In Deutschland ist niemand cybersicher
20. Mai 2014
Hacker legen in Italien das Stromnetz lahm und verursachen dadurch eine europaweite Kettenreaktion, die zum großen Blackout führt. Atomkraftwerke havarieren, Krankenhäuser stellen den Betrieb ein und Lebensmittel werden knapp. Das sind nur wenige der möglichen Folgen eines solchen Stromausfalls. Klingt wie das Drehbuch eines Techno-Thrillers? Noch ist es das auch, denn die beschriebene Katastrophe stammt aus der Feder des österreichischen Besteller-Autors Marc Elsberg, der ein solches Szenario in seinem Buch "Blackout - Morgen ist es zu spät" durchspielt.
"Ein Zugriff fast ohne Risiko"
Wie es tatsächlich um die Sicherheit von Deutschlands lebensnotwendiger Infrastruktur bestellt ist, darüber debattierten Sicherheitsexperten auf der zweiten Konferenz für nationale Cybersicherheit am Montag (19.05.2014) in Potsdam. Wie gut sind Bahnverkehr, Stromnetz oder Internet-Knotenpunkte hierzulande vor Angriffen von Hackern geschützt? Gut ein Jahr nachdem der Amerikaner Edward Snowden bewiesen hat, dass selbst aus den IT-Netzwerken der US-Geheimdienste massenhaft Daten zu stehlen sind, treibt die Verwundbarkeit kritischer Infrastruktur viele um.
Einer von ihnen ist der Präsident des deutschen Verfassungsschutzes, Hans-Georg Maaßen. Er sieht einen ungebrochenen Trend zum weltweiten Ausbau der technikbasierten Spionage, der sich auch an Cyberangriffen auf Deutschlands Infrastruktur ablesen lasse. Es sei noch immer "ein Zugriff fast ohne Risiko", so der oberste Verfassungsschützer vor rund 200 Experten aus Politik, Wirtschaft und der IT-Branche. "Gerade die Verschleierungsmöglichkeiten, die hohe Erfolgswahrscheinlichkeit von elektronischen Angriffen und die schnelle Zielerreichung sind ein erheblicher Vorteil gegenüber den klassischen Spionage-Methoden in der Realwelt." So gehört es laut Maaßen für die Geheimdienste aus Russland oder China sogar zum Dienstauftrag, "die wirtschaftliche Entwicklung des Landes auch nachrichtendienstlich zu unterstützen."
Diese Aussagen werden auch von Zahlen aus dem "Cybersicherheits-Lagebild" des Bundesamts für Sicherheit in der Informationstechnik (BSI) untermauert. Laut BSI-Statistikern werden pro Monat bis zu sieben Millionen unterschiedliche Versionen neuer Schadsoftware im Internet verbreitet. Für jede dieser neuen Varianten sei anschließend ein entsprechendes Software-Update nötig, um daraus resultierende Sicherheitslücken zu schließen. Damit ist die Schadsoftware für Privatnutzer wie für Betreiber kritischer Infrastruktur gleichermaßen ein Problem.
Und auch die spektakulären Fälle von massenhaftem Identitätsraub im Internet sind für den Verfassungsschützer deutliche Warnsignale. Im ersten Quartal war in Deutschland bekannt geworden, dass bis zu 34 Millionen Passwörter und geheimen Zugangsdaten geknackt und von Hackern entwendet worden seien. 30 Mal, so Maaßen, hätten Bundesbehörden Hackerangriffe aktiv verhindern müssen. "Häufig finden die Angreifer leicht verwundbare Standard-IT-Komponenten vor", beklagt Maaßen. Selbst geschultes Fachpersonal wie IT-Administratoren könnten elektronische Angriffe oft nicht erkennen.
Bundesregierung bereitet IT-Sicherheitsgesetz vor
Um auf die wachsende Bedrohung für IT-gestützte Infrastrukturen zu reagieren, will die Bundesregierung noch 2014 ein IT-Sicherheitsgesetz auf den Weg bringen. In enger Abstimmung mit der Industrie soll darin für Betreiber kritischer Infrastrukturen eine Meldepflicht für schwerwiegende Cyberangriffe verankert werden. Bislang existiert für viele sensible Bereiche nur eine freiwillige Meldepflicht. Jetzt gehe es darum, fordert der Vize-Präsident des BSI Andreas Könen, ein lückenloses Sicherheitslagebild im Cyberraum Deutschlands zu bekommen. Zudem will er durch den verstärkten Einsatz von Datenverschlüsselungstechniken (auch Kryptografie genannt) die Schnittstellen von sensiblen IT-Netzwerken sicherer machen.
Hans-Georg Maaßen sieht dagegen in der fehlenden technologischen Souveränität des Landes langfristig ein Kernproblem auch für die IT-Sicherheit: "Wir haben den Cyberraum vernachlässigt, und haben noch nicht einmal Mobilfunkendgeräte, die noch in Deutschland oder demnächst auch nicht mehr in Europa hergestellt werden." Hardware, Software oder Netzwerke, die ganze Produktpalette moderner Kommunikationstechnologien werde durch amerikanische oder asiatische Konzerne beherrscht. Das sei vor allem bei der Krisenprävention ein Problem, denn für Sicherheitsexperten bleibe die Soft- und Hardware aus fremder Produktion ein Sicherheitsrisiko. Maaßen plädiert deshalb dafür, auf deutscher oder europäischer Ebene sicherheitsrelevante Vorrangbranchen zu identifizieren, in denen mittelfristig europäische Produktionskapazitäten aufgebaut werden sollten. Das Ziel: weniger technologische Abhängigkeiten.
Systeme bauen, die ausfallen können
Für den Amerikaner Ben Scott, IT-Sicherheitsexperte in Diensten der Stiftung Neue Verantwortung in Berlin, sind solche Töne "Schnee von gestern". Scott, der früher als Cybersecurity-Berater von US-Außenministerin Hillary Clinton auftrat, glaubt nicht mehr daran, dass Länder technologisch unabhängig sein können. "Diese Idee ist attraktiv, aber eben nur auf dem Papier real." Er rät der Bundesregierung, sich lediglich im Kernbereich der militärischen Infrastruktur ganz und gar auf einheimische Produkte zu verlassen. "In den meisten anderen Fällen, und das ist auch im Falle Deutschlands so, wäre der Weg zu echter technologischer Unabhängigkeit ein rund 25-jähriges Langzeitprojekt, das mehrere dutzend Milliarden Euro verschlingen wird."
Henning Kagermann, Präsident der deutschen Akademie für Technikwissenschaften (Acatech), hat deshalb pragmatischere Vorschläge im Gepäck. Um komplexe IT-Systeme auch im Notfall beherrschbar zu halten, plädiert er für eine Unterteilung großer Infrastrukturen in Teilsysteme. Netze müssten künftig so gebaut werden, dass Unfälle oder Cyberangriffe eingrenzbar sind. "Wenn eine lokale, dezentrale Einheit ausfällt, bricht nicht das gesamte System zusammen." Das muss laut Kagermann die Messlatte sein, mit der kritische Infrastrukturen konzipiert werden sollte. Am Beispiel des Stromnetzes bedeutet dies für Kagermann: Deutschland sollte bereits aus Sicherheitsgründen den Trend zu dezentralen Stromversorgung mit erneuerbaren Energien weiterverfolgen, denn dieser Trend macht das Land weniger abhängig vom Funktionieren einiger weniger Zentralkraftwerke und daraus resultierend zentralisierter Netze.
Sicher, aber nicht so ganz
Wenig verwunderlich, dass es dem Vertreter eines deutschen Energiekonzerns zu Ende der Konferenz am Herzen lag, die bestehenden Zweifel an der Sicherheit deutscher Netzinfrastrukturen auszuräumen. Andreas Ebert, oberster Sicherheitsbeauftragter des Kernkraftwerksbetreibers RWE versicherte, dass ein Hackerangriff wie im Techno-Thriller "Blackout" beschrieben in Deutschland in der Realität fehlschlagen würde. "Nein, so ein Szenario könnte heute in Deutschland nicht passieren", bestätigte Ebert auf Nachfrage. Dabei verschwieg er, dass mit dem Stadtwerk Ettlingen im April dieses Jahres der erste Stromversorger einen realen Praxistest eines Hackerangriffs auf seine Infrastruktur simulierte. Das Ergebnis damals: Die Hacker konnten die Kontrolle zentraler Funktionen übernehmen - und behalten.