Cyber-Angriffe zum Anfassen
Was passiert, wenn es passiert: In einem neuen Erlebniscenter will das Netzwerk Pricewaterhouse Coopers Unternehmen für die Gefahren aus dem Internet sensibilisieren.
Feuer«, blinkt es hektisch auf den Bildschirmen der Leitwarte eines Gasversorgers. Kein Wunder, schließlich hat Benjamin Fani Sani ein Feuerzeug vor den Feuermelder gehalten, der die gelbe Gaspipe-line vor Schaden bewahren soll. Dann kommt Oliver Hanka ins Spiel: Er öffnet den Elektronikschrank des Versorgungspunkts, stöpselt einen geschickt programmierten Mini-Computer an - und als Fani Sani das nächste Mal sein Feuerzeug zückt, reagieren die Bildschirme der Leitwarte nicht mehr. Weil solche Verteilerkästen in der Regel nicht im 34. Stock des Frankfurt-Towers, sondern irgendwo im Nirgendwo stehen, ist dieses Szenario in der Realität sehr gefährlich: Je nachdem, wie gut der Mini-Computer getarnt ist und welche Funktionen er sonst noch hat, kann er enormen Schaden anrichten.
Operative Technik stärker ins Visier
Und das ist nur eine von vielen Möglichkeiten, wie man einen Cyber-Angriff auf die sogenannte Operative Technologie (OT) starten kann. Im Gegensatz zur IT, in der es um Daten geht, umfasst die OT technische Anlagen und ihre Steuerung, also Gaspipelines, Wasserwerke oder Roboterarme.
Die OT-Sicherheit hinke ihrer Schwesterdisziplin hinterher, sagt Hanka, weil viele technische Anlangen lange Zeit ohne Verbindung zum Internet betrieben wurden. Die Software sei teilweise bis zu 30 Jahre alt, upgedatet würden Betriebs- und Steuerprogramme kaum, da ihre Funktion gewährleistet werden muss und das - wie wohl jeder PC-Nutzer weiß - nach einem Update nicht immer möglich ist. Die Folgen eines Angriffs auf die OT seien deshalb oft noch verheerender als jene auf die IT.
Um diese Gefahr stärker ins Bewusstsein zu rücken, hat die Wirtschaftsprüfungsgesellschaft Pricewaterhouse Coopers (PwC), die mittlerweile den Hauptteil ihres Umsatzes mit Consulting macht, Mitte März in Frankfurt ein »Cyber Security Experience Center« (CSEC, auf Deutsch: Erlebniszentrum für Cybersicherheit) eröffnet. Die Besucher werden mit einem Blick über die Stadt Frankfurt empfangen, die Tapete hat ein Muster aus den Konterfeis von Darth Vader und einem Stormtrooper, als Toilettenschilder dienen die Videospielhelden Donkey Kong und Prinzessin Zelda - und trotzdem sieht alles ziemlich edel aus.
In der Mitte des Hauptraums ist ein Sammelsurium aus technischer Infrastruktur aufgebaut: ganz vorne die gelbe Pipeline, daneben Windrad und Solarpanel, ein Wassertank, ein Krankenhaus-Überwachungsmonitor, ein Roboterarm, ein Pult zur Steuerung einer Sortieranlage. Alles Gerätschaften, deren Ausfall große Schäden verursachen kann. Einige Schritte weiter gibt es eine Art Puppenhaus samt Tiefgarage, Heizungskeller und Aufzug, um Attacken auf die Gebäudetechnik simulieren zu können. »Wir wollten, dass man Cyber-Angriffe erlebt, statt dass nur jemand auf einen Knopf drückt und dann ist der Angriff ausgelöst«, sagt Hanka, Chef der deutschen Abteilung für Industriesicherheit bei PwC. Das erste Erfahrungszentrum ging vor drei Jahren in Israel in Betrieb.
Der erste dokumentierte OT-Cyberangriff ist bereits deutlich älter: Er hatte im Jahr 1982 eine Pipeline in der ehemaligen Sowjetunion zum Ziel und gelang. »Bis 2008 passierten solche Angriffe aber eher aus Spieltrieb«, sagt Fani Sani, der technische Verantwortliche des Experience-Centers. Danach wurden die Angriffe professioneller, viele werden mittlerweile jahrelang vorbereitet. Etwa der Angriff auf eine iranische Atomanreicherungsanlage mit dem Virus Stuxnet 2010, für den sich die USA und Israel laut Hanka sogar die gleichen Zentrifugen besorgt hatten, um den Computerwurm zu perfektionieren. Oder der Angriff auf ein deutsches Stahlwerk im Jahr 2014, bei dem die Hacker einen Hochofen unter ihre Kontrolle brachten, der in der Folge nicht mehr abgeschaltet werden konnte. Oder der Angriff auf die ukrainische Stromversorgung im Jahr 2015, der zu einem dreistündigen Blackout in Teilen des Landes führte. Die Angriffe auf Stahlwerk und Stromversorgung begannen mit manipulierten E-Mails an Mitarbeiter, also in der IT. Von dort arbeiteten sich die Hacker über Verknüpfungen in die OT weiter. Stuxnet griff, wie der Einbau des Mini-Computers in den Elektronikschrank der Pipeline, direkt die OT an.
Russische Hacker legten Satellit lahm
Eine weitere Möglichkeit besteht darin, gar nicht dort anzugreifen, wo man schädigen oder erpressen möchte, sondern stattdessen einen Dienstleister ins Visier zu nehmen. So machten es etwa russische Hacker am Tag des Kriegsbeginns: Sie legten den Satelliten lahm, über den die ukrainische Armee ihr Internet laufen ließ - genauso wie die Betreiber von deutschen Windrädern. Weder die ukrainische Armee noch die Windräder konnten gesteuert werden.
Einen ähnlichen Fall habe er erst vor Kurzem gehabt, sagt Hanka. Bei der Beratung eines kleinen Mittelständlers, der Frontschürzen für Autos herstellt, habe er eine Sicherheitslücke entdeckt, mit der Hacker potenziellen Zugriff aufs brancheneigene Warenwirtschaftssystem und von dort auf die Infrastruktur großer Autobauer hätten bekommen können. Für den Chef des Zulieferbetriebs hätte das den Ruin bedeutet.
»Natürlich müssen die Sicherheitsmaßnahmen wirtschaftlich sein«, sagt Hanka. Doch klingen viele der Ideen, die im CSEC präsentiert werden, erschwinglich. Im Elektronikschrank der gelben Gaspipeline beispielsweise könnte eine kleine Kamera installiert werden. Oder ein Schalter, der beim Öffnen des Schranks außerhalb von Wartungsintervallen Alarm schlägt. In Zukunft könnte auch künstliche Intelligenz (KI) bei der Erkennung solcher Anomalien helfen und dann Notabschaltungen einleiten, sagt Hanka. Dazu müssten KIs aber noch deutlich besser werden. Und manche Entscheidungen blieben auch dann noch an einem Mensch hängen. Irgendeine Sicherheitslösung müsse aber auf jeden Fall her. »Wir haben Firmenchefs, die sagen: ›Das haben wir bis jetzt nicht gehabt, das brauchen wir auch in Zukunft nicht‹«, sagt Hanka, und blickt auf das Puppenhaus, in dem er mit ein paar unauffälligen Angriffen völliges Chaos angerichtet hat. »Aber das fortschrittliche Denken setzt sich so langsam durch.«