Energiesicherheit

„In jeder essenziellen kritischen Infrastruktur steckt mindestens ein Geheimdienst drin“

Interview: Astrid Dähn, 07.04.22
... sagt der IT-Sicherheitsexperte Manuel Atug. Er warnt deshalb vor zu intensiver digitaler Vernetzung und rät Energieversorgern, Insellösungen zu schaffen, die Stromlieferungen vor Ort auch dann noch garantieren, wenn Hacker das Gesamtsystem lahmlegen.

neue energie: Im Zusammenhang mit Russlands Angriff auf die Ukraine wird derzeit viel über ‚hybride Kriegsführung‘ spekuliert, also darüber, dass die reale Invasion möglicherweise von offensiven Angriffen im Cyberraum flankiert werden könnte. War das digitale Schlachtfeld bislang tatsächlich von Relevanz für den Ukraine-Konflikt?

Manuel Atug: Kommt darauf an, was man unter kriegerischer Relevanz versteht. Hybride Kriegsführung bedeutet ja, dass man den Cyber- und Informationsraum in seiner Kriegsstrategie mitnutzt. Das heißt im Allgemeinen, dass über diese Kanäle in Friedenszeiten Aufklärung, also Spionage betrieben wird. In Kriegszeiten werden die Zugänge dann ausgebaut und zur Informationsbeschaffung missbraucht. Gleichzeitig eignen sich die digitalen Netze zur Verbreitung von Desinformation oder Propaganda, und im Extremfall natürlich auch für gezielte Angriffe. Aber erfolgreiche Attacken, die beispielsweise kritische Infrastrukturen wie die Strom- oder Wasserversorgung langfristig lahmlegen, sind selten. Das hat sich auch in der Ukraine gezeigt. Die viel zitierten ‚massiven Cyber-Angriffe‘ waren in der Regel doch eher so etwas wie DDoS-Attacken, also eine Art digitale Sitzblockade gegen bestimmte Webseiten. Das wird den Krieg nicht entscheiden.

ne: Weshalb gab es bisher keine wirkungsvolleren Angriffe, beispielsweise auf die Energieinfrastruktur?

Atug: Das ist eben nicht Hollywood. Im Film würde jemand kurz fünf Minuten lang auf der Computertastatur herumklimpern und damit alles Mögliche bewirken. In der Realität funktioniert das nicht so einfach. Angriffe gegen kritische Infrastrukturen, in deren Folge die Versorgung wirklich lange ausfällt, sind extrem komplex und schwierig, Sie müssen dabei unheimlich viele Parameter berücksichtigen.

ne: Zum Beispiel?

Atug: Angenommen, Sie wollen eine Ölraffinerie angreifen, indem Sie Überdruck in einer bestimmten Rohrleitung schaffen, in der sich ein explosives Gasgemisch befindet. Das Rohr bricht, Gas tritt aus, bei Funkenschlag gibt es eine Explosion und die ganze Raffinerie fliegt in die Luft. So etwas könnte man theoretisch mit einem IT-Angriff hinbekommen.

ne: Das wurde tatsächlich auch versucht, in einer petrochemischen Fabrik in Saudiarabien im Sommer 2017 ...

Atug: Ja, das war der sogenannte Triton-Angriff. Hacker haben die Safety-Abschaltungs-Software so manipuliert, dass sich die Sicherheitsabschaltung bei Überdruck nicht aktivieren sollte. Der Angriff hat aber nicht geklappt, weil so eine Raffinerie eben aus undurchblickbar vielen Komponenten und Stellschrauben besteht. Es genügt schon, wenn irgendwo ein mechanisches Überdruckventil sitzt, das den Gasstrom kontrolliert entweichen lässt. Dann können Sie rumcybern so viel Sie wollen – die Katastrophe passiert nicht.

ne: In der Ukraine gab es aber im Dezember 2015 und 2016 Hacker-Angriffe auf das Stromnetz – mutmaßlich aus Russland –, die erfolgreich waren. Sie haben zumindest jeweils in einigen Regionen des Landes zu Stromausfällen geführt.

Atug: Ja, aber nur für ungefähr eine Stunde, und die Unterbrechungen betrafen maximal ein paar hundertausend Einwohner. Ziel war eigentlich ein richtiger Blackout, also ein langanhaltender, landesweiter Ausfall über mehrere Tage. Für so eine umfassende cyberbedingte Sabotage der Versorgung wüsste ich weltweit bisher kein konkretes Beispiel. Wenn Putin mit seinen Truppen sowieso schon in der Ukraine vor Ort ist, kann er das leichter und effizienter mit Bomben oder Raketen bewerkstelligen. Dann ist die Infrastruktur wirklich kaputt, und zwar nachhaltig und dauerhaft. Genau das passiert ja derzeit.

ne: Es geht allerdings nicht nur um die Ukraine. Experten sehen aktuell auch eine besondere Bedrohung für die kritische Infrastruktur anderer Länder, etwa der Nato-Mitgliedsstaaten, die Kiew gegen Putin unterstützen. Kurz vor Beginn der russischen Invasion in die Ukraine wurde ein Satellit des US-Kommunikationsdienstleisters Viasat gehackt. In der Folge fiel bei tausenden Windrädern in Deutschland die Fernsteuerung aus. Wie ist das einzuordnen? Was sollte mit dieser Attacke bezweckt werden?

Atug: Das ist noch nicht lückenlos aufgeklärt. Aber wie es scheint, wollte man von russischer Seite den Satelliten ausfallen lassen, um die Kommunikation in der Ukraine zu stören. Aus militärstrategischer Sicht macht das Sinn: Ich unterbreche das Kommunikationsnetz, sodass sich der Gegner nicht mehr koordinieren kann und vielleicht kein Funksignal mehr hat, um seine Abwehrsysteme zu steuern. Und dann greife ich an.

ne: Das war aber nicht der einzige Effekt ...

Atug: Nein, tatsächlich wurde dabei noch einiges mehr kaputtgemacht, weil alle Modems, die mit dem Satelliten im Signalaustausch standen, ein Modem-Update geladen haben und danach funktionsunfähig wurden. Dazu gehörten die Modems vieler tausend Windräder, über die der Fernwartungszugriff für die Anlagen läuft, aber auch Einsatzleitwagen des deutschen Katastrophenschutzes waren betroffen. Die Windräder haben allerdings nicht aufgehört, Strom zu erzeugen. Sie liefen einfach in einem automatischen Safety-Produktionsmodus weiter.

ne: Die Störung der Windradfernsteuerung war also ein reiner Kollateralschaden.

Atug: Höchstwahrscheinlich, und das zeigt, dass bei einem Hackerangriff das Risiko für ungewollte Nebenschäden viel größer ist als die Wahrscheinlichkeit, das angepeilte Ziel auszuschalten. Deshalb ist es aus meiner Sicht keine gute Idee, wenn die Militärs in Europa oder den USA jetzt darüber diskutieren, zum offensiven Gegenschlag, also zu Hackbacks überzugehen. Wohin soll das führen? Wollen wir uns alle gegenseitig hacken? Welcher Schaden dann bei wem entsteht, lässt sich im Vorhinein doch gar nicht beurteilen, weil die digitalen Systeme weltweit so eng miteinander vernetzt sind. Ich halte das für extrem riskant, fast schon grob fahrlässig. Wer von offensiven Maßnahmen im Cyberraum spricht, hat nicht verstanden, wie gefährdet die eigene kritische Infrastruktur dadurch sein kann.

ne: Was sollte man also stattdessen tun?

Atug: Man sollte sich auf die eigentliche, sehr viel grundlegendere Frage zurückbesinnen. Die lautet nicht, ob speziell Putin uns hier in Deutschland irgendwie den Strom abdrehen kann, sondern wie wir allgemein sicherstellen können, dass tagtäglich verlässlich Strom aus der Steckdose kommt. Das schaffen wir nicht, indem wir mit Hackbacks drohen. Dazu müssen wir die Widerstandsfähigkeit der deutschen kritischen Infrastruktur priorisieren und eine breit aufgestellte Cyber-Resilienz schaffen – gegen ungezielte Kollateralschäden genauso wie gegen Erpressungsversuche mit Ransom-Software, andere kriminelle Cyberattacken oder auch gegen Naturkatastrophen.

ne: Wie weit sind wir hierzulande damit denn schon, insbesondere, wenn es um kritische Infrastrukturen wie die Energieversorgung geht?

Atug: Sie finden in den kritischen Infrastrukturen die ganze Bandbreite, von ganz schlecht geschützt bis sehr gut aufgestellt, egal ob in Deutschland oder im Ausland, egal welche Branche und welche Spezialisierung. Fest steht: Niemand kann sich im Moment entspannt zurücklehnen und sagen, bei uns kann nichts passieren. Wenn man ein Hochwertziel ist – und das ist jede kritische Infrastruktur –, muss man immer alle denkbaren Gefahren im Blick haben und im Gesamtkonzept der Sicherheitsmaßnahmen berücksichtigen.

ne: Deutschland hat 2015 eigens ein IT-Sicherheitsgesetz erlassen, das die Betreiber kritischer Infrastrukturen zu besonderen Vorsichtsmaßnahmen verpflichtet, zum Beispiel ihre Anlagen mit einem gewissen Basisschutz auszurüsten und die Behörden über sicherheitsrelevante Vorfälle zu informieren. Reicht das?

Atug: Naja, die Regierung hat sich bemüht, innerhalb der gegebenen Möglichkeiten einen gesetzlichen Rahmen zu schaffen. Der wurde aber durch Einfluss von Lobbyisten aus den betroffenen Branchen stark verwässert. Am Ende brauchte man schon fast eine Ausbildung, um die Regelungen zu verstehen und nachzuvollziehen, wen genau sie betreffen. Bei der jüngsten Überarbeitung des Gesetzes zum IT-Sicherheitsgesetz 2.0 war ich selbst einer von sechs Sachverständigen, die von der Bundesregierung eingeladen waren, Feedback zu geben. Leider wurde von den vielen Kritikpunkten unserer Sechsergruppe so gut wie gar nichts berücksichtigt.

ne: Wo liegt Ihrer Meinung nach das Hauptproblem?

Atug: Es gibt zu viele Schlupflöcher. Betreiber kritischer Infrastrukturen müssen beispielsweise nur dann die vorgeschriebenen IT-Sicherheitsmaßnahmen umsetzen, wenn sie mehr als 500.000 Menschen versorgen. Städte wie Bonn, Paderborn oder Augsburg könnten demnach komplett stromlos oder wasserlos sein. Weil ihre Einwohnerzahl zu klein ist, wäre das kein Kritischer-Infrastruktur-Vorfall, den dieses Gesetz abdecken würde. Besonders extrem zeigt sich dieses Manko auch bei den Wasserwerken. Von den mehr als 5000 Anlagen in Deutschland fallen weniger als 50 unter das Gesetz, für alle übrigen gelten keine speziellen Sicherheitsanforderungen.

ne: Weshalb wurde das Gesetz nicht schärfer gefasst?

Atug: Anscheinend war bei den Lobbyisten aus der Industrie nicht der Schutz kritischer Infrastrukturen das Primärziel. Im Vordergrund stand eher die Wirtschaftlichkeit. Natürlich kosten IT-Schutzmaßnahmen Geld, und man muss eine Balance zwischen Sicherheit und Kosten finden. Aber so ist das weder logisch noch sinnvoll.

ne: Und die Schäden durch Cyberangriffe können auch teuer werden...

Atug: Absolut. Nehmen wir zum Beispiel den Landkreis Anhalt-Bitterfeld. Dort haben Cyberkriminelle letzten Juli die Behörden-IT kompromittiert und lahmgelegt. Die Lösegeldforderung zum Freischalten betrug rund 500.000 Euro. Ungefähr 160 Fachverfahren von der Personalausweis-Beantragung über die Sozialauszahlungen bis zur Kfz-Anmeldung waren betroffen und konnten fast ein Jahr lang nicht richtig arbeiten. Insgesamt belief sich der Schaden auf circa zwei Millionen Euro – dafür kann man verdammt viele präventive Schutzmaßnahmen einführen.

ne: Was sind im Energiesystem die neuralgischen Punkte, die man präventiv am intensivsten vor Cyber-Attacken schützen müsste?

Atug: Ich möchte hier natürlich nicht öffentlich machen, wo die besten Angriffspunkte wären. Es gibt auf alle Fälle jede Menge solcher Punkte. Um wirklich eine cyber-physische Wirkung zu entfalten, um etwa einen katastrophalen Blackout in ganz Deutschland zu verursachen, muss ein Angreifer allerdings strategisch sehr strukturiert vorgehen. Das erfordert viele Monate Aufwand und ist damit eigentlich nur für staatliche Akteure möglich, die über entsprechende Ressourcen verfügen.

ne: Einen Angriff im Kriegsfall müsste man folglich in Friedenszeiten längst vorbereitet haben.

Atug: Ganz genau. In Friedenszeiten dringen die Geheimdienste in kritische Infrastrukturen, um für den Notfall vorbereitet zu sein. Das läuft weltweit überall so, bei den Russen, den Amerikanern und auch bei den Deutschen. In die letzte Gesetzesnovelle des Bundesnachrichtendiensts vor ein paar Jahren wurde ja sogar reingeschrieben: Der BND darf ausländische Telekommunikationsunternehmen hacken. Telekommunikation ist kritische Infrastruktur.

ne: Wir müssen also davon ausgehen, dass die Russen schon in unserer Energieinfrastruktur drinstecken?

Atug: Nicht nur die Russen, alle machen das. Sie können davon ausgehen: In jedem strategisch interessanten Hochwertziel, in jeder essenziellen kritischen Infrastruktur stecken mindestens ein, wenn nicht sogar mehrere Geheimdienste drin, über unterschiedliche Zugangswege.

ne: Welche Chancen hat ein Staat, sich dagegen zu wappnen?

Atug: Ich bin mir sicher, dass die Staaten ihre Systeme regelmäßig nach Eindringlingen durchforsten. Das führt vielleicht manchmal zum Erfolg, aber nicht verlässlich. Denn die Geheimdienste versuchen natürlich, möglichst passiv im Hintergrund zu agieren, still mitzuhören oder auszukundschaften, was wie funktioniert, um dann gegebenenfalls effektiv losschlagen zu können.

Dies ist eine gekürzte Fassung. Das vollständige Interview mit Manuel Atug lesen Sie in Ausgabe 4/2022 von neue energie.


Manuel Atug

ist IT-Sicherheitsberater, spezialisiert auf die Unterstützung und Überprüfung kritischer Infrastrukturen. Dazu zählen neben Industriesektoren wie Energie, Wasser, Transport und Lebensmittelproduktion auch das Gesundheitswesen, die Telekommunikation und die Staatsverwaltung, die Medien und die Finanzbranche. Atug ist zudem Mitgründer und Sprecher der AG Kritis, einer unabhängigen Expertengruppe, die sich dafür einsetzt, die Versorgungssicherheit in Deutschland zu erhöhen.

Kommentare (0)

Kommentar verfassen»

Kommentar verfassen

Aktuelles Magazin

Ausgabe Nr. 08 / 2022

Die große Mauer - Gestörte Lieferketten und steigende Rohstoffpreise machen der Erneuerbaren-Branche zu schaffen

Bisherige Ausgaben »
Anzeige

Social Media