Cyberangriff auf kommunale Versorgungseinrichtungen – unterschätztes Risiko

Mit der Funktionsfähigkeit der kommunalen Infrastruktur steht und fällt das wirtschaftliche Wohlergehen und die Lebensqualität in einer Region. Bereits einzelne flächendeckende Störfälle können dabei den Ausschlag dafür geben, dass sich Unternehmen und Individuen gegen einen Standort entscheiden. Schließlich genügt meist schon ein einziger Vorfall, um die Betroffenen empfindlich zu treffen: Ein Stromausfall im digitalen Zeitalter zieht weit mehr nach sich als bloß die Notwendigkeit, für ein paar Stunden die elektrische Beleuchtung durch Kerzenlicht zu ersetzen: Wo immer Notstromaggregate fehlen, stehen Fließbänder still, stürzen Server ab, fallen Ampeln, Züge und Flugzeuge aus, verknappen Lebensmittel und Medikamente ohne Kühlung…

Angesichts dieser überragenden Relevanz der Netzsicherheit ist es wenig verwunderlich, dass diesbezüglich gesteigerte öffentliche Erwartungen an die zuständigen Versorgungsstellen gerichtet werden. Bringen beherrschbare Ursachen Strom-, Wasser- oder Telekommunikationsnetze zum Erliegen, dürfen sich die Verantwortlichen jedenfalls wenig Verständnis von den Betroffenen erhoffen. Dabei müssen sie im 21. Jahrhundert zunehmend auch eine Störquelle beherrschen, die erst seit kurzem bedrohlich geworden ist: ein Cyberangriff auf kommunale Versorgungseinrichtungen.

Wie wahrscheinlich ist ein Cyberangriff auf kommunale Versorgungseinrichtungen?

Dass sich Hacks auch gegen industrielle Steuerungssysteme richten können, zeigte zwar bereits die Entdeckung des Stuxnet-Wurms 2010, der vermutlich zur Sabotage iranischer Atomanlagen diente. Von hier aus schien der Weg aber noch sehr weit, ehe das entsprechende Risiko auch für kommunale Versorgungsbetriebe bedrohlich werden konnte. Mittlerweile zeichnet sich die Gefahr jedoch auch für sie hinreichend konkret ab:

So gelang es Hackern am 23.12.2015 in der Ukraine erstmals, eine Verbindung zur Steuerungseinheit eines Kraftwerks aufzubauen und über Stunden die Stromversorgung von 700.000 Menschen abzuschalten. Möglich wurde dies offenbar dadurch, dass ein Mitarbeiter versehentlich den mit Schadcode versehenen Anhang einer E-Mail geöffnet hatte. Hierdurch wurde ein Brückenkopf im System des Kraftwerkbetreibers geschaffen, über den die Angreifer schließlich per Fernsteuerung das Stromnetz kontrollieren konnten. Dass die Stromversorgung anschließend wieder zügig hergestellt und vor weiteren Cyberattacken abgeriegelt wurde, war in der Ukraine wohl auch dem Umstand geschuldet, dass der Netzbetreiber den Störfall unverzüglich zusammen mit nationalen Behörden wie dem Inlandsgeheimdienst aufarbeitete. Dabei ließ sich ein technischer Defekt rasch ausschließen und stattdessen erkennen, dass die Störung auf Malware zurückzuführen war. Deshalb dauerte es nicht lange, bis die Sicherheitslücke geschlossen wurde, um weitere Zugriffe und einen verlängerten Stromausfall abzuwenden.

Ungewiss scheint jedoch, ob eine derartige Schadensbegrenzung allerorts gelingt. Denn gerade bei kleineren Blackouts dürften die Netzbetreiber auf sich allein gestellt sein, ohne dass sich die zuständigen Fachbehörden unmittelbar nach dem Vorfall einschalten, um die Störungsquelle zu ermitteln. Fehlt in diesen Fällen ein professioneller IT-Service vor Ort oder gar das Risikobewusstsein für Cyberangriffe, wird der Netzbetreiber eher auf einen technischen Defekt schließen – und damit wertvolle Zeit dabei verlieren, die tatsächlich ursächlichen Sicherheitsmängel abzustellen. Dies gilt umso mehr, als bereits bei der Cyberattacke in der Ukraine das Programm „Kill-Disc“ zum Einsatz kam, das Daten überschreibt und so die Spuren eines Zugriffs im System verwischt.

Freilich mögen einige bezweifeln, ob sich aus dem Zwischenfall in der Ukraine ernsthafte Gefahren auch für heimische Versorgungseinrichtungen ableiten lassen. Immerhin wirkt es außergewöhnlich leichtfertig, wie in der Ukraine den Anhang einer zweifelhaften E-Mail zu öffnen.

Dabei darf man jedoch nicht vergessen, dass gerade bei gezielten Hackangriffen zunehmend professionell vorbereitete E-Mails als „trojanische Pferde“ eingesetzt werden, um sich Zugriff zum Netzwerk zu verschaffen: In der Ukraine stammte die E-Mail von einem angeblichen Mitarbeiter des ukrainischen Parlaments, der eine Anfrage an den Netzbetreiber vortäuschte. Wer so einen lauteren Grund zur Kontaktaufnahme vorspiegelt, bewegt sich bereits auf einem ganz anderen Niveau als derjenige, der unverständlich formulierte Massenmails ohne persönliche Anrede von einer dubiosen E-Mail-Adresse aus verschickt. Und ab diesem Punkt lässt sich von den eigenen Mitarbeitern ohne besondere Sensibilisierung schwerlich erwarten, dass sie es ausnahmslos vermeiden, versehentlich auf den Anhang einer plausibel klingenden Anfrage zu klicken. Oder warum sollte es fernliegen, dass etwa eine Personalabteilung den vermeintlichen Lebenslauf eines Bewerbers öffnen will?

Nicht erst solche Gedankenspiele zeigen, dass eine Cyberattacke wie in der Ukraine ebenso gut einen Netzbetreiber hierzulande treffen könnte, wenn er nicht hinreichend darauf vorbereitet ist. Zu einem ähnlichen Ergebnis kommt beispielsweise ein Experiment der Stadtwerke Ettlingen aus dem Jahr 2014: Um seine Sicherheitsinfrastruktur auf den Prüfstand zu stellen, hatte der Stromversorger einen Hacker damit beauftragt, testweise in das System einzudringen und auf die Leitwarte zuzugreifen. Bis dies gelangt, dauerte es nur zwei Tage. Auch hier erleichterte es ein versehentlich geöffneter Anhang, einen Brückenkopf zur Fernsteuerung im System des Netzbetreibers einzurichten.

Wie funktioniert ein Hackerangriff?

Obwohl bereits ein unkritischer Umgang mit E-Mail-Anhängen eine gravierende Sicherheitslücke eröffnet, können Hacker oft weit mehr Schwachstellen eines Systems ausnutzen, um die Steuerungseinheit einer Versorgungseinrichtung zu kontrollieren. Welche dies im Einzelnen sind, vergegenwärtigt der typische Ablauf einer Cyberattacke:

Welche Ziele kommen in Betracht?

Um von außen computerbasiert ein Versorgungsnetz zu manipulieren, muss sich dieses natürlich grundsätzlich digital steuern lassen. Hiervon wird man aber im 21. Jahrhundert in den allermeisten Fällen ausgehen können. Hinzu kommt sogar, dass zunehmend so genannte Smart Meter eingesetzt werden und Netze allmählich als Smart Grids betrieben werden. Hierdurch wird die Versorgung nicht bloß in ihren Grundkonfigurationen kontrollierbar (z.B. durch Einschaltung und Abschaltung der Stromzufuhr). Vielmehr erlauben es Smart Grids, etwa die dezentrale Stromerzeugung an einzelnen Produktionsstätten punktgenau auf den schwankenden Bedarf abzustimmen. Zwar liegen die Vorteile einer solchen Technologie auf der Hand, mit der sich der Netzbetrieb auf Knopfdruck oder gar vollautomatisiert feinjustieren lässt. Vernachlässigen darf man gleichzeitig aber nicht die Sicherheitsdimension: Denn wo immer Netzbetreiber ihre Versorgungseinrichtungen computergestützt feingliedriger steuern können, kann es auch ein Hacker, der in ihre Leitwarte eindringt.

Wie gelangt ein Hacker in das System einer Versorgungseinrichtung?

Eine Kontrollübernahme gelingt, indem sich der Hacker die Nutzungsrechte im System der Versorgungseinrichtung verschafft, die eigentlich nur dessen zuständigen Mitarbeiter zur Kontrolle des Netzbetriebs zustehen. Hierfür kommen grundsätzlich zwei Wege in Betracht:

Entweder der Angreifer schleust ein Fernsteuerungsmodul in das Computernetzwerk des Betreibers ein, um auf dieses ähnlich wie bei einer Fernwartung zuzugreifen. Das Mittel der Wahl hierzu sind vermeintlich lautere E-Mail-Anfragen, aus deren Anhang heraus sich im Hintergrund die nötige Software auf dem Zielrechner installieren kann. Ebenfalls denkbar sind aber beispielsweise irreführende Links, die en pessant einen entsprechenden Download auslösen.

Alternativ ist es einem Hacker möglich, sich vor Ort in ein Netzwerk einzuklinken: Dafür muss er nicht einmal physisch mit den Computern eines Netzbetreibers in Kontakt geraten. Ohne besondere Sicherheitsvorkehrungen genügt es, wenn er z.B. in der Lobby eines Unternehmens eine LAN-Buchse nutzt, die an das Betriebsnetzwerk angeschlossen ist. Ebenso kann er sich etwa über ein Gäste-W-LAN-Netz Zugang verschaffen, wenn dieses nicht hinreichend vom internen Netzwerk separiert wurde.

Wie greift der Hacker im System auf die Steuerungseinheit zu?

Erlangt der Hacker grundsätzlich eine Steuerungsmöglichkeit innerhalb des Netzwerkes, kann er den Versorgungsbetrieb natürlich noch nicht per se stören. Wie leicht ihm dies fällt, hängt davon ab, welche zusätzlichen „Brandschutztüren“ zwischen einem einfachen Netzwerkzugriff und der besonderen Berechtigung zur Kontrolle eines Versorgungsnetzes errichtet wurden. Unerlässlich sind in diesem Zusammenhang zusätzliche Passwortsicherungen; ebenso empfiehlt es sich, das Netzwerk der Leitwarte vom übrigen, mit dem Internet verbundenen Betriebsnetzwerk zu isolieren.

Gleichwohl genügen derartige Vorkehrungen nicht per se; vielmehr bedarf es einer qualifizierten Prävention: Unzureichend ist ein Passwortschutz etwa dort, wo er sich überwinden lässt, indem ein Bot ungehindert denkbare Zeichenkombinationen im Schnelldurchlauf durchprobieren kann. Ebenso wenig nützt eine Netzwerktrennung, wenn ein Angreifer den unvermeidbaren gelegentlichen Austausch zwischen den Netzen erkennen und instrumentalisieren kann. Eine solche Gefahr droht jedenfalls dort, wo regelmäßig Systemupdates aus dem Online-Netzwerk in das Offline-Netzwerk der Leitwarte übertragen werden.

Zu solchen anerkannten Schwachstellen werden darüber hinaus im Laufe der Zeit weitere Sicherheitslücken treten. Das ergibt sich bereits daraus, dass eine zunehmende Konnektivität wie infolge der Smart Grids die Angriffsfläche für Cyberattacken vergrößert. Verschärft wird dieses Problem noch dadurch, dass parallel zum Ausbau der Sicherheitsinfrastruktur auch die Raffinesse der Cyberangriffe dabei steigt, diese zu durchbrechen. Will man die Netzsicherheit also nicht vom Geschick der Hacker abhängig machen, ist es erforderlich, Sicherheitsstandards fortlaufend zu aktualisieren.

Inwieweit kann der Hacker ein Versorgungsnetzwerk stören?

Verbindet sich ein Angreifer erfolgreich mit der Steuerungseinheit einer Versorgungseinrichtung, wird ein Störfall absehbar. Das „Ob“ eines Schadens lässt sich somit nur abwenden, indem Cyberattacken bereits vor dem Zugriff auf die Leitwarte mit wirksamen Barrieren vereitelt werden. Auch dann verbleibt jedoch das unvermeidbare Restrisiko einer übersehenen Sicherheitslücke. Gerade dies gebietet zusätzlich Vorkehrungen, um etwaige Schäden zu begrenzen.

Wie folgenreich eine Cyberattacke ausfällt, richtet sich nicht bloß wie auch bei sonstigen Störungen danach, ob ein intaktes System zur Notversorgung bereitsteht. Wie einschneidend ein Angriff wirkt, ist gleichermaßen eine Frage der Geschwindigkeit, mit der die ausgenutzte Sicherheitslücke geschlossen wird. Wird im Störfall nicht unverzüglich die IT-Dimension des Netzbetriebs umfassend untersucht, geht wertvolle Zeit dabei verloren, die Versorgungssicherheit zu stabilisieren.

Wie lassen sich geeignete Vorkehrungen gegen Cyberattacken treffen?

So wie das entsprechende Risiko zunehmend in das Bewusstsein kommunaler Versorger rückt, ergreift auch die Bundesregierung allmählich Gegenmaßnahmen. Sie finden sich beispielsweise in der Ende 2016 neu beschlossenen Cyber-Sicherheitsstrategie des Bundesinnenministeriums. Konkret soll in diesem Rahmen eine 20-köpfige mobile Einsatzgruppe aufgestellt werden, um Unternehmen bei akuten Sicherheitsvorfällen zur Seite zu stehen. Das Portal heise spricht von einer „Cyber-Feuerwehr“. Hinzu treten private Initiativen wie das ehrenamtliche Engagement so genannter White Hacker. So deckt beispielsweise das Team von Internetwache.org besonders gravierende Sicherheitsmängel auf und kommuniziert diese vertraulich an betroffene Unternehmen und das BSI.

Im Interesse der Netzsicherheit empfiehlt es sich gerade für kommunale Versorgungseinrichtungen, solche staatlichen und ehrenamtlichen Dienste wahrzunehmen. Angesichts der flächendeckenden Bedeutung der Cyber-Sicherheit können solche kapazitätsmäßig begrenzten Angebote jedoch den  meisten Unternehmen nur als ergänzende Hilfestellung dienen. Ein Eigenaufwand kommunaler Netzbetreiber bleibt somit unverzichtbar, um die IT-Infrastruktur kommunaler Netzbetreiber systematisch abzusichern.

Hierzu gibt unter anderem das IT-Sicherheitsgesetz ab 2017 bußgeldbewährte Systemanforderungen vor, anhand derer sich die Cyber-Schutzvorkehrungen einer Versorgungseinrichtung zwangsläufig orientieren müssen. Welche elementaren Sicherheitsmaßnahmen ein bestimmtes Unternehmen dabei konkret befolgen muss, können am zuverlässigsten fachlich versierte Juristen einschätzen.

Die gesetzlichen Vorgaben sollen jedoch lediglich ein Untermaß an Sicherheit gewährleisten, während völlig offen ist, ob dies ausreicht, um einem realen Cyberangriff auf kommunale Versorgungseinrichtungen restlos vorzubeugen.

Ähnliches gilt für die Leitfäden des BSI: Zwar enthalten sie Grundanforderungen an die Sicherheitsarchitektur eines Unternehmens. Gerade an neuralgischen Punkten der öffentlichen Daseinsversorgung wie in den Systemen von Netzbetreibern sind jedoch Cyberangriffe zu befürchten, die aufwändiger orchestriert werden, als dass sie sich mit dem vorgeschriebenen Minimum an Vorkehrungen abwenden lassen.

Gemessen an der Bedeutung der Netzsicherheit erscheint es daher angemessen, die Schutzvorkehrungen eines Unternehmens zweier prüfender Blicke zu würdigen: Desjenigen eines Juristen, um ihre Gesetzeskonformität zu prüfen, und desjenigen eines IT-Spezialisten, um darüber hinausgehende praktisch relevante Sicherheitsschwachstellen aufzudecken.

Als effiziente Methode eignet sich hierzu, einen White Hack zum Ausgangspunkt der Sicherheitsoptimierungen zu machen. Schließlich bieten White Hacker zwei entscheidende Vorteile: Zum einen erlaubt es ihnen ihre Praxiserfahrung, Schwachstellen zielgerichtet entlang der „Laufwege“ wirklicher Cyberangriffe aufzuspüren. Zum anderen stehen sie böswilligen Hackern nahe genug, um Sicherheitsstandards zu entwerfen, die deren tatsächlichen Fertigkeiten und Vorgehensweisen am ehesten Rechnung tragen.

Wer eine Grundzuversicht in die eigenen Sicherheitsvorkehrungen hegt, mag solche Kontrollmaßnahmen für überflüssig halten. Der Fall der Stadtwerke Ettlingen verdeutlicht nach Einschätzung unserer Praxisgruppe für IT-Recht jedoch, dass es weitaus weniger kostet, wenn Juristen und White Hacker Nachholbedarf erkennen, als wenn dafür das BSI oder gar ein feindseliger Cyberangriff auf kommunale Versorgungseinrichtungen nötig ist.


Eine Antwort

  1. […] wir zuletzt noch im Januar von älteren Vorfällen und dem Hackerangriff auf ein Stromnetz in der Ukraine, haben wir es jetzt […]