In der Hand der Hacker

Berlin. Inzwischen läuft das Benzin wieder. Zwar waren diese Woche noch immer einige Tankstellen an der US-Ostküste ohne Treibstoff. Die Bilder der langen Schlangen vor Zapfsäulen sind jedoch verschwunden. Grund für die Treibstoff-Knappheit war ein Hackerangriff. Drei von vier Tankstellen an der US-Ostküste hatten zeitweise kein Benzin, nachdem die „Colonial Pipeline“, die größte ihrer Art in den USA, aufgrund einer Cyberattacke stillgelegt werden musste. Verantwortlich für den Angriff war eine Hackergruppe, die das Computersystem des Betreibers mit sogenannter Ransomware blockiert und diesen erpresst hat, woraufhin das Unternehmen die Leitung vorsorglich abschaltete. 4,4 Millionen Dollar Lösegeld in Bitcoin musste die Firma an die Kriminellen zahlen, damit diese die Computer wieder freigaben.

Erpressungen wie diese sind auch in Deutschland längst an der Tagesordnung. Offizielle Zahlen gibt es zwar nicht, viele Betroffene schalten die Behörden nicht ein und bezahlen lieber direkt das Lösegeld. Eine Umfrage des auf solche Fälle spezialisierten Versicherers Hiscox vom April ergab jedoch, dass 19?Prozent von gut 1000 befragten deutschen Firmen in den vergangenen zwölf Monaten von Ransomware angegriffen wurden. Dazu passen jüngste Zahlen des Bundeskriminalamts, wonach Cyberkriminalität seit Jahren kontinuierlich zunimmt. 108?000 Fälle wurden 2020 registriert, doppelt so viele wie noch 2015. Die größte Bedrohung geht laut den Behörden dabei von Erpressersoftware aus.

Das liegt nicht nur daran, dass während der Corona-Pandemie viele Angestellte im Homeoffice arbeiten, weswegen die Angriffsfläche größer geworden ist. Kriminelle Hacker arbeiten inzwischen auch professioneller und perfider. Während Computer früher direkt verschlüsselt wurden, nachdem ein Mitarbeiter etwa auf einen Email-Anhang geklickt hatte, verbringen Angreifer nun oft viele Tage unbemerkt in einem System und versuchen, sich maximale Zugriffsrechte zu verschaffen. Cyberkriminelle müssen heute zudem nicht mal eigene Schadsoftware entwickeln. Sie können im Darknet entsprechende Werkzeuge einfach erwerben.

Erfolgreiche Angriffe auf kritische Infrastrukturen wie die Energie-, Trinkwasser- oder Krankenversorgung sind bisher aber eher die Ausnahme. Dennoch nimmt die Bedrohungslage auch hier zu. In insgesamt 419 Fällen wurde das Bundesamt für Sicherheit in der Informationstechnik (BSI) zwischen Juni 2019 und Mai 2020 über Probleme in diesem Bereich informiert. Zwar fallen darunter auch technische Probleme, der Anstieg ist dennoch signifikant: Im Vorjahr waren es im selben Zeitraum nur 145 Fälle.

IT-Sicherheitsexperten warnen zudem seit Jahren, dass die Infrastruktur westlicher Länder nicht ausreichend gegen Cyberattacken gewappnet sei. In Erinnerung geblieben ist vor allem der Hackerangriff auf die Düsseldorfer Uni-Klinik im vergangenen September, deren Notfallversorgung deswegen zwei Wochen lang ausfiel. Für Schlagzeilen sorgte auch der Angriff auf eine Wasseraufbereitungsanlage in Florida im Februar, als Kriminelle versuchten, das Trinkwasser zu vergiften, indem der Anteil von Natriumhydroxid mehr als verhundertfacht wurde. Mitarbeiter konnten dies gerade noch verhindern.

Fälle wie diese und jenen der Pipeline werde man öfter sehen, warnen viele Experten. Sorgen bereiten ihnen vor allem zwei Vorfälle aus der jüngeren Vergangenheit: Im März wurden Sicherheitslücken im von unzähligen Unternehmen genutzten E-Mail-Server „Microsoft Exchange“ bekannt. Ähnliches gilt für die Netzwerkmanagement-Software „Solarwinds“, die Ende 2020 gehackt wurde. „Es kann gut sein, dass kritische Infrastrukturen bereits kompromittiert sind“, warnt IT-Sicherheitsexperte Sven Herpig von der Stiftung Neue Verantwortung im Gespräch mit dieser Zeitung.

Dass die politischen Rahmenbedingungen ausreichen, um Attacken vorzubeugen, glaubt kaum jemand. Erst kürzlich verabschiedete der Bundestag zwar ein unter der Verantwortung von Innenminister Horst Seehofer (CSU) reformiertes IT-Sicherheitsgesetz. In einer Expertenanhörung wurde dieses jedoch von allen Sachverständigen massiv kritisiert, von einem „Anti-Sicherheitsgesetz“ war die Rede. Die Mindest-Sicherheitsstandards seien keinesfalls ausreichend, bemängelten die Experten. „Da die Bundesregierung nach der Verbände-Anhörung so gut wie keine Änderungen vorgenommen hat, sind diese Kritikpunkte auch noch alle aktuell“, so Johannes Rundfeldt, Gründer und Sprecher der AG Kritis, eines Zusammenschlusses von Fachleuten aus dem Bereich kritischer Infrastrukturen, auf Nachfrage.

Dass es bisher nicht zu größeren Zwischenfällen gekommen ist, so die Ansicht vieler Experten, liege daher nicht am hohen Sicherheitsniveau der Anlagen, sondern schlicht daran, dass die meisten Hacker unbemerkt Geld verdienen wollen. Ins Fadenkreuz der Behörden zu gelangen schadet da nur.