Wirtschaft: Computerwürmer – Vorboten der Anarchie

Der Informatiker Sergej Ulasen von der weißrussischen Firma VirusBlokAda hatte im Juni 2010 einen Hinweis aus Iran bekommen. Man berichtete ihm von Störungen in Industrieanlagen von größtem nationalen Interesse. Ulasen fand die Ursache: Ein Computerwurm, der später als Stuxnet weltberühmt wurde. Das extrem komplexe Programm war offenbar bereits zweieinhalb Jahre zuvor in Umlauf gebracht worden, um irgendwann eine spezielle Steuerungskonfiguration zu sabotieren, die in Irans Urananreicherungsanlage in Natanz und dem Kernkraftwerk Buschehr installiert war.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schrieb später in einem Bericht, dass Stuxnet weniger als Schadsoftware alarmierend sei. „Wichtig ist der nun vorliegende Nachweis über die Möglichkeit von Angriffen solcher Qualität. Es gibt demnach Täter, die weder Kosten noch Mühen scheuen, um aus ihrer Sicht sehr wichtige Ziele mittels der IT anzugreifen und möglichst unbemerkt zu sabotieren“, schrieben die Beamten.

Stuxnet sorgte auch unter den Betreibern von Kraftwerken und Energieversorgungsnetzen für Unruhe. Zudem häufen sich Medienberichte über Hacker, die sich Zugang zur Steuerung solcher kritischer Infrastrukturen verschaffen. Vor wenigen Wochen etwa berichtete der Bayerische Rundfunk über die Kaperung eines Wasserkraftwerks.

Beim BSI glaubt man aber, dass Stuxnet ein heilsamer Schock war. Mittlerweile hätten die meisten Unternehmen und Organisationen „umfangreiche Absicherungsmaßnahmen getroffen“, sagt BSI-Sprecher Tim Griese. „Dennoch gibt es vielerorts in Bezug auf die IT-Sicherheit noch Nachholbedarf“. Anders als in manchen Industriestaaten, wo Sicherheitsstandards per Gesetz verordnet werden, glaubt man bei der Behörde, dass nachhaltige Sicherheit angesichts einer „sehr dynamischen Bedrohungslage“ nur in Zusammenarbeit von Wirtschaft, Wissenschaft und Staat erreichbar sei. Als Beispiel verweist das BSI auf die „Allianz für Cyber-Sicherheit“, einer Kooperationsplattform in der sich mittlerweile 290 Unternehmen und Organisationen zusammengeschlossen haben.

In der Energie- und Wasserwirtschaft will man es aber auch nicht übertreiben. Man unterstütze grundsätzlich die vorgeschlagene Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle, sagt ein Sprecher des Verbandes BDEW. „Die Meldepflichten sollten aber auf erhebliche IT-Sicherheitsvorfälle mit überregionaler oder bundesweiter Bedeutung beschränkt bleiben.“ Die unselektierte Einbeziehung aller Unternehmen der Energiewirtschaft würde eine erhebliche Koordinierung und Abstimmung erfordern.

Derzeit stimmt sich der BDEW mit BSI und Wirtschaftsministerium auch über Sicherheitsstandards für Smart Meter, die „intelligenten Stromzähler“, ab. Sie gelten als großes IT-Sicherheitsproblem. So hat etwa Professor Ulrich Greveler 2011 in einem Datenschutzprojekt gezeigt, wie Fremde über das Internet aus den Stromzählerdaten lesen können, was jemand aktuell in seiner Wohnung treibt – ob er zum Beispiel Kühlschrank, Herd, Toaster, Lampen oder die Waschmaschine anschaltet. Anhand der Stromverbrauchskurven sei es sogar möglich, zu erkennen, welchen Film jemand gerade im TV schaut, behauptet Greveler.

Noch mehr Horror löst der – auch in der Energiewirtschaft durchaus ernstgenommene – Roman „Blackout“ von Marc Elsberg aus. Er beschreibt, wie sich in Folge einen flächendeckenden Stromausfalls in Europa Anarchie ausbreitet. Eine Ursache auch hier: Eine Sicherheitslücke in den neuen Stromzählern. Die Wochenzeitung „Die Zeit“ hatte im Dezember ein Interview mit dem Autor Elsberg und Bundesnetzagentur-Chef Jochen Homann gedruckt. Er sagte: „Ich habe das Buch zum Anlass genommen, um meinen Mitarbeitern Fragen zur Sicherheit unserer Stromnetze zu stellen. Dass Kraftwerke mit einer Software gesteuert werden, die angreifbar ist, hielt ich zunächst für reine Fiktion – da wurde ich eines Besseren belehrt.“ Kevin P. Hoffmann