Cyberangriffe auf Infrastruktur Mit einem Hack ist alles weg

Kraftwerke, Krankenhäuser, die Wasserversorgung: Weil alles mit dem Internet verbunden ist, kann auch alles gehackt werden. Die Gefahr, dass ein Cyberangriff die Infrastruktur lahmlegt, ist ganz real.

Vernetzte Städte
Michael Walter / DER SPIEGEL

Vernetzte Städte

Von , und


Im September nahm ein Unbekannter über das Internet Kontakt zum Abwassernetz einer deutschen Großstadt auf. Von einem Computer in den USA griff der Hacker auf die Steuerungssysteme der Pumpen zu, die Abwasser in Bewegung halten und zum Klärwerk befördern. Abwassersysteme sind heutzutage - wie nahezu jedes Stück Infrastruktur in Deutschland - Hightech-Anlagen.

Die komplexen Systeme aus Rohren, Sammelbecken, Schiebern und Pumpen sind miteinander vernetzt und von einer Leitzentrale aus steuerbar. Zum Teil sind die Anlagen direkt mit eigenen Glasfasersträngen verbunden, zum Teil hängen sie aber mit Modems direkt am Internet. Das Abwassernetz einer Großstadt hat mitunter Tausende solcher Endpunkte - und damit Tausende potenzielle Einfallstore für Saboteure.

Die Wasserversorgung wird deshalb auch von den Sicherheitsbehörden aufmerksam beobachtet, genauso wie andere sogenannte kritische Infrastrukturen wie Kraftwerke oder Verkehrswege. Sicherheitsbehörden dokumentieren jede Attacke und stellen die Meldung den beteiligten Unternehmen zur Verfügung. In der Abschlussmeldung über den Vorfall im September heißt es, dass einige der Pumpen den Pings aus den USA geantwortet hätten. Im nächsten Schritt hätte der Angreifer wohl versucht, die Steuerung der Modems und damit des gesamten Abwassernetzes zu übernehmen. Was harmlos klingen mag, wäre durchaus unangenehm.

Verlockende Ziele für Cyberkriminelle

Bei Starkregen könnten Saboteure eine Großstadt zu großen Teilen lahmlegen: Überflutungen, Rückstaus ungeklärter Abwässer, große Kloakenströme, die durch die Straßen schwappen. In dem konkreten Fall stellten sich die Angreifer womöglich etwas ungeschickt an, die Software in den Pumpen-Modems stürzte bei der Kontaktaufnahme ab - eine Kontrolle der Einheiten war nicht mehr möglich. Zudem erkannten IT-Experten des Unternehmens die Attacke und dämmten sie ein.

Eine mit Abwasser aus den Toiletten Zehntausender Haushalten überflutete Stadt ist eine unangenehme Vorstellung und möglicherweise auch gesundheitsgefährdend. Doch die Gefahr ist größer und reicht weit über die Wasserversorgung hinaus. Schon heute sind sogenannte kritische Infrastrukturen wie Strom- und Wasseranbieter, Verkehrswege, das Banken- und Gesundheitswesen und die Medien für Cyberkriminelle ein verlockendes Ziel, wie es in der vertraulichen Analyse einer deutschen Sicherheitsbehörde heißt.

Ob das Motiv nun darin besteht, Geld zu erpressen oder ob es darum geht, Angst, Schrecken und Verunsicherung zu verbreiten - die Anfälligkeit einer Hochleistungsgesellschaft steigt mit der fortschreitenden Vernetzung, die Verwundbarkeit wächst exponentiell. Sabotageattacken seien daher in Betracht zu ziehen, schreibt die Behörde. Und: Dass dabei Menschen zu Schaden kommen könnten, sei "ebenfalls einzukalkulieren".

Vor allem Krankenhäuser dürften nach Ansicht vieler IT-Sicherheitsexperten vermehrt in den Fokus von Cyberangreifern geraten. Denn die IT-Systeme öffentlicher Kliniken sind vielfach hoffnungslos veraltet. Die simple Schadsoftware "WannaCry" traf in Großbritannien auch Krankenhäuser - und das könnte nur eine Fingerübung der Angreifer gewesen sein. "In den kommenden fünf bis sechs Jahren werden deutsche Krankenhäuser extrem verwundbar bleiben", sagt ein IT-Fachmann, der nicht genannt werden möchte. Den Kliniken fehle schlicht das Geld für eine Modernisierung.

Blackout am Aschermittwoch

Am Aschermittwoch 2016 etwa fuhren im Lukaskrankenhaus im niederrheinischen Neuss die Rechner nicht hoch. Auf manchen Bildschirmen erschien ein in schlechtem Englisch verfasster Erpresserbrief. Alle Dateien des Rechners seien verschlüsselt worden, um Abhilfe zu schaffen, solle man sich an eine E-Mail-Adresse wenden. Hätte die Klinik geantwortet, wäre es auf eine Lösegeldforderung hinausgelaufen. "Wir haben stattdessen das Landeskriminalamt eingeschaltet und Anzeige erstattet", sagt Kliniksprecher Andreas Kremer. Die Ermittlungen laufen noch immer.

Die Leitung des Lukaskrankenhauses entschied sich damals, die Klinik nach der Attacke zurück in einen vordigitalen Zustand zu versetzen. "Wir haben alle Systeme abgeschaltet, um die Ausbreitung der Schadsoftware zu verhindern", so Kremer. Röntgenbilder sahen sich die Ärzte nicht mehr auf Tablets an, Laborwerte wurden mit Papier und Stift notiert, Telefonate ersetzten E-Mails.

"Viele Mitarbeiter haben gesagt, die Arbeit fühle sich wieder so an wie vor 15 Jahren", sagt der Krankenhaussprecher. Aus Sicherheitsgründen verschoben die Mediziner Operationen, die engmaschig mit Laboruntersuchungen hätten begleitet werden müssen. Vorübergehend meldete sich die Klinik auch von der Notallversorgung ab und nahm keine Schwerverletzten mehr auf. Die Cyberattacke habe die Versorgung der Patienten nicht gefährdet, so Kremer. Dennoch waren die Konsequenzen enorm. Die Klinik musste ihre gesamte IT neu aufsetzen, Kosten: eine Million Euro.

Das Krankenhaus in Neuss wäre beinahe Opfer einer Erpressung geworden, ausgeführt von gewöhnlichen Kriminellen, die wohl nach dem Schrotflintenprinzip ganz unterschiedliche Einrichtungen und Betriebe attackiert hatten. Doch was wäre, wenn die Täter - aus welchen Motiven auch immer - gezielt die deutsche Gesundheitsinfrastruktur angriffen? Tatsächlich ist es für einen halbwegs findigen Hacker ein Leichtes, medizinische Anlagen über das Internet zu lokalisieren. Viele Herz-Lungen-Maschinen stehen beispielsweise ganz offen mit ihrer IP-Adresse im Internet. Um die Maschine zu übernehmen oder gar auszuschalten, ist technisches Know-how notwendig - unmöglich ist es nicht.

Als Täter kommt jeder infrage

Die Hersteller weisen zwar darauf hin, dass ihre Geräte nicht mit dem Internet verbunden werden sollen, aber kaum eine Klinik hält sich daran. Selbst der deutsche Großkonzern Siemens musste jüngst Softwareupdates für seine Computertomografen ausliefern. Eine US-Behörde hatte festgestellt, dass "ein Angreifer mit wenig Fachkönnen" in der Lage wäre, die Sicherheitslücken zu nutzen und auf die Geräte zuzugreifen.

Stromausfall (in Hannover)
DPA

Stromausfall (in Hannover)

Die Angriffe zu verhindern, ist kaum möglich. Denn als mögliche Täter kommen im Grunde genommen alle infrage: von verpeilten Jugendlichen über kriminelle oder extremistische Organisationen bis hin zu ausländischen Nachrichtendiensten. In den allermeisten Fällen sei es hinterher nicht möglich, die Cyberangriffe zu ihrem Ursprung zurückzuverfolgen, weshalb die wahren Täter und ihre Motive häufig in Dunkeln blieben, heißt es in einer Behördenanalyse.

Terror aus dem Internet ist teuer und aufwendig

Längst also wären Terroranschläge über das Internet möglich - allerdings sind sie teuer und aufwendig, sagen Fachleute. Das Bundesinnenministerium geht derzeit nicht davon aus, dass Terrororganisationen das technische Know-how für solche Angriffe haben. Die Attacken etwa des "Islamischen Staats" (IS) in Deutschland waren bislang geprägt von großer Einfachheit, begangen von Einzeltätern, die leicht zu beschaffende Waffen oder sogar Alltagsgegenstände einsetzten, um zu töten und zu verletzen.

Das vermeintliche "Cyber-Kalifat" des "Islamischen Staats", das 2015 mit Attacken auf den französischen Fernsehsender TV5 Monde und das Zentralkommando der US-Streitkräfte für Aufsehen sorgte, ist wohl eher eine russische Erfindung. Nach Erkenntnissen deutscher Sicherheitsbehörden ist die irakisch-syrische Terrorgruppe nicht dazu in der Lage, komplexe Spionage- oder Sabotageattacken im Netz durchzuführen. Etliche Indizien sprächen dafür, dass die dem "Cyber-Kalifat" zugeschriebenen Angriffe tatsächlich unter falscher Flagge von Hackern des Kreml verübt worden seien, heißt es in Sicherheitskreisen. Fraglich allerdings, ob das die Sache besser macht.

insgesamt 34 Beiträge
Alle Kommentare öffnen
Seite 1
zeichenkette 07.12.2017
1. Das ist der neue Kalte Krieg
Nur dass diesmal nicht zwei, sondern unüberschaubar viele Seiten agieren und das einzige, was damals den Atomkrieg verhindert hat (nämlich die garantierte gegenseitige Vernichtung bei einem Angriff) diesmal fehlt... Je mehr alles von völlig wild wuchernder und oft genug nachlässig eingesetzter Digitaltechnik abhängt, desto verwundbarer wird alles. Der einzige Grund, dass es noch nicht zu einer Katastrophe gekommen ist, ist der, dass es noch niemand ernsthaft darauf angelegt hat. Aber ich würde mich nicht wundern, wenn der eine oder andere Staat schon fertige Pläne und Werkzeuge dafür in der Schublade liegen hat. Ein systematischer Angriff auf Telekommunikationsnetze, Stromnetze und die Banksysteme würde schon reichen, um ein Land in totales Chaos zu stürzen. Ohne Strom, Internet, Mobilfunk und Geld wäre auch dieses Land innerhalb von Tagen nicht mehr wieder zu erkennen.
Bürger Icks 07.12.2017
2. Der Titel, phänomenal!
Ernsthaft, hatte sofort die Melodie dieser dämlichen Reinigungsmittelwerbung im Kopf, musste so lachen! Zum Thema, das ja nicht so lustig ist, die immer wiederkehrende Frage: Wieso muss heutzutage alles, aber auch alles und bald auch jeder, immer mit dem Internet verbunden sein? Gibt es noch gute Gründe dafür, das ein Energieversorger, ein Wasserwerk o.ä, mit dem Internet verbunden sein muss? Jedenfalls gibt es mittlerweile mehr gute Gründe die dagegen sprechen, wie z.B. Spionage durch ausländische Nationen und Konzerne, Datenhehlerei, Anfälligkeit für "Cyberwar"-Angriffe durch die Nationen mit den besseren "Cyberwar"-Truppen. Und natürlich gibt´s da auch noch die kleinen Hobbyhacker, die nicht für Geheimdienste arbeiten(müssen?), die haben allerdings wohl kaum ein persönliches Interesse daran, Infrastruktur abzuschalten. Die hacken sich lieber in den Geheimkram von Regierungen, Konzernen usw. Warum haben all diese Angriffsziele für Profihacker keine "Intra-Net", angekapselt von dem Internet, um ihre Anlagen zu betreiben? Wie hat man das denn, oft in den gleichen Anlagen, vor dem Internet gemacht?
h_jahn 07.12.2017
3. Tja, ist halt so...
...und wer sich nicht ausmalen kann, wo es vielleicht hinführt, dem sei "Blackout" von Marc Elsberg empfohlen.
kindacool 07.12.2017
4. .
Zitat von Bürger IcksErnsthaft, hatte sofort die Melodie dieser dämlichen Reinigungsmittelwerbung im Kopf, musste so lachen! Zum Thema, das ja nicht so lustig ist, die immer wiederkehrende Frage: Wieso muss heutzutage alles, aber auch alles und bald auch jeder, immer mit dem Internet verbunden sein? Gibt es noch gute Gründe dafür, das ein Energieversorger, ein Wasserwerk o.ä, mit dem Internet verbunden sein muss? Jedenfalls gibt es mittlerweile mehr gute Gründe die dagegen sprechen, wie z.B. Spionage durch ausländische Nationen und Konzerne, Datenhehlerei, Anfälligkeit für "Cyberwar"-Angriffe durch die Nationen mit den besseren "Cyberwar"-Truppen. Und natürlich gibt´s da auch noch die kleinen Hobbyhacker, die nicht für Geheimdienste arbeiten(müssen?), die haben allerdings wohl kaum ein persönliches Interesse daran, Infrastruktur abzuschalten. Die hacken sich lieber in den Geheimkram von Regierungen, Konzernen usw. Warum haben all diese Angriffsziele für Profihacker keine "Intra-Net", angekapselt von dem Internet, um ihre Anlagen zu betreiben? Wie hat man das denn, oft in den gleichen Anlagen, vor dem Internet gemacht?
Ganz einfach. Früher saß Personal vor Ort, was die Anlage kontrolliert hat. Das hat man heute eingespart und steuert alles von irgendeiner Zentrale fern. Und das wiederum über das Internet. Fragen Sie mal die Aktionäre der betreffenden Unternehmen: Alles Stand der Technik und eine Suuuuper-Idee !
c.PAF 07.12.2017
5.
Zitat von Bürger IcksErnsthaft, hatte sofort die Melodie dieser dämlichen Reinigungsmittelwerbung im Kopf, musste so lachen! Zum Thema, das ja nicht so lustig ist, die immer wiederkehrende Frage: Wieso muss heutzutage alles, aber auch alles und bald auch jeder, immer mit dem Internet verbunden sein? Gibt es noch gute Gründe dafür, das ein Energieversorger, ein Wasserwerk o.ä, mit dem Internet verbunden sein muss? Jedenfalls gibt es mittlerweile mehr gute Gründe die dagegen sprechen, wie z.B. Spionage durch ausländische Nationen und Konzerne, Datenhehlerei, Anfälligkeit für "Cyberwar"-Angriffe durch die Nationen mit den besseren "Cyberwar"-Truppen. Und natürlich gibt´s da auch noch die kleinen Hobbyhacker, die nicht für Geheimdienste arbeiten(müssen?), die haben allerdings wohl kaum ein persönliches Interesse daran, Infrastruktur abzuschalten. Die hacken sich lieber in den Geheimkram von Regierungen, Konzernen usw. Warum haben all diese Angriffsziele für Profihacker keine "Intra-Net", angekapselt von dem Internet, um ihre Anlagen zu betreiben? Wie hat man das denn, oft in den gleichen Anlagen, vor dem Internet gemacht?
Das frage ich mich ehrlich gesagt auch. Gerade bei der Infrastruktur muß doch alles besonders gut gesichert sein. Ok, ich habe auch eine WLan-Steckdose, wo ich nichts über die Sicherung weiß. Aber da ist es mir relativ egal, ob ein Hacker meine Lampe im Hof anschaltet oder nicht. Ich werde die Dose aber trotzdem bei Gelegenheit mal näher inspizieren und absichern. Ansonsten bin ich froh, ein altes Haus zu haben. Bricht die Infrastruktur zusammen, bin ich wenig betroffen. Gut, Abwasser funktioniert nicht mehr, aber die alte 3-Kammer-Grube ist ja auch noch da. Zudem ein (schon jetzt genutzter) Brunnen hinter dem Haus und Ofenanschlüsse in jedem Zimmer. Trotzdem, die Gefahren sind enorm, und wenn z.B. Verkehrsampeln, Banken, Bahn etc. betroffen sind, bin auch ich nicht mehr außen vor...
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.