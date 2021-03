Auch Kläranlagen wie die in Seehausen sind das Ziel von Hackern. (Frank Thomas Koch)

Bremens kritische Infrastruktur gerät immer wieder in den Fokus von Kriminellen. Regelmäßig werden die Betreiber Ziel von Cyberattacken. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt davor, dass Verbrecher in die IT-Systeme von Energieversorgern, Krankenhäusern oder Flughäfen eindringen wollen. Ein überarbeitetes Gesetz, das momentan in der Abstimmung ist, soll potenziell gefährdete Betriebe und Organisationen noch mehr schützen.

Unter kritischer Infrastruktur versteht man Einrichtungen, die eine wichtige Bedeutung für das staatliche Gemeinwesen haben und deren Ausfall zu Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatische Folgen führen könnte. Konkret gehören dazu die Lebensmittel-, Wasser- oder Stromversorgung, aber auch die medizinische Versorgung, die Verarbeitung und Speicherung von Daten in Rechenzentren oder die Bargeldversorgung. Wer genau dazuzählt, wird über das sogenannte BSI-Gesetz geregelt.

In Bremen gilt etwa Hansewasser als Betreiber kritischer Infrastruktur, da das Unternehmen für die Abwasserentsorgung zuständig ist. Die Gefahren durch Cyberkriminelle spürt man auch hier. „Täglich erfolgen Angriffe auf unsere Systeme“, sagt Sprecher Oliver Ladeur. Diese würde mit den technischen und organisatorischen Gegenmitteln abgewehrt. Dazu gehöre auch, Mitarbeiter regelmäßig zu schulen und auf die Gefahren hinzuweisen. Zudem stehe Hansewasser im regelmäßigen Austausch mit dem BSI und macht sogenannte Penetrationstests. Hierbei simulieren IT-Experten einen Angriff von Kriminellen, um zu testen, wie gut die Abwehrsysteme den Attacken standhalten.

Ähnliches berichtet auch die BSAG. „Wir haben tagtäglich mit Programmen zu tun, die nach Schwachstellen in unserer Firewall suchen“, sagt Sprecher Andreas Holling. Das laufe meist automatisiert ab. Etwa alle sechs Wochen verzeichne man zudem eine erhöhte Zahl an solchen Scans. „Hier vermuten wir, dass uns jemand gezielt angreift.“ Bislang seien alle Versuche erfolglos geblieben.

Dass Kriminelle nach Schwachstellen in den IT-Abwehrsystemen suchen, ist nur eine Seite solcher Attacken. Immer wieder versuchen die Täter, auch Zugang über Mitarbeiter zu bekommen, etwa indem sie E-Mails mit gefälschten Anhängen verschicken, die beim Öffnen Schadsoftware installieren. Vier von fünf Mails, die die BSAG bekommt, sind laut Holling solche Phishing-Mails. Sie würden in der Regel den eigentlichen Empfänger aber gar nicht erst erreichen, da sie schon vorher rausgefiltert würden.

Als Betreiberin von Kraftwerken und Energieversorger gehört auch die SWB zur kritischen Infrastruktur. Ein Angriff auf die Stromversorgung könnte weite Teile der Stadt lahmlegen. Auf die Anfrage dazu äußert sich ein Sprecher daher zurückhaltend: „Wir bitten um Verständnis, dass wir uns bei der IT-Infrastruktur für Energieanlagen und -netze zu sicherheitsrelevanten Fragen grundsätzliche nicht öffentlich äußern möchten.“

Doch wer hätte überhaupt etwas davon, auf eine Bremer Kläranlage oder das Stromnetz zuzugreifen? Für Holger Berens, Vorstandsvorsitzender des Bundesverbands für den Schutz Kritischer Infrastruktur (BSKI), kommen mehrere Gruppen infrage. „Es können Staaten sein, die Geheimnisse klauen, aber auch Terroristen, die das größtmögliche Chaos verursachen wollen“, sagt Berens. Und natürlich sind auch immer wieder Kriminelle unter den Tätern, die nach dem erfolgreichen Eindringen die Betreiber erpressen. So geschehen etwa erst vor einem Jahr. Damals konnten Kriminelle auf das System des regionalen Versorgers Technische Werke Ludwigshafen (TWL) zugreifen. Die Stromversorgung konnten sie zwar nicht beeinflussen, dafür aber sensible Daten von mehr als 100.000 Kunden stehlen. Als TWL die geforderte zweistellige Millionensumme nicht zahlen wollte, wurden die Daten im Internet veröffentlicht.

Berens beim BSKI kritisiert, dass nicht für alle Infrastrukturen, die strengen Vorgabe des BSI herrschen. Denn laut BSI-Gesetz müssen bestimmte Schwellenwerte erreicht werden, damit ein Unternehmen oder eine Organisation dazugehört. Krankenhäuser zählen etwa erst dazu, wenn sie mehr als 30.000 stationäre Patienten im Jahr haben – Nahverkehrsbetriebe erst ab mehr als 125.000 Fahrgästen im Jahr. „Die Schwellenwerte sollten runtergesetzt werden“, fordert Berens. Denn auch Attacken auf vermeintlich kleine Einrichtungen könnten einen erheblichen Schaden verursachen.

Aktuell werden unter dem Titel IT-Sicherheitsgesetz 2.0 neue Regeln für den Schutz kritischer Infrastruktur erarbeitet. So sollen künftig weitere Bereiche dazugehören für die dann strengere gesetzlich IT-Vorgaben gelten, etwa die Rüstungs- und die Chemieindustrie. Und auch Abfallentsorger sollen dann ein Teil der kritischen Infrastruktur werden. Beim Bremer Entsorger Nehlsen bereitet man sich daher schon darauf vor. „Durch die voranschreitende Digitalisierung und der damit verbundenen Vernetzung von IT-Systemen über die Unternehmensgrenzen hinweg, hat das Thema IT-Sicherheit in den letzten Jahren auch für Unternehmen der Recycling- und Entsorgungswirtschaft stark an Bedeutung gewonnen“, sagt Sprecherin Marcia Kantoks. Die Anforderung des Gesetzes an die kritische Infrastruktur „gehört daher bereits heute zum Anspruch unserer IT-Sicherheit“.

Zur Sache

Hacker legen Kraftwerk lahm

Kurz vor Weihnachten fiel im Jahr 2015 in der Westukraine für Hunderttausende Menschen der Strom aus. Wie sich später herausstellte, hatten sich russische Hacker Zugriff auf die IT-Systeme eines Kraftwerkbetreibers verschafft. Die Attacke gilt als weltweit erster Stromausfall, der durch einen Hackerangriff verursacht wurde. Hintergrund war der Konflikt zwischen Russland und der Ukraine. Zugang verschafften sich die Hacker erst auf die IT der Verwaltung, offenbar über Phishing-Email, deren Anhänge Schadsoftware enthielten. Über mehrere Monate sollen sie sich vom Verwaltungsnetz in die Netzleittechnik vorgearbeitet haben – um dann die Stromversorgung zu kappen.