Die Gefahr von Hackerangriffen Cyberattacken: Wie Forscher Angriffsziele sicherer machen

Ein Hackerangriff auf Verkehrssysteme oder Kraftwerke – diese Vorstellung macht Angst. Forscher arbeiten daran, Angriffsziele sicherer zu machen. Es ist ein Wettlauf gegen einen unsichtbaren Gegner.
06.02.2018, 22:15
Lesedauer: 9 Min
Zur Merkliste
Von Jenny Tobien

Die Cyberattacke startete mitten im Winter. Die Hacker griffen mehrere Energieversorger in der Ukraine an. Mithilfe einer Schadsoftware legten sie 30 Umspannwerke und Schaltanlagen lahm. Zudem behinderten sie das Notrufsystem. Für fast 230.000 Menschen fiel im Dezember 2015 der Strom aus, viele saßen im Dunkeln. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) und andere IT-Spezialisten vermuten russische Hacker hinter dem Angriff. Bis ins Detail aufgeklärt ist der Vorfall auch zwei Jahre später immer noch nicht. Der Cyberangriff gilt in seinem Ausmaß als beispiellos. Die Angreifer führten nicht nur den Ukrainern, sondern der gesamten Welt vor Augen, wie verwundbar vernetzte Systeme sein können.

Besonders gefährdet sind Energiekonzerne, Wasserwerke, Krankenhäuser, Banken und Flughäfen. Auch Kontrollzentren im Schienenverkehr und die Telekommunikation stehen im Fokus. Fachleute sprechen von kritischen Infrastrukturen. Durch den Schaden, den eine massive Attacke dort hätte, können sie politische Gegner ebenso anlocken wie Terroristen und andere Kriminelle, die mit Erpressung Geld machen wollen. Wie schützen sich Unternehmen wie die Deutsche Bahn und die Deutsche Flugsicherung vor Attacken gegen ihre Rechnernetze? Und falls es tatsächlich zum Albtraum-Szenario kommen sollte: Welche Notfallmaßnahmen entwickeln Forscher für diesen Fall?

Digitale Vernetzung: Chance und Risiko

Aus Sicht vieler Unternehmen bedeutet die digitale Vernetzung Chance und Risiko zugleich. Einerseits bringt sie wirtschaftliche Vorteile, andererseits geht diese Effizienz oft zulasten der Sicherheit. „Jedem muss bewusst sein: Wenn ich digitalisiere, öffne ich ein Einfalltor für Angreifer“, sagt Professor Stefan Katzenbeisser vom Computer Science Department der Technischen Universität (TU) Darmstadt. Das ist im Großen nicht viel anders als im Kleinen daheim: „Wenn Sie heute einen Rechner kaufen und nichts für die Sicherheit tun – also zum Beispiel keine Firewall installieren und ihn nur direkt an das Internet anschließen –, da können Sie sicher sein, dass er innerhalb von fünf Minuten gehackt wird“, sagt Katzenbeisser. Denn es gebe eine Art Grundrauschen automatisierter Angriffe, einen flächendeckenden Beschuss der Rechner mit Virenprogrammen und Phishing-Mails.

Darmstadt gilt deutschlandweit als eine Hochburg für IT-Sicherheit. Manch einer nennt die südhessische Stadt in Anlehnung an das kalifornische Silicon Valley sogar „Security Valley“. Tatsächlich arbeiten hier Hunderte Experten im Bereich Cybersicherheit. So auch Matthias Schulz. Der wissenschaftliche Mitarbeiter der TU steht unter einer silbergrauen Plane und schaut gebannt auf sein Smartphone. Das behelfsmäßige Zelt ist in der Ecke eines Büroraums aufgespannt. Was aussieht wie eine selbst gebaute Kinderhöhle, ist eine Konstruktion, die der Forschung dient. Ähnlich wie bei Strom in einem faradayschen Käfig ist man darin gegen Funksignale abgeschottet.

Schulz’ Kollegen beschäftigen sich schon länger mit der Frage, was es bedeutet, wenn kritische Infrastrukturen – aus welchen Gründen auch immer – nicht mehr funktionieren. Im Falle einer Katastrophe würden nach kurzer Zeit auch die Kommunikationsnetze ausfallen, zumindest die in den privaten Händen, erläutern sie. Deshalb haben die Wissenschaftler zusammen mit der Uni Kassel, dem Bundesamt für Bevölkerungsschutz und dem Bundesforschungsministerium die App Smarter entwickelt. Über solch ein System kann künftig vielleicht in Krisenlagen kommuniziert werden, wenn das Mobilfunknetz zusammengebrochen ist und es keine Internetverbindung gibt.

Kommunizieren in Krisenlagen

Wie das funktioniert? Ähnlich wie bei Funkgeräten. Über den WLAN-Chip verbindet sich das Telefon mit einem anderen Smartphone, auf dem die App geladen ist. Dieses wiederum vernetzt sich mit weiteren Geräten im Umfeld. „Im freien Feld bekommen wir Reichweiten von 250 Metern von Smartphone zu Smartphone hin“, sagt Schulz. Über dieses Ad-hoc-Netz können digitale Hilferufe oder Lebenszeichen bei jedem Funkkontakt zweier Telefone weitergeleitet werden, bis sie das Zielgerät erreichen. „Denkbar ist auch, dass wir mithilfe von Drohnen bei Katastrophen Ad-hoc-Luftbrücken bauen, etwa um zwischen Teilnehmern, die voneinander abgeschnitten sind, wieder eine Kommunikation herzustellen. Oder auch um sich ein Bild von der Lage vor Ort zu machen“, berichtet Schulz über das Forschungsprojekt namens Nicer.

Hier kommt Stefan Kohlbrecher ins Spiel, der an der TU im Bereich Robotics forscht. Mit seinem Team entwickelt er autonom operierende Roboter verschiedenster Art. „Stellen wir uns vor, es gibt in einem Kraftwerk ein Problem und die Kommunikation bricht zusammen. Dann könnten die Rettungskräfte ihr eigenes Kommunikationsnetzwerk aufbauen, indem sie eine Drohne hinschicken, die Daten einsammelt und diese wieder in der Kommandozentrale ablädt“, sagt er. Die Technik bietet noch mehr Optionen: Ein rollender Bodenroboter kann im Krisenfall in unzugängliche Bereiche geschickt werden, etwa in ein verstrahltes oder einsturzgefährdetes Haus, um es zu vermessen. Das Gerät kommt mit einer 3D-Karte zurück. Opfer kann der Roboter mit einer Wärmebildkamera erfassen und dann eintragen.

Während sich die Darmstädter Forscher mit Worst-Case-Szenarien befassen, versuchen die Unternehmen zu verhindern, dass es überhaupt so weit kommt. Zu Besuch bei der Deutschen Flugsicherung (DFS) in Langen. Auf dem Campus, wenige Kilometer von Darmstadt entfernt, gelten erhöhte Sicherheitsmaßnahmen. „Früher konnten sich Besucher hier recht frei bewegen“, sagt die Pressesprecherin, die ihren Gast nach dem Sicherheitscheck in Empfang nimmt. Seit den Terroranschlägen vom 11. September 2001 seien die Regeln immer weiter verschärft worden. „Inzwischen sind wir hier sehr abgeschottet“, sagt sie.

„Die absolute Sicherheit gibt es nie“

Auf dem Campus befindet sich eine von vier DFS-Kontrollzentralen in Deutschland. Dort und im Tower an 16 Flughäfen sind die knapp 2000 DFS-Lotsen im Einsatz. Täglich überwachen sie bis zu 10.000 Flüge im deutschen Luftraum. Unterstützt werden sie von einem komplexen Radar- und Computersystem. Wie sicher ist ihre Technik vor Hacker-Angriffen? „Die absolute Sicherheit gibt es nie. Aber dass jemand von außen hineinkommt, ist schon sehr unwahrscheinlich“, sagt ein DFS-Experte. Das operative System sei von der Außenwelt abgeriegelt. Über das geschlossene Netz werden Fluginformationen und Radardaten übertragen. Es sei streng getrennt von dem Netz für die Bürokommunikation, das mit dem Internet verbunden und regelmäßig automatisierten Hackerattacken ausgesetzt ist.

In der Kontrollzentrale, deren Gebäude autark ist und ein eigenes Heizsystem und eine eigene Stromversorgung besitzt, gilt eine besondere digitale Schutzklasse. „Wir nennen es Schalenmodell“, sagt der Experte. Es gebe mehrere Lagen von Firewall-Ringen. „Durch die muss ein Angreifer erst mal durch, bis er an den Kern unseres operativen Geschäfts käme.“ Bislang sei erst eine Attacke registriert worden. Im Herbst habe ein Angreifer mit chinesischer Adresse versucht einzudringen. Er sei aber schon an der ersten Schicht gescheitert. Wenn also das System nach außen gut geschützt ist, wie sieht es mit der Sicherheit in den eigenen Reihen aus? Wenn jemand überhaupt zuschlagen kann, dann wohl als Innentäter. Doch auch hier wird vorgesorgt. Von den insgesamt 5400 DFS-Mitarbeitern sind mehr als ein Drittel vom Bundesamt für Verfassungsschutz überprüft. Die restlichen Kollegen, die in weniger kritischen Bereichen arbeiten, werden auch gecheckt, allerdings nicht ganz so streng.

An der fortschreitenden digitalen Vernetzung führt für die Luftraumüberwacher kein Weg vorbei. Auch wenn neue Gefahren drohen. Denn mit der analogen Punkt-zu-Punkt-Verbindung, über die die Kontrollzentren früher mit den Radaranlagen verbunden waren, ist der angestiegene Luftverkehr nicht mehr zu bewältigen. Dabei ist man sich in Langen sicher: „Die gezielten Hackerangriffe werden zunehmen.“

Sicherheitstest der Bahn

Zurück in Darmstadt. Hinter dem Hauptbahnhof liegt das sogenannte Eisenbahnbetriebsfeld. Der Anblick ließe wohl das Herz jedes Modellbahnfans höherschlagen. Die Simulationsanlage stellt den komplexen Bahnbetrieb im Kleinen dar, und das schon seit mehr als 100 Jahren. Zu sehen gibt es Bahnübergänge, Signale und vier Generationen von Stellwerksanlagen. Hier werden Sicherheitstests durchgeführt – und künftig sollen auch Cyberattacken durchgespielt werden. Die Bahn plant in den kommenden Jahren ein großes Digitalisierungsprogramm. So soll das Stellwerksystem vernetzt und die Zug-zu-Zug-Kommunikation ausgebaut werden. Ein Ziel ist, die Abstände zwischen den Zügen zu verringern und mehr Züge auf die Strecke zu bringen.

Christian Schlehuber, Teamleiter Cybersecurity bei der DB Netz AG, ist sich bewusst, dass mehr Vernetzung auch mehr Risiko durch Angreifer bedeutet: „Alles, was man sich vorstellen kann, ist prinzipiell möglich.“ Also von Verspätungen bis zum absichtlichen Herbeiführen von Unfällen. „Eine hundertprozentige Sicherheit gibt es nie. Aber man muss zumindest sagen können: Wir haben das getan, was möglich war.“ Für den Modernisierungsprozess hat sich die DB Netz AG Unterstützung von Experten gesucht. „Viele kritische Infrastrukturen sind noch immer nicht digital, die analogen Strukturen teils Jahrzehnte alt“, sagt Professor Christoph Krauß vom Fraunhofer-Institut für Sichere Informationstechnologie – und rät: „Bei der Modernisierung muss von Anfang an der Faktor IT-Sicherheit an erster Stelle stehen.“

Gemeinsam mit Fraunhofer, der TU und der Technikfirma Sysgo AG soll nun ein Sicherheitskonzept für die Bahn erstellt werden. „Es geht beispielsweise darum, die Kommunikation abzusichern, dass ein Angreifer keine Manipulationen durchführt und etwa eine Eins in eine Null ändert und ein falsches Steuersignal herbeiführt“, sagt Krauß. Eine große Herausforderung dabei ist das rasante Tempo der Digitalisierung. Die Sicherheitssysteme, an denen Fachleute heute tüfteln, sollten auch in 20 Jahren noch nutzbar sein. Das heißt: Updates müssen jederzeit möglich sein.

Wie verwundbar Unternehmen und Verbraucher sind, die nicht auf Updates setzen, hat gerade der Schaden durch die Wanna-Cry-Attacken gezeigt: Erpressungstrojaner verschlüsselten im vergangenen Jahr Computer mit dem Betriebssystem Windows in mehr als 150 Ländern und verlangten von den Besitzern Lösegeld für die Freischaltung. Sie konnten eine Sicherheitslücke nutzen, die Microsoft zwar durch ein Software-Update geschlossen hatte. Geschützt waren aber nur Computer, auf denen die Aktualisierung auch installiert wurde.

Das Ausmaß war enorm: Bei Renault wurde für mehrere Tage die Produktion in einigen Werken zurückgeworfen. Das Chaos in britischen Krankenhäusern führte vor Augen, wie leicht ein Cyberangriff Lebensgefahr bedeuten kann. Die Deutsche Bahn war ebenfalls betroffen. Anzeigentafeln an den Bahnhöfen zeigten Fehlermeldungen. Die Bundesregierung hat inzwischen erkannt, wie wichtig der Schutz kritischer Infrastrukturen ist. Das IT-Sicherheitsgesetz fordert seit 2015, dass die Betreiber ein Mindestniveau an IT-Sicherheit einhalten und erhebliche Störungen an das BSI melden.

Und wie wahrscheinlich ist es, dass ein wohl politisch motivierter Angriff wie in der Ukraine auch Deutschland trifft? „Die Ukraine war für die Russen ein Testfeld. Dort haben sie geübt, die kritische Infrastruktur eines Landes an den Boden zu bringen“, sagt ein renommierter IT-Sicherheitsexperte, der nicht namentlich genannt werden will. Mit Kollegen beobachtet er europaweit bei kritischen Infrastrukturen immer wieder Angriffe, die „sehr russisch aussehen“. Und: Es wird viel indirekt agiert. Die Hacker greifen also nicht das Unternehmen selbst an, sondern einen kleineren Dienstleister. Dann verwenden sie beispielsweise dessen Mailprogramm, um präparierte Dokumente an das eigentliche Ziel zu schicken.

„Die Angreifer testen aus, wie weit sie kommen. Sie schauen sich um, zerstören aber nichts und ziehen sich wieder zurück“, sagt der Experte. Das Problem dabei: Solche Attacken ohne sichtbare Folgen würden schnell übersehen. Dabei könnten die Hacker Unmengen von Informationen sammeln, um einen Konzern lahmzulegen. Sie verfolgen nach Ansicht des Experten eine Vorbereitungsstrategie: „Wenn es zu einer Auseinandersetzung kommt, können sie ganz schnell ganz viel Schaden anrichten. Das ist die logische Weiterentwicklung der Erfolge, die sie in der Ukraine hatten.“

Das IT-Sicherheitsgesetz

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz) soll vor allem den Schutz kritischer Infrastrukturen vor Cyberangriffen verbessern. Es trat im Juli 2015 in Kraft. Betreiber wichtiger Anlagen etwa aus den Bereichen Strom- und Wasserversorgung und Gesundheit werden verpflichtet, ein Mindestmaß an IT-Sicherheit einzuhalten. Und sie müssen erhebliche Störungen an das zuständige Bundesamt melden.

Für Betreiber von Webangeboten wie etwa Online-Shops gelten erhöhte Anforderungen an den Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme. Telekommunikationsfirmen müssen unter anderem ihre Kunden warnen, wenn sie bemerken, dass deren Anschlüsse für Cyberangriffe missbraucht werden.

Das Bundesamt für Sicherheit in der Informationstechnik, abgekürzt BSI, hat mit dem Gesetz mehr Befugnisse erhalten: zum Beispiel im Bereich der Bundesverwaltung. Es darf IT-Produkte und Software auf Sicherheitslücken untersuchen.

Das BSI sammelt alle relevanten Informationen, auf deren Basis zum Beispiel kurzfristige Warn- und Alarmierungsmeldungen sowie Handlungsempfehlungen für Betroffene erstellt werden können. In einem jährlichen Lagebericht informiert das BSI die Öffentlichkeit über aktuelle Gefahren.

Jetzt sichern: Wir schenken Ihnen 1 Monat WK+!
Mehr zum Thema
Lesermeinungen

Das könnte Sie auch interessieren

Das Beste mit WK+