Vorstoß gegen Cyberkriminalität: Europa rüstet gegen Datendiebe auf

Es passierte einen Tag vor Heiligabend. Ein hochrangiger IT-Mitarbeiter eines Energielieferanten in der Westukraine sitzt nachmittags an seinem PC. Er ordnet Papiere, plötzlich sieht er, wie sich sein Cursor verselbstständigt. Er hat keinen Zugriff mehr auf das, was, wie von Geisterhand gesteuert, jetzt abläuft.

Zielgerichtet werden Buttons aktiviert, die die Stromlieferung unterbrechen. Dann geht ein Dialogfenster auf seinem Bildschirm auf: „Wollen Sie die Aktion bestätigen?“ Der Cursor wandert zu der Box und klickt „Bestätigen“ an. Während in der Region Ivano-Frankivsk in den Wohnungen und Häusern die Lichter ausgehen und großenteils auch die Heizungen, versucht der Mann verzweifelt einzugreifen. Er kann machen, was er will, der Computer reagiert nicht mehr auf seine Eingaben. Dann sieht er, wie er von der Maschine ausgeloggt wird. Alle Versuche, wieder ins System zu kommen, sind zwecklos. Die Hacker haben inzwischen sein Passwort geändert. Hilflos muss er mitansehen, wie hintereinander 30 Unterstationen von der Stromversorgung abgeklemmt werden.

Attacke in der Ukraine zeigt die Macht der Hacker

Zeitgleich werden zwei weitere Energielieferanten in der Region attackiert. Erstmals in der Geschichte geht ein ganzes Stromnetz wegen eines Hackerangriffs in die Knie. 230 000 Menschen sitzen für Stunden im Dunkeln und frieren. Der Angriff wird auf mehreren Ebenen gefahren: Auch die Callcenter der Stromversorger sind lahmgelegt. Tausende von fingierten Anrufen aus Moskau bombardieren die Telefonzentralen, kein Verbraucher kommt mehr durch. Wenn die Attacken auf mehreren Ebenen ablaufen, nennen Experten für Cyberkriminalität dies einen hybriden Angriff. Im Fall der Ukraine wird auch noch eine Flut von Propaganda-Lügen über die sozialen Netzwerke registriert.

In Sicherheitskreisen hat die Attacke in der Ukraine für größte Aufregung gesorgt. Viele Hinweise deuten darauf hin, dass die Urheber aus Moskau kommen. Ein hochrangiger Experte im Umfeld der EU-Kommission sagt: „Vermutlich sollte uns im Westen mit diesem über Monate vorbereiteten Angriff signalisiert werden, wozu die Gegenseite imstande ist.“ In Brüssel heißt es: „Wir glauben, dass es sich um einen staatsfinanzierten Angriff auf die kritische Infrastruktur eines anderen Staates handelt – so etwas haben wir bislang nicht gesehen.“

Jetzt rüstet die EU auf. Brüssel will verhindern, dass so etwas wie in der Ukraine auch zwischen Helsinki und Palermo passieren kann. 450 Millionen Euro will die Kommission nach Tagesspiegel-Informationen bis zum Jahr 2020 für die dazu nötige Grundlagenforschung zur Verfügung stellen. Unternehmen, Bürger und Behörden sollen so besser gegen Datendiebstahl, digitale Wirtschaftsspionage und Sabotage geschützt werden.

Bis zu 150 Unternehmen soll mitmachen

Das Geld steht für einen neuen Zusammenschluss von Unternehmen, Wissenschaft und Behörden zur Verfügung. Derzeit werden die Verträge für die Kooperation von Unternehmen, Behörden und Militär unterschrieben. Bis zu 150 Firmen sollen bei dem Private-Public-Partnership-Projekt mitmachen, erfuhr der Tagesspiegel. Die Gespräche laufen unter anderem mit Bosch, Siemens, Infineon und Airbus. Die Firmen bringen eigenes Kapital mit. Die Mittel der Industrie sollen sich noch einmal auf gut 1,2 Milliarden Euro belaufen, sodass insgesamt über 1,6 Milliarden Euro zur Verfügung stehen.

Die Initiative, die an diesem Dienstag von der Kommission beschlossen wird, geht auf EU-Digitalkommissar Günther Oettinger (CDU) zurück. Oettinger will industrielle Kapazitäten zum Schutz gegen Hackerangriffe in Europa halten. Ziel der Kommission ist, dass die Cybersicherheitsbranche in der EU ihren Anteil am Weltmarkt von 25 Prozent hält und ihr Umsatz jährlich um acht Prozent wächst. Ein weiteres Abwandern von kleinen Start-ups in Drittstaaten, vor allem die USA, soll verhindert werden. Da der digitale Binnenmarkt im Bereich der Cybersicherheit nur unzureichend funktioniere, stoßen nach Einschätzung der Kommission in Europa viele Firmen schnell an Wachstumsgrenzen.

Der heutige Schutz gegen Cyberangriffe ist nach Meinung Brüssels nicht ausreichend. „Ein Angriff kann den digitalen Binnenmarkt sowie das wirtschaftliche und gesellschaftliche Leben insgesamt schwer beeinträchtigen“, heißt es in einer Erklärung der Kommission an das Parlament und die Mitgliedstaaten. Behörden haben in jüngster Zeit wiederholt Cyberattacken mit „erpresserischen Trojanern“ registriert. Mehrere Krankenhäuser und Universitäten mussten in der Folge ihren Betrieb für Tage komplett einstellen und konnten ihn teils erst nach dem Zahlen von Lösegeld wieder aufnehmen.

Schaden summiert sich auf 51 Milliarden Euro - pro Jahr

Nach einer Studie des Branchenverbandes Bitkom wurde jedes zweite deutsche Unternehmen 2014 und 2013 Opfer eines Hackerangriffs. Der Schaden durch Cyberkriminalität wird auf über 51 Milliarden Euro im Jahr geschätzt. Dies ergab eine Umfrage unter 1074 Unternehmen. Am häufigsten waren dabei mit 68 Prozent Unternehmen der Automobilbranche betroffen. Aber auch 66 Prozent der Pharma- und Chemieunternehmen registrierten einen Hackerangriff sowie 60 Prozent aller Unternehmen im Finanzsektor. Von Spionage und Sabotage sind weniger die ganz großen Konzerne, sondern vor allem die mittelständischen Unternehmen betroffen. 61 Prozent aller Mittelständler gaben an, schon einmal im Fokus von Cyberkriminellen gewesen zu sein.

Das Bedrohungsszenario durch Wirtschaftsspionage, Sabotage oder Datendiebstahl, das die Kommission zeichnet, ist besorgniserregend. „Trotz einiger Erfolge bleibt die EU verwundbar für Cybervorfälle“, heißt es in einem Text, der den Kommissaren am Dienstag vorliegen wird. Besonders kritisch werde es, wenn gleich mehrere EU-Länder zeitgleich Ziel einer Cyberattacke würden.

Derzeit liegt einiges im Argen. Auch die Zusammenarbeit von Behörden, Militär und den Unternehmen, die ihr Geld mit der Abwehr von Cyberattacken verdienen, könnte besser werden, heißt es in Brüssel. Bislang ist sie mangelhaft. Wissen und Expertise seien zwar sehr wohl vorhanden, heißt es in einem Papier der EU-Kommission, es sei aber „zu sehr verstreut und nicht strukturiert“ abrufbar. Die Unternehmen würden zu wenig kooperieren. Wohl auch aus Sorge, Wissen an die Konkurrenz zu verlieren. Daher peilt der Ansatz von Oettinger nun eine Zusammenarbeit in der Grundlagenforschung, also im vorwettbewerblichen Stadium, an.