Cyberangriffe auf Infrastruktur Mit einem Hack ist alles weg

Kraftwerke, Krankenhäuser, die Wasserversorgung: Weil alles mit dem Internet verbunden ist, kann auch alles gehackt werden. Die Gefahr, dass ein Cyberangriff die Infrastruktur lahmlegt, ist ganz real.
Vernetzte Städte

Vernetzte Städte

Foto: Michael Walter / DER SPIEGEL

Im September nahm ein Unbekannter über das Internet Kontakt zum Abwassernetz einer deutschen Großstadt auf. Von einem Computer in den USA griff der Hacker auf die Steuerungssysteme der Pumpen zu, die Abwasser in Bewegung halten und zum Klärwerk befördern. Abwassersysteme sind heutzutage - wie nahezu jedes Stück Infrastruktur in Deutschland - Hightech-Anlagen.

Die komplexen Systeme aus Rohren, Sammelbecken, Schiebern und Pumpen sind miteinander vernetzt und von einer Leitzentrale aus steuerbar. Zum Teil sind die Anlagen direkt mit eigenen Glasfasersträngen verbunden, zum Teil hängen sie aber mit Modems direkt am Internet. Das Abwassernetz einer Großstadt hat mitunter Tausende solcher Endpunkte - und damit Tausende potenzielle Einfallstore für Saboteure.

Die Wasserversorgung wird deshalb auch von den Sicherheitsbehörden aufmerksam beobachtet, genauso wie andere sogenannte kritische Infrastrukturen wie Kraftwerke oder Verkehrswege. Sicherheitsbehörden dokumentieren jede Attacke und stellen die Meldung den beteiligten Unternehmen zur Verfügung. In der Abschlussmeldung über den Vorfall im September heißt es, dass einige der Pumpen den Pings aus den USA geantwortet hätten. Im nächsten Schritt hätte der Angreifer wohl versucht, die Steuerung der Modems und damit des gesamten Abwassernetzes zu übernehmen. Was harmlos klingen mag, wäre durchaus unangenehm.

Verlockende Ziele für Cyberkriminelle

Bei Starkregen könnten Saboteure eine Großstadt zu großen Teilen lahmlegen: Überflutungen, Rückstaus ungeklärter Abwässer, große Kloakenströme, die durch die Straßen schwappen. In dem konkreten Fall stellten sich die Angreifer womöglich etwas ungeschickt an, die Software in den Pumpen-Modems stürzte bei der Kontaktaufnahme ab - eine Kontrolle der Einheiten war nicht mehr möglich. Zudem erkannten IT-Experten des Unternehmens die Attacke und dämmten sie ein.

Eine mit Abwasser aus den Toiletten Zehntausender Haushalten überflutete Stadt ist eine unangenehme Vorstellung und möglicherweise auch gesundheitsgefährdend. Doch die Gefahr ist größer und reicht weit über die Wasserversorgung hinaus. Schon heute sind sogenannte kritische Infrastrukturen wie Strom- und Wasseranbieter, Verkehrswege, das Banken- und Gesundheitswesen und die Medien für Cyberkriminelle ein verlockendes Ziel, wie es in der vertraulichen Analyse einer deutschen Sicherheitsbehörde heißt.

Ob das Motiv nun darin besteht, Geld zu erpressen oder ob es darum geht, Angst, Schrecken und Verunsicherung zu verbreiten - die Anfälligkeit einer Hochleistungsgesellschaft steigt mit der fortschreitenden Vernetzung, die Verwundbarkeit wächst exponentiell. Sabotageattacken seien daher in Betracht zu ziehen, schreibt die Behörde. Und: Dass dabei Menschen zu Schaden kommen könnten, sei "ebenfalls einzukalkulieren".

Vor allem Krankenhäuser dürften nach Ansicht vieler IT-Sicherheitsexperten vermehrt in den Fokus von Cyberangreifern geraten. Denn die IT-Systeme öffentlicher Kliniken sind vielfach hoffnungslos veraltet. Die simple Schadsoftware "WannaCry" traf in Großbritannien auch Krankenhäuser - und das könnte nur eine Fingerübung der Angreifer gewesen sein. "In den kommenden fünf bis sechs Jahren werden deutsche Krankenhäuser extrem verwundbar bleiben", sagt ein IT-Fachmann, der nicht genannt werden möchte. Den Kliniken fehle schlicht das Geld für eine Modernisierung.

Blackout am Aschermittwoch

Am Aschermittwoch 2016 etwa fuhren im Lukaskrankenhaus im niederrheinischen Neuss die Rechner nicht hoch. Auf manchen Bildschirmen erschien ein in schlechtem Englisch verfasster Erpresserbrief. Alle Dateien des Rechners seien verschlüsselt worden, um Abhilfe zu schaffen, solle man sich an eine E-Mail-Adresse wenden. Hätte die Klinik geantwortet, wäre es auf eine Lösegeldforderung hinausgelaufen. "Wir haben stattdessen das Landeskriminalamt eingeschaltet und Anzeige erstattet", sagt Kliniksprecher Andreas Kremer. Die Ermittlungen laufen noch immer.

Die Leitung des Lukaskrankenhauses entschied sich damals, die Klinik nach der Attacke zurück in einen vordigitalen Zustand zu versetzen. "Wir haben alle Systeme abgeschaltet, um die Ausbreitung der Schadsoftware zu verhindern", so Kremer. Röntgenbilder sahen sich die Ärzte nicht mehr auf Tablets an, Laborwerte wurden mit Papier und Stift notiert, Telefonate ersetzten E-Mails.

"Viele Mitarbeiter haben gesagt, die Arbeit fühle sich wieder so an wie vor 15 Jahren", sagt der Krankenhaussprecher. Aus Sicherheitsgründen verschoben die Mediziner Operationen, die engmaschig mit Laboruntersuchungen hätten begleitet werden müssen. Vorübergehend meldete sich die Klinik auch von der Notallversorgung ab und nahm keine Schwerverletzten mehr auf. Die Cyberattacke habe die Versorgung der Patienten nicht gefährdet, so Kremer. Dennoch waren die Konsequenzen enorm. Die Klinik musste ihre gesamte IT neu aufsetzen, Kosten: eine Million Euro.

Das Krankenhaus in Neuss wäre beinahe Opfer einer Erpressung geworden, ausgeführt von gewöhnlichen Kriminellen, die wohl nach dem Schrotflintenprinzip ganz unterschiedliche Einrichtungen und Betriebe attackiert hatten. Doch was wäre, wenn die Täter - aus welchen Motiven auch immer - gezielt die deutsche Gesundheitsinfrastruktur angriffen? Tatsächlich ist es für einen halbwegs findigen Hacker ein Leichtes, medizinische Anlagen über das Internet zu lokalisieren. Viele Herz-Lungen-Maschinen stehen beispielsweise ganz offen mit ihrer IP-Adresse im Internet. Um die Maschine zu übernehmen oder gar auszuschalten, ist technisches Know-how notwendig - unmöglich ist es nicht.

Als Täter kommt jeder infrage

Die Hersteller weisen zwar darauf hin, dass ihre Geräte nicht mit dem Internet verbunden werden sollen, aber kaum eine Klinik hält sich daran. Selbst der deutsche Großkonzern Siemens musste jüngst Softwareupdates für seine Computertomografen ausliefern. Eine US-Behörde hatte festgestellt, dass "ein Angreifer mit wenig Fachkönnen" in der Lage wäre, die Sicherheitslücken zu nutzen und auf die Geräte zuzugreifen.

Stromausfall (in Hannover)

Stromausfall (in Hannover)

Foto: DPA

Die Angriffe zu verhindern, ist kaum möglich. Denn als mögliche Täter kommen im Grunde genommen alle infrage: von verpeilten Jugendlichen über kriminelle oder extremistische Organisationen bis hin zu ausländischen Nachrichtendiensten. In den allermeisten Fällen sei es hinterher nicht möglich, die Cyberangriffe zu ihrem Ursprung zurückzuverfolgen, weshalb die wahren Täter und ihre Motive häufig in Dunkeln blieben, heißt es in einer Behördenanalyse.

Terror aus dem Internet ist teuer und aufwendig

Längst also wären Terroranschläge über das Internet möglich - allerdings sind sie teuer und aufwendig, sagen Fachleute. Das Bundesinnenministerium geht derzeit nicht davon aus, dass Terrororganisationen das technische Know-how für solche Angriffe haben. Die Attacken etwa des "Islamischen Staats" (IS) in Deutschland waren bislang geprägt von großer Einfachheit, begangen von Einzeltätern, die leicht zu beschaffende Waffen oder sogar Alltagsgegenstände einsetzten, um zu töten und zu verletzen.

Das vermeintliche "Cyber-Kalifat" des "Islamischen Staats", das 2015 mit Attacken auf den französischen Fernsehsender TV5 Monde und das Zentralkommando der US-Streitkräfte für Aufsehen sorgte, ist wohl eher eine russische Erfindung. Nach Erkenntnissen deutscher Sicherheitsbehörden ist die irakisch-syrische Terrorgruppe nicht dazu in der Lage, komplexe Spionage- oder Sabotageattacken im Netz durchzuführen. Etliche Indizien sprächen dafür, dass die dem "Cyber-Kalifat" zugeschriebenen Angriffe tatsächlich unter falscher Flagge von Hackern des Kreml verübt worden seien, heißt es in Sicherheitskreisen. Fraglich allerdings, ob das die Sache besser macht.