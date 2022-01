Es ist ein Horrorszenario: In der Ukraine-Krise greifen Hacker im Auftrag eines russischen Geheimdienstes deutsche Stromnetze an und legen sie in großen Teilen lahm. Die Bevölkerung sitzt frierend in den Wohnungen, in den Städten attackieren Plünderer mit Einbruch der Dunkelheit die Geschäfte, die schon durch die Pandemie stark belasteten Krankenhäuser müssen auf Notbetrieb umstellen.

Im Juni 2020 warnte der damalige Präsident des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe, Christoph Unger, bei einem Blackout „bricht in ein, zwei Tagen Chaos aus“. Er betonte, das sei zum Glück nicht sehr wahrscheinlich, doch Sicherheitskreise sehen in der Ukraine-Krise ein weiter wachsendes Risiko russischer Cyberattacken.

„Wir schauen jetzt noch genauer hin“, heißt es. Wozu russische Hacker fähig sind, zeigte sich schon Weihnachten 2015. Die Angreifer unterbrachen in der westlichen Ukraine die Stromversorgung, betroffen waren 230 000 Menschen.

Seitdem Putin an der Grenze zur Ukraine Truppen für einen möglichen Angriff zusammenzieht und die Nato verstärkt unter Druck setzt, um eine Aufnahme der Ukraine in das Militärbündnis für lange Zeit zu blockieren, wächst die Gefahr eines hybriden Krieges, mit Schlägen auch gegen Deutschland.

Das russische Regime hat offenbar gerade wieder in der Ukraine seine Aggressivität demonstriert. Am 13. Januar legten Hacker Dutzende Websites der ukrainischen Regierung lahm. Auf den Monitoren erschien die Drohung, „Ukrainer! All eure persönlichen Daten wurden gelöscht und können nicht wieder hergestellt werden.

Alle Informationen über euch sind veröffentlicht, habt Angst und rechnet mit dem Schlimmsten“. Der Angriff weckt die Erinnerung an die Attacke der Hackergruppe „Fancy Bear“ des russischen Militärgeheimdienstes GRU auf den Bundestag im Jahr 2015. Mehr als 16 Gigabyte Daten von Abgeordneten flossen ab.

Womöglich haben russische Geheimdienste schon einen Angriff auf die deutsche Stromversorgung oder eine andere Kritische Infrastruktur vorbereitet. Habe ein Geheimdienst sich den Zugriff auf ein System verschafft, werde er sich „schrittweise durch das Netzwerk durcharbeiten, ohne dabei erkannt zu werden“, sagt Johannes Klick. Er ist Geschäftsführer des Unternehmens Alpha Strike Labs, das 2020 den maroden Zustand der IT-Sicherheit der Berliner Wasserbetriebe analysierte.

Klick warnt, eine ausländische Macht, die Kritische Infrastrukturen angreifen wolle, müsste deren Systeme „weit vor dem geplanten Angriff kompromittieren und Schadsoftware als unerkannte ,Schläfer’ einsetzen“. Die Schadsoftware warte dann "auf ein Kommando, ein Datum oder die Existenz einer bestimmten Website, bevor sie aktiv wird und Schaden anrichtet".

Besonders gefährdet sind für Klick Kritische Infrastrukturen mit unbemannten Außenstationen. Das betreffe vor allem „Verdichterstationen der Gasnetzbetreiber, kleinere Pumpwerke der Wasserwirtschaft und die Umspannwerke der Stromnetzbetreiber, die meist über digitale Netzwerke verfügen“. Dies ermögliche dem Angreifer „einen Zugriff auf das gesamte Netzwerk“.

Die Cyberattacke muss demnach nicht direkt aus dem Internet kommen, sie kann auch mit dem Einbruch in ein Umspannwerk starten. Der physische Zugriff in ein "schlecht gesichertes, unbemanntes Umspannwerk im ländlichen Raum kann einem Angreifer Zugriff auf weitere Umspannwerke über das Produktionsnetzwerk ermöglichen", sagt Klick. "Folglich könnten mehrere Umspannwerke manipuliert und so ein Blackout herbeigeführt werden".

Klick sagt allerdings auch, "grundsätzlich würde ich davon ausgehen, dass das IT-Sicherheitsbudget der großen deutschen Strombetreiber größer als das der ukrainischen Betreiber ist und die deutschen Betreiber sich daher vermutlich auch in einem besseren Zustand befinden".

BSI sieht hohes Sicherheitsniveau

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht jedoch die Stromversorgung nicht in akuter Gefahr. „Grundsätzlich muss immer mit Cyber-Angriffen gerechnet werden", sagt ein Sprecher, doch bestehe bei den Unternehmen „ein hohes IT-Sicherheitsniveau“. Das „IT-Sicherheitsgesetz 2.0“ schreibe den Einsatz von „Angriffserkennungssystemen“ vor. Solche Vorgaben würden helfen, Angriffe „zu erschweren oder zu verhindern“.

Johannes Klick hat allerdings Zweifel. Die Praxis zeige, dass die Kontrollen der Kritischen Infrastrukturen auf der Basis des BSI-Gesetzes "oft nur die Papierdokumentation der Sicherheitsprozesse überprüft wird". Technische Prüfungen, zum Beispiel von Firewall- und Routerkonfigurationen oder der "Security-Patches" für Serverbetriebssysteme "werden oft nicht durchgeführt". Seine Firma habe in der Vergangenheit mehrfach erlebt, "dass wichtige Firewalls so schlecht konfiguriert waren, dass sie nicht mehr wirksam einen Angreifern aufgehalten hätten".