Unternehmen im Land verzeichnen immer mehr Hackerangriffe. Doch ein größeres Risiko könnte anderswo schlummern: Kommunale Anbieter von Strom, Wasser und anderen Diensten sind gegen Angriffe im Netz nicht ausreichend geschützt.
Stuttgart - Es ist keine vier Jahre her, da knipsten Hacker in der Ukraine für Tage das Licht aus. Und erst im vergangenen Jahr wurde bekannt, dass sich Computerkriminelle Zugang zur EnBW-Tochter netCom verschafft haben. Vor allem dieser Vorfall wirft die Frage auf: Wie gut sind Stromerzeuger, Wasserwerke und Co. in Baden-Württemberg vor Hackerangriffen geschützt? Nach Gesprächen mit Wissenschaftlern, Betreibern und Sicherheitsbeamten wird deutlich: Es sind vor allem kommunale Versorger wie Stadtwerke, kleinere Strom- und Wasserlieferanten oder Krankenhäuser, die gegen Hackerattacken nicht ausreichend gerüstet sind.
Die Recherchen unserer Zeitung zeigen: In vielen dieser Unternehmen fehlt es an Personal, das sich mit IT-Sicherheit auskennt. Nicht selten unterscheiden sich die Kenntnisse der Techniker in den Betrieben kaum vom Wissen gewöhnlicher Privatleute. Es fehlen Strukturen und Technologien, um Angriffe festzustellen, diese zu melden und zu dokumentieren. Vor allem aber mangelt es an Problembewusstsein. Denn obwohl die Digitalisierung auch bei den Versorgern immer weiter voranschreitet und Anlagen miteinander vernetzt werden, bleiben die Investitionen in die IT-Sicherheit nicht selten ein Randbereich.
„Die Zahl der Cyberangriffe und ihre Komplexität steigen von Jahr zu Jahr“, sagt Stefan Reinhard vom Landeskriminalamt Baden-Württemberg. Zwar sei die technische Ausstattung in den meisten kommunalen Unternehmen ausreichend. Die Sensibilisierung der Mitarbeiter „lässt jedoch oftmals zu wünschen übrig“.
Eberhard Oehler ist einer der wenigen, der als Beteiligter offen über die Verwundbarkeit der Versorger spricht. Der Geschäftsführer der Stadtwerke in Ettlingen hat selbst erfahren, was es bedeutet, wenn die Steuerung der eigenen Anlage plötzlich in den Hände von Hackern liegt.
2014 ließ sich Oehler auf ein Experiment ein: Hacker griffen probeweise seine Stadtwerke an. Nur 26 Minuten vergingen, da war der Computerexperte mit einem ersten Schritt im System. Über das Netzwerk eines Bürodruckers gelangte er auf die Steuerungselemente der Strom- und Wasserbetriebe. Wenige Klicks hätten genügt, um die Stadt mit ihren 38 000 Einwohnern ins Chaos zu stürzen. „Das Wissen um die Verwundbarkeit fühlte sich an wie Ohnmacht“, sagt der 64-Jährige heute.
Für Oehler wurde das Hacker-Experiment zum Weckruf. In den Monaten danach ließ er das Sicherheitskonzept der Stadtwerke radikal überarbeiten. Personal wurde geschult, zusätzliche IT-Experten eingestellt. Server wurden sicherer gemacht und vieles mehr. Seitdem ist Oehler eine Art schlechtes Gewissen der Kommunalversorger. Immer wieder plädiert er auf Kongressen und Veranstaltungen dafür, dass sich nicht nur die großen Strom- und Gasversorger vor Hackern schützen, sondern auch die kleinen; die Firmen also, die auch im Südwesten den Großteil der Versorgung stemmen. Seinen Kollegen sagt Oehler: Bestellt euch einen Hacker und geht mit den Ergebnissen offensiv um. „Aber bei vielen ist der Schaden dann so fatal, dass sie die Öffentlichkeit fürchten“, sagt er.
Eine noch nicht veröffentlichte Studie über die IT-Sicherheit von kleinen und mittelständischen Unternehmen im Südwesten zeigt, wo auch die Probleme bei den Versorgern liegen: Etwa jeder sechste Betrieb in Baden-Württemberg gibt an, in der Vergangenheit von Hackern attackiert worden zu sein. Das Dunkelfeld ist dabei immens. Denn die meisten Hackerattacken werden nur entdeckt, weil Mitarbeiter zufällig darauf stoßen. Die wenigsten Firmen können überhaupt sagen, von wem, wann und wie sie angegriffen wurden. Eine Schadensdokumentation in den Unternehmen findet praktisch nicht statt. „Erst wenn Berater bezahlt werden oder Prozesse plötzlich nicht funktionieren, können die Geschäftsführer den Schaden beziffern“, erklärt André Wiegand von der Unternehmensberatung Goldmedia, die den Cyberbericht im Sommer dieses Jahres veröffentlichen.
Wie so häufig bei der IT-Sicherheit ist das grundlegende Problem der Mensch. Denn würden die Versorger die Standards beachten, die sie sich selbst in den Branchenverbänden gegeben haben, sähe die Lage anders aus: Niemand würde die sensiblen Anlagen an das Internet anschließen und auf die Idee kommen, sie von zu Hause aus zu steuern. Tatsächlich jedoch berichten mehrere Experten, dass das durchaus vorkommt. Für Hacker gleichen solche Schnittstellen mit dem Netz aber einem offenen Scheunentor.
Marc Tesch, Geschäftsführer des IT-Dienstleisters Genua in Kirchheim bei München, bemerkt bei seinen Computerexperten und den Ingenieuren der Versorger grundlegende Unterschiede im Denken. „Wenn Ingenieure eine Maschine kaufen, muss die 30 Jahre fehlerfrei laufen.“ Computersoftware, die sich heute in jeder Steuerungsanlage von Wassernetzen befindet, funktioniere aber anders. Die müsse ständig aktualisiert werden. Auch wenn das Bewusstsein für IT sich wandele, glaubten viele, dass neue Updates den reibungsfreien Ablauf ihrer Systeme eher stören als langfristig sicherer machen. „Das Schlimmste, was Ingenieuren passieren kann, ist, dass Maschinen nach einem Update kurzfristig ausfallen“, sagt Tesch. Um das Bewusstsein für die IT zu verändern, müssten Geschäftsführer in der Lage sein, den Ernst der Lage zu erkennen.
Sicherheitsschulungen mit Versorgern finden natürlich schon heute statt. Es ist allerdings fraglich, wie schnell sie das Bewusstsein für die Probleme verändern. „Was die IT-Sicherheit am effektivsten erhöht, sind Gesetze, die Unternehmen zu Handlungen verpflichten“, sagt Ulrike Lechner von der Bundeswehr-Universität in München. Dabei stellt die Sicherheitsforscherin fest, dass die meisten Firmen klare Anforderungen vom Staat gut finden. Ihr zufolge könnte das daran liegen, dass viele Betreiber damit überfordert sind, ihre hohen Ansprüche an die Versorgungsqualität mit der Digitalisierung zu vereinbaren. „Das zeigt auch, wie wichtig im Moment staatliche Vorgaben sind.“
Seit Monaten wird über eine Verschärfung des IT-Sicherheitsgesetzes diskutiert. Bislang gilt das Gesetz für die Kritische Infrastruktur vor allem für Versorger, die mehr als 500 000 Menschen betreffen. In Zukunft könnten auch kleinere Stadtwerke darunterfallen. Auch Hersteller wie Softwareanbieter und zusätzliche Branchen könnten stärker kontrolliert werden. Das würde auch dazu führen, dass Schulungen weiter intensiviert werden, die Firmen müssten neues Personal einstellen.
Über den möglichen Zusatzaufwand sind sich die Unternehmen im Klaren. Auch, dass Strom, Wasser und die Mobilität dann teurer werden könnten. „Wenn Kunden wirklich wollen, dass die Versorgungssicherheit besser wird, werden sie dafür bezahlen müssen“, sagt ein Vertreter von Stadtwerken, der nicht genannt werden will. Cybersicherheit gäbe es nicht gratis.
