Wenn der totale Blackout droht

Der Tag, als Wolfgang Behringer in einem realen Cyberkrimi landet, beginnt für den Werkleiter der Donau-Stadtwerke Dillingen-Lauingen (DSDL) mit einer Joggingrunde an der Donau. Es ist der 18. April 2022, Ostermontag. Sein Handy klingelt. Die EDV. Danach ist nichts mehr wie zuvor.

Seit Jahren steigt die Zahl der Cyberangriffe auf deutsche Unternehmen. Der Digitalverband Bitkom rechnet mit einem jährlichen Gesamtschaden von mehr als 220 Mrd. Euro, der deutschen Unternehmen durch Cyberdiebstahl, Spionage und Sabotage entsteht. Und richtet sich ein solcher Angriff gegen einen Betreiber kritischer Infrastruktur (Kritis), etwa einen Energieversorger oder einen Netzbetreiber, dann droht noch viel mehr als finanzieller Verlust. Versorgungsunterbrechungen, totaler Blackout, vielleicht sogar Schlimmeres. Mit unabsehbaren Folgen für Wirtschaft und Gesellschaft.

Das sind die Gedanken, die Wolfgang Behringer durch den Kopf gehen, als er wenig später im Serverraum seines Stadtwerks steht. Alle Bildschirme sind schwarz, die Server heruntergefahren und verschlüsselt. Nur auf einem Monitor leuchten Buchstaben: Dies ist ein Hackerangriff. Wenn Sie Ihre Daten wiederbekommen wollen, folgen Sie den Anweisungen in diesem Link. „In so einem Moment bleibt einem das Herz stehen“, sagt Behringer, „das war existenzbedrohend.“ Etwa 9.000 Gebäude versorgen die DSDL mit Strom, 200 Wohneinheiten mit Wärme, rund 30.000 Menschen bekommen über das DSDL-Netz ihr Wasser. In Behringers Kopf kreisen die Fragen. Wie geht es weiter? Haben wir heute Abend noch Strom? Fließt das Abwasser ab und kann gereinigt werden? Können wir die Wärme liefern?

Jederzeitiges Eskalationspotenzial

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer „erhöhten Bedrohungslage für Deutschland“. Anzahl und Heterogenität der am Konflikt im Cyberraum beteiligten Akteure führten zu einer komplexen Gefährdungslage für die IT-Infrastruktur, „mit jederzeitigem Eskalationspotenzial“, so ein BSI-Sprecher zu E&M. Dies gelte grundsätzlich auch für Kritische Infrastrukturen und insbesondere vor dem Hintergrund des Angriffs Russlands auf die Ukraine. Seit Kriegsbeginn habe man einzelne vorwiegend DDoS-Angriffe verzeichnet, die in den meisten Fällen abgewehrt werden konnten oder nur geringfügige Auswirkungen hatten. Daneben habe es Cyberangriffe auf Unternehmen und Einrichtungen gegeben, die weiterhin Geschäftsbeziehungen mit Russland unterhalten. Unverändert hoch bleibe zudem die allgemeine Bedrohungslage, hauptsächlich aus dem Bereich Cybercrime. Insbesondere das Thema Ransomware stehe dabei im Fokus.

Als Wolfgang Behringer, inzwischen unterstützt von Beamten des Landeskriminalamts, dem Link folgt, wird er aufgefordert, im Darknet eine Lösegeldsumme zu überweisen. Sein EDV-Team hat mittlerweile alle Stecker gezogen, inzwischen ist klar, dass auch der externe IT-Dienstleister der Stadtwerke, der administrative Zugangsrechte hat, von der Attacke betroffen ist. Später stellt sich heraus, dass dieser wohl das eigentliche Ziel der Hacker war. „Die, die sich da eingeloggt haben“, sagt Behringer, „haben sich einen Generalschlüssel ausgestellt, mit sämtlichen Rechten für alle Rechner. Das geht nicht einfach, aber sie haben es geschafft. Wenn das so gezielt gemacht wird, dann ist man nicht dagegen gefeit.“

Auch das BSI beobachtet, dass sogenannte Supply-Chain-Angriffe zunehmen. Bei dieser Art von Angriffen, so das BSI, würden nicht die Schwachstellen bei Betreibern selbst ausgenutzt, sondern jene bei Dienstleistern, von deren Systemen Wartungskanäle hin zu Kritischen Infrastrukturen bestehen. Über diesen Vektor ließen sich zeitgleich deutlich mehr Kundensysteme angreifen. Als „eine der größten Herausforderungen der nächsten Zeit“ bezeichnet das BSI diese Angriffe. Auch vor diesem Hintergrund sei die Integration von Angriffserkennungssystemen gerade für Kritis-Unternehmen sinnvoll. Das IT-Sicherheitsgesetz 2.0, das im Mai 2021 in Kraft getreten ist, sieht sogar verpflichtend vor, dass alle nach dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) regulierten Betreiber ab dem 1. Mai 2023 „durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme“ einsetzen müssen. Welche Anforderungen dabei genau zu erfüllen sind, erarbeitet das BSI momentan.

Die Deutsche Energie-Agentur Dena, die in einem aktuellen Gutachten „Cyberinnovationen für das sichere Energiesystem der Zukunft“ untersucht hat, hebt ebenfalls die Bedeutung sogenannter Intrusion Detection Systems (IDS) hervor, die beispielsweise Port-Scans frühzeitig erkennen. Darüber hinaus sei neben der Schulung aller Mitarbeiter in Bezug auf Phishing und Social Engineering und dem physischen Absichern der Anlagen und Gebäude auch eine defensive Konfiguration des Netzwerkequipments von Hosts notwendig, um Angriffe zu verhindern oder zumindest zu erkennen. Die Deaktivierung von ungenutzten Netzwerkports und die Überwachung der Netztopologie hälfen ebenfalls, einen Angriff frühzeitig zu erkennen und zu unterbinden, heißt es in dem Gutachten. Zusätzlich seien defensive Netzwerkarchitekturen mit Segmentierung und Verschlüsselung sowie mehrschichtige Authentifizierungsmechanismen unabdingbar, um Angriffen effektiv entgegenzutreten.

Im Fall der DSDL, sagt Werkleiter Behringer, sei der Angriff wohl gerade noch rechtzeitig erkannt worden: „Wir glauben, die waren noch nicht fertig.“ So seien zum Glück keine Kundendaten abgeflossen, das habe das LKA bestätigt. Und zum Schlimmsten sei es auch nicht gekommen: „Das Wichtigste war, dass unsere technischen Anlagen alle entkoppelt von unserem Office-Netzwerk sind. Die konnten nahtlos weiterlaufen, sodass wir letztlich kein Problem hatten, was die Versorgung angeht.“

Tatsächlich sei es im Idealfall so, dass IT und Operational Technology (OT) so strikt getrennt sind, dass es auch dann nicht zum Blackout kommt, wenn die IT angegriffen wird, sagt Jasmin Wagner, Seniorexpertin Digitale Technologien bei der Dena: „Allerdings ist zu beobachten, dass je mehr steuerbare Anlagen ins System kommen und je mehr Prozesse miteinander gekoppelt werden, diese Trennung zukünftig immer weniger strikt sein wird. Also muss man einen guten Kompromiss finden zwischen: ‚Wir wollen und müssen die dezentralen Anlagen effizient einbinden und steuern können‘ und: ‚Wir wollen das System so sicher wie möglich machen‘.“ Dabei vergrößerten auch die zunehmende Vernetzung im Stromnetz und die Nutzung öffentlicher Infrastruktur wie beispielsweise Mobilfunk die Angriffsmöglichkeiten für Kriminelle und Aktivisten.

„Die größte Herausforderung entsteht daraus, dass sich die Digitalisierung und die digitalen Möglichkeiten so schnell entwickeln“, beschreibt Wagner das Problem, vor dem sich viele Unternehmen sehen. „Dass man neben den Alltagsaufgaben hinterherkommt, alles aktuell anzupassen und zu jedem Zeitpunkt aufmerksam zu sein.“ Darüber hinaus bestehe der Konflikt, dass im Energiebereich Investitionen üblicherweise über viele Jahre getätigt werden, die Digitalisierung und die Cyberbedrohungen sich hingegen sehr rasch wandeln.

Cybersicherheitsübung für Herbst geplant

In vielen Unternehmen, sagt Wagner, gebe es bereits Awareness-Maßnahmen und Sicherheitskonzepte. Die Umsetzung aber werde selten geprobt. Auch deshalb plant die Dena für den Herbst eine großangelegte Cybersicherheitsübung, bei der Verteilnetzbetreiber, Behörden, Ministerien und Sicherheitsexperten gemeinsam den Ernstfall üben sollen. Dabei gehe es zunächst um die Angriffsanalyse, aber auch darum, welche Notfallpläne existieren: Wer trifft die zentralen Entscheidungen? Was muss in welcher Reihenfolge vom Netz genommen werden? Und: Existieren alle wesentlichen Kontakte auch irgendwo auf Papier?

Für manche Unternehmen, sagt Wagner, sei es sinnvoll, einen Notfallkoffer mit sauberen Notebooks und Satellitentelefonen bereitzuhalten, weil auch die Kommunikationsnetze gestört sein können. Im nächsten Schritt könne man überlegen, wie man in den Betrieb zurückgeht. „Im besten Fall hat man aktuelle Backups gemacht, geübt, diese Daten wieder einzuspielen und so die Systeme vollständig wiederherzustellen. Mit rund 50 Teilnehmern plant die Dena, und im Idealfall, sagt Wagner, führen die Netzbetreiber in der Folge eigenständig regelmäßig ähnliche Übungen in ihren Unternehmen durch.

In Dillingen an der Donau haben sie einige Wochen nach dem Angriff alle Daten wiederhergestellt, ganz ohne Lösegeldzahlung. „Wir haben jeden einzelnen Rechner neu aufgesetzt, sogar den Rechner unten im Freibad, der die Rutschenpumpe steuert. Das war ein sehr großer Arbeitsaufwand, aber wir wollen sicher sein, dass wir keine betroffenen Systeme mehr in unserem Netzwerk haben“, sagt Wolfgang Behringer. In Zukunft, sagt er, werden sie weniger automatisieren, lieber wieder mehr Personal einsetzen. Das IT-Sicherheitsbudget deutlich erhöhen. Und mindestens alle sechs Monate das gesamte Sicherheitskonzept auf den Prüfstand stellen.