. Man schätzt die technische Kompetenz dort als eher gering ein - und holt sich in technischen Fragen lieber Hilfe von befreundeten Regierungen wie den USA, die den Stromausfall 2015 vor Ort untersuchten.
Nach dem Angriff 2016 gab es kein Treffen des Fachgremiums im Bundesamt für Sicherheit in der Informationstechnik mehr. Die Beteiligten sahen keinen Anlass. Viele Experten sind entsetzt darüber, denn gerade dieser Fall verlangt in ihren Augen nach einer systematischen Auswertung. "Man wiegt sich leicht in falscher Sicherheit", sagt Guido Gluschke, Direktor des Instituts für Sicherheit an der Technischen Hochschule Brandenburg.
Zwar sind in Deutschland viele wichtige Elemente der Stromversorgung doppelt gesichert. Sie blieben also funktionstüchtig, auch wenn ein Element komplett ausfällt. Doch diese Logik ist oft noch an den Bedrohungen der alten Welt ausgerichtet, in der Sprengstoff oder Naturkatastrophen die größten Gefahren waren. Was hilft es, sehr gut gegen Erdbeben und Terroranschläge gewappnet zu sein, wenn die Angreifer durch die Datenleitungen kommen? "Ich habe in Deutschland keine Instanz finden können, die das Thema tiefgreifend technisch auf arbeiten wollte", sagt Gluschke. Dabei wirke das, was in der Ukraine passiert ist, wie eine geplante militärische Aktion. In einem Krieg könnten solche Hackerattacken ein Mittel von vielen sein, mit denen ein Land angegriffen wird. Doch weil die Hacker im Kriegsfall schnell reagieren müssten und solche Angriffe sehr zeitaufwendig seien, würden sie bereits zu Friedenszeiten geplant.
Anfang 2017 fand eine geheime Sitzung unter anderem von Bundestagsabgeordneten, Bundesnachrichtendienst und Bundesamt für Verfassungsschutz statt. Die Beteiligten kamen überein, dass ein Strom-Hack eine Bedrohung für die nationale Sicherheit darstelle. Sie befanden, dass präventive Maßnahmen allein nicht reichen würden. Ein fünfstufiger Plan wurde entworfen, an dessen Spitze die Cyberabwehr steht. Dabei geht es um digitale Gegenschläge, durch die fremde Infrastruktur zerstört werden soll. Hacker gegen Hacker. Völkerrechtlich wäre das sehr fragwürdig: Eine deutsche Behörde würde ohne Kriegserklärung in fremdes Territorium eindringen, wenn auch nur digital, und dort Schaden anrichten. Solche Fälle sollten die absolute Ausnahme bleiben, beteuert einer, der bei diesen Verhandlungen dabei war. Aber ein schwerer Angriff auf das Stromnetz könnte so eine Ausnahme sein.
In den USA ist man schon weiter. Im alle vier Jahre erscheinenden Atomwaffeneinsatzplan wurde dieses Jahr zum ersten Mal beschrieben, dass bei einem schweren Cyberangriff auf die kritische Infrastruktur der USA oder eines NATO-Verbündeten nun auch mit einem nuklearen Erstschlag gekontert werden könnte.
Nur: Bei wem soll man sich da revanchieren? Hackerattacken sind sehr schwer bestimmten Ländern zuzuschreiben. Den Angriff auf die Ukraine ordnen viele IT-Sicherheitsforscher russischen Hackern zu. Die Firma Dragos, die einen umfassenden Bericht über den Angriff erstellt hat, nennt die Gruppe Electrum. Sie soll die Schadsoftware entwickelt und an Hacker einer Gruppe namens Sandworm weitergegeben haben, die dann für den konkreten Angriff zuständig gewesen sei. Die Entwickler sind die talentierteren Hacker, die im Hintergrund bleiben. Sie basteln Werkzeuge und geben sie ab, sie steigen selbst nicht in die Netze ein. Was, wenn Russland oder Nordkorea eine Schadsoftware erstellen, für den konkreten Angriff aber Hacker engagieren wie Söldner, die in allen möglichen Ländern sitzen können? Wer kann dann für den Angriff verantwortlich gemacht werden? Im Dezember 2017 blieben die Lichter in der Ukraine an. Diesmal kein Angriff. "Warum auch?", fragt Oleksei Yasinsky, der Mann aus Kiew. "Die Hacker haben zwei Angriffe ausprobiert und dabei alles gelernt, was es zu lernen gab." Das US-Technikmagazin Wired nannte den Hack in der Ukraine ein "Testlabor für den russischen Cyberkrieg": eine Probe, was technisch machbar sei, um dieses Wissen auch andernorts anwenden zu können. In den nächsten Jahren werde man vergleichbare Angriffe in den USA und in Europa sehen, sagt Yasinsky, diese würden aber deutlich leiser ablaufen. Was die Öffentlichkeit bisher nicht wusste: Solche Attacken laufen bereits. Im Sommer 2017 fanden sich digitale Fingerabdrücke der Hackergruppe Sandworm bei mindestens zwei deutschen Energieversorgern, wie mehrere Quellen dem SZ-Magazin berichteten.
Damit ist klar: Die momentan wohl bedrohlichste Hackergruppe für Stromnetze hat auch Deutschland ins Visier genommen und versucht sich Zugang zu Systemen zu verschaffen. Anscheinend hat man sie erkannt, ihr Auskundschaften blieb erfolglos. Diesmal zumindest. Die US-Heimatschutzbehörde schlug zuletzt Mitte März 2018 Alarm. In Zusammenarbeit mit dem FBI habe man eine konkrete Bedrohung ausgemacht: ein Programm, dass sich Zugang zur Fernsteuerung von Anlagen verschaffen wolle, mit der möglichen Absicht, ganze Systeme lahmzulegen, Ziel sei womöglich Europa. Um möglichst effektiv zu sein, könne sich die Schadsoftware in mehreren Sprachen anmelden. English, Spanisch, Italienisch, Französisch. Und Deutsch.
Impressionen
Neueste Beiträge
Besucher
Heute28
Insgesamt131222
Kubik-Rubik Joomla! Extensions
Insgesamt131222
Aktuell sind 2 Gäste und keine Mitglieder online
Kubik-Rubik Joomla! Extensions