Polizei rät zu vorsorgender Kooperation

Im Zuge der Digitalisierung der Energiewirtschaft gewinnt das Thema Cyber-Sicherheit in der Branche immer weiter an Bedeutung. Bei der Handelsblatt-Tagung "Stadtwerke 2023" bescheinigte Heiko Löhr vor allem den großen Energieversorgern ein gutes Schutzniveau. Die Regulatorik für die nach Bundesrecht zur kritischen Infrastruktur gehörenden Unternehmen greife sehr gut, sagte der leitende Kriminaldirektor beim Bundeskriminalamt.

Bei den kleinen und mittleren Stadtwerken sei das Bild jedoch noch sehr heterogen. Diese sollten auf jeden Fall die Handreichungen und Hilfsangebote des BSI nutzen und einen Grundschutz etablieren, so dass sie nach dem 80-zu-20-Prinzip „durch das Jahr segeln können“. Dieses Pareto-Prinzip der IT-Sicherheit besagt, dass ein 80-prozentiger Schutz vor potenziellen Bedrohungen erreicht werden kann, wenn 20 Prozent der möglichen Sicherheitsmechanismen richtig eingesetzt werden.

Wer tatsächlich einem Angriff zum Opfer gefallen sei, sollte nach Löhrs Überzeugung nicht versuchen, ausschließlich mit den eigenen IT-Fachleuten und sogenannten Incident-Response-Dienstleistern den Fall aufzuarbeiten. Er rate dringend dazu, sich auch an die Zentrale Ansprechstelle für Cybercrime (ZAC) beim jeweiligen Landeskriminalamt zu wenden. Am besten sei es jedoch, schon vor einem Angriff mit den Polizeibehörden Kontakt aufzunehmen. Es sei wesentlich einfacher, sich gegenseitig kennenzulernen und Vertrauen aufzubauen, wenn man nicht im Krisenmodus agiere, so Löhr.
 
Häufig wird die aktuelle Bedrohungslage von Unternehmen mit dem russischen Angriffskrieg auf die Ukraine in Verbindung gebracht. Bei den großen Betreibern kritischer Infrastrukturen gebe es zwar eine politisch-ideologisch motivierte Bedrohung. Gleichzeitig sei aber auch ein finanzielles Interesse der Angreifer ein Motiv. Bei Angriffen auf Stadtwerke sieht der BKA-Direktor fast ausschließlich die Lösegelderpressung als Treiber. „Deshalb sollten sich Stadtwerke nicht allzusehr darauf fokussieren, wie sich der russische Angriffskrieg entwickelt“, rät Löhr. Die Bedrohung durch sogenannte Ransomware bestehe grundsätzlich und jeden Tag.

Auch Back-ups könnten versucht sein

Lösegeld zu zahlen, sei nicht zu empfehlen. Wenn sich allerdings ein Stadtwerk dazu entschließe, aus welchen übergeordneten Unternehmensgründen auch immer, sollten sie auf jeden Fall die Spezialisten der Polizei einbinden, so Löhr. Denn dem Geldfluss hinterher zu gehen, sei ein erfolgversprechender Weg, den Tätern auf die Spur zu kommen. Zwar sei in der öffentlichen Wahrnehmung die Frage der Lösegeldzahlung sehr präsent. Wesentlich größere Schäden entstünden aber durch präventive Shut-Down-Maßnahmen oder Wiederherstellungskosten.

Jörg Ritter gab im Rahmen des Stadtwerke-Kongresses zu bedenken, dass mit der Lösegeldzahlung das Problem noch lange nicht gelöst ist. Abgesehen davon, dass man möglicherweise gar kein Bitcoin-Konto zur Verfügung habe, über das die Zahlung abgewickelt werden könnte, seien die Systeme höchstwahrscheinlich weiterhin verseucht. Es könne durchaus sein, dass die Ransomware auch in Back-ups enthalten ist. „Oft weiß man gar nicht, auf welchen Punkt man zurücksetzen soll“, sagte der Vorstand des IT-Dienstleisters BTC. „Und wenn man Back-ups aufspielt, verwischt man möglicherweise auch wichtige Spuren“, fügte er hinzu. Daher sei es sehr ratsam, die Vorgehensweise mit externen Experten abzustimmen.

Das A und O sei deshalb, so Löhr, frühzeitig im Fall der Fälle mit den Ermittlern Kontakt aufzunehmen. Dann seien die flüchtigen digitalen Spuren noch vorhanden. Nach ein bis drei Tagen seien die IP-Adressen, die unmittelbar zu den Tätern führen können, nach deutscher Regulatorik bereits weg.

Mit den Angriffen auf IT-Dienstleister in der Energiewirtschaft hat sich in den vergangenen Monaten ein Trend gezeigt, der den Behörden genauso Sorge bereitet, wie die Attacken auf die Energieversorger und Netzbetreiber selbst: Mehr und mehr gerät die Supply Chain in den Fokus der Cyber-Kriminellen. Auch vor diesem Hintergrund gelte es, besonders wachsam zu sein.