1. Digital
  2. Internet

Infrastruktur ist gegen Attacken aus dem Netz nicht gewappnet

Kraftwerke, Schienen, Wasser : Infrastruktur ist gegen Attacken aus dem Netz nicht gewappnet

Irgendwo auf der Welt sitzt ein Mann auf dem Sofa, einen Laptop auf den Knien. Er tippt einen Befehl und drückt die Eingabetaste. Hunderte Kilometer entfernt rast eine U-Bahn über eine Weiche und springt bei voller Fahrt aus den Gleisen.

Solche verheerenden Attacken wie aus einem Hollywood-Actionstreifen halten Experten durchaus für denkbar. "Es ist absolut nicht unrealistisch", sagt der Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Andreas Könen. "Viele Kontrolleinrichtungen unterschiedlichster Systeme sind kaum gegen Angriffe über das Internet geschützt", warnt auch Chester Wisniewski vom Sicherheitssoftware-Hersteller Sophos. Der Geschäftsführer des Potsdamer Hasso-Plattner-Instituts für Softwaresystemtechnik, Christoph Meinel, wundert sich, "dass bisher nicht mehr passiert ist".

Mit dem Trend zur Vernetzung zahlreicher Industriezweige rückt auch deren Verwundbarkeit in den Fokus. Das Augenmerk liegt vor allem auf der sogenannten kritischen Infrastruktur, zu der etwa Energienetze, Wasserversorgung und der Verkehr gezählt werden, das Gesundheitswesen, die Lebensmittelversorgung und die Finanzwirtschaft. In solche Bereichen können schon simple Manipulationen verheerende Auswirkungen haben. "Es reicht ja, wenn ein paar Stunden kein Strom da ist", sagt Meinel. Was dann in Deutschland alles nicht mehr funktioniert..."

Alte Anlagen hängen ungesichert am Netz

Viele Infrastruktur-Anlagen wurden in einer Zeit gebaut, als Angriffe aus dem Internet noch gar keine Rolle spielten. Inzwischen hängen sie im Netz - und sind oft mehr schlecht als recht abgesichert. "Es ist dringend geboten, hier etwas zu tun", mahnt Meinel. Die Tatsache, dass bisher nur wenige Angriffe auf kritische Infrastruktur bekannt geworden sind, dürfe kein falsches Sicherheitsgefühl erzeugen.

BSI-Vize Könen beantwortet die Frage, ob die fraglichen Branchen hierzulande gut vorbereitet seien, mit "Jein". Es gebe teilweise schon gute Vorkehrungen, aber auch "eine ganze Reihe Player, die noch nicht gut aufgestellt sind".

Für besseren und einheitlicheren Schutz will die Bundesregierung mit dem IT-Sicherheitsgesetz sorgen. Der Entwurf, der im Dezember vom Kabinett verabschiedet wurde, sieht vor, dass Betreiber wichtiger Infrastruktureinrichtungen einen Mindeststandard an IT-Sicherheit einhalten und "erhebliche" Sicherheitsvorfälle in ihren IT-Systemen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden müssen.

Bundesinnenminister Thomas de Maizière (CDU) äußert auf der Cebit in Hannover die Hoffnung, dass das Gesetzgebungsverfahren im Sommer oder Frühherbst abgeschlossen werde. Das BSI hätte sich das Gesetz "auch wirklich früher vorstellen können", ergänzt Behördenvize Könen.

Als mögliche Angreifer auf die Infrastruktur nennt Könen "staatliche Einrichtungen", kriminelle Organisationen oder - auch wenn es darauf derzeit keine Hinweise gebe - Terroristen. Vorstellbar sei auch, dass Aktivisten aus politischen Motiven einen Angriff starten.

Der "Honeytrain" soll helfen

Um festzustellen, wie Attacken auf relevante Infrastruktur aussehen könnten, und daraus Schutzmöglichkeiten abzuleiten, locken Sophos und das IT-Sicherheitsunternehmen Koramis Hacker mit einem nachgebauten Verkehrssystem. Beim auf der Cebit vorgestellten Projekt "Honeytrain" ziehen Modelleisenbahnen ihre Kreise - kontrolliert mit einem System, in dem branchenübliche Hard- und Software benutzt wird. Wer sich einhackt, soll glauben, es handele sich um ein echtes städtisches Transportsystem.

Sophos-Experte Wisniewski erhofft sich von "Honeytrain" wichtige Erkenntnisse über die tatsächliche Bedrohungslage. "Derzeit wissen wir gar nicht so recht, wo unsere Verwundbarkeiten liegen. Das ist das eigentlich Beunruhigende." Die Erkenntnisse aus dem Experiment lassen sich laut Wisniewski auf viele Branchen übertragen. Ganz ähnliche Kontrollsysteme wie bei "Honeytrain" würden beispielsweise auch für Ampeln, Fabrikroboter und Kraftwerke benutzt.

Die große von Hackern ausgelöste Katastrophe ist bisher ausgeblieben. Aber nicht, weil sie unmöglich wäre. HPI-Chef Meinel befürchtet: "Es werden ein paar Unfälle passieren müssen, die alle aufrütteln und dann wird diesem Bereich mehr Beachtung geschenkt."

(AFP)