Bisher fürchteten die Bürger, dass Hacker ihr Bankkonto plündern oder persönliche Daten stehlen könnten. Doch die Gefahr ist offenbar weitaus größer: Die Angreifer haben es auch auf Energieversorger und Krankenhäuser abgesehen.
Stuttgart - Sebastian Schreiber ist ein höflicher Mann. Doch im Büro mutiert der 42-Jährige zum erbarmungslosen Hacker. Im Auftrag von Behörden, Konzernen und Versorgern deckt er mit seiner Mannschaft über das Internet deren Sicherheitslücken bei Software und im IT-Netz auf. Würden böswillige Dritte diese ausnutzen, könnte es auch für die Stuttgarter Bürger fatale Konsequenzen haben: Der Strom könnte ausfallen, das Wasser verunreinigt werden. Dramatisch wären die Folgen für Kliniken: Patienten könnten sterben. Weil heute fast alles mit dem Internet verbunden ist, können Angreifer von jedem Ort der Welt aus zuschlagen. Deshalb ist Schreibers schärfste Waffe die Information: Mit seinen Erkenntnissen versuchen seine Auftraggeber, die gefährlichen Lücken rechtzeitig zu schließen.
Dass bisher alles gutging, ist für Schreiber nur Zufall: „Es könnte jederzeit zu einem GAU kommen“, betont er. „Es steht für mich außer Frage, dass Hacker in Süddeutschland ein Stromnetz lahmlegen werden. Die Frage ist nur, wann.“
Schreiber ist kein Fantast: In Baden-Württemberg gehören Energieversorger, Wasserwerke, Banken, Krankenhäuser, Fluggesellschaften und Bahn-Unternehmen zu seinen Kunden. Sie zählen zur sogenannten kritischen Infrastruktur, die durch das neue IT-Sicherheitsgesetz, das vor wenigen Tagen den Bundestag passierte, besser geschützt werden soll. Künftig müssen diese Unternehmen Hackerangriffe melden und Mindeststandards bei der IT-Sicherheit einhalten. Dabei soll auch Schreibers Firma SySS helfen: Sie ist Marktführer bei simulierten Hackerangriffen, den sogenannten Penetrationstests. Deshalb ist Schreibers Urteil auch so beunruhigend: Passwörter seien nicht sicher. Die Software sei oft veraltet, falsch konfiguriert oder schlecht gewartet. All das öffne Angreifern Tür und Tor.
Hinzu kommt: Selbst neue Software ist fehleranfällig, weil sie oft zu schnell auf den Markt gebracht wird und von Natur aus hochkomplex ist. „Selbst gängige Betriebssysteme wie das von Microsoft werden mehrmals im Monat mit Patches, zu Deutsch Flicken, ausgebessert. Das ist, als würde man ein Auto mehrmals im Monat in die Werkstatt zurückrufen“, sagt Schreiber. Die Folge: Potenzielle Angreifer haben doppelt so große Chancen, wie Thomas Hemker von Symantec betont. Der US-Sicherheitsspezialist hat die weltweiten Hackerangriffe des vergangenen Jahres ausgewertet. Demnach dauert es im Schnitt zwei Monate, bis ein Softwarehersteller das nötige Flickzeug für eine grundlegende Schwachstelle bereitstellen kann. Bis Unternehmen das Flickzeug auch nutzen, vergeht noch mehr Zeit. Zeit, in der Angreifer virtuelle Fallen auslegen und sich immer mehr Rechte ergaunern können. Bis sie im schlimmsten Fall sogar ganz das Unternehmenssystem übernehmen.
Täglich entdeckt G-Data mehr als 16 400 neue Schädlinge für Windows
Angriffsversuche gibt es ständig. So zählt der größte deutsche Antivirenhersteller G-Data allein mehr als 16 400 neue Schädlinge für das Betriebssystem Windows und 5000 beim gängigsten Smartphone-System Android – täglich. „Hacker könnten deutschlandweit Energie- und Wasserversorgung und den Transport destabilisieren“, sagt Thorsten Urbanski. „Im schlimmsten Fall gäbe es dann in einzelnen Regionen keinen Strom mehr und würde der Nahverkehr zusammenbrechen.“ Symantec-Experte Hemker ergänzt: „Die Schnelligkeit der Angreifer ist atemberaubend, da kommen die Verteidiger oft nicht hinterher. Momentan sind die Hacker am Drücker.“
Doch so schnell geben sich die Verteidiger nicht geschlagen „Wir sind uns der Gefahr bewusst. Unsere IT ist entsprechend geschützt“, sagt Bernhard Röhrle vom Zweckverband Landeswasserversorgung, von dem auch die Hälfte der Stuttgarter Haushalte ihr Trinkwasser bezieht. 400 000 Kubikmeter Wasser fassen die Speicher – das reicht nur, um die Versorgung bei einem Ausfall für ein, zwei Tage zu sichern. Deshalb habe man zum Schutz die Software für die Büroanwendungen und für den Betrieb der Anlagen getrennt, betont Röhrle. Mitarbeiter müssten Speichermedien wie USB-Sticks prüfen lassen, damit keine Schädlinge in das Computersystem eingeschleust werden. Außerdem werde die Software regelmäßig getestet. „Nach diesem Prinzip haben wir schon einige unerwünschte Anwendungen ausschließen können“, sagt Röhrle.
Beim Energieversorger EnBW ist man weniger auskunftsbereit. Man werde von Hackern angegriffen, habe aber auch geeignete Abwehrmechanismen aufgebaut, sagt Sprecher Ulrich Schröder. „Wir wollen aber keine Details bekanntgeben. Details können Hinweise sein, die andere nutzen könnten.“ Etwas verrät er doch: Man tausche sich mit Großunternehmen aus und habe inzwischen eine zentrale Informationssicherheit bei der EnBW aufgebaut. „Eine 100-prozentige Sicherheit kann aber niemand versprechen.“
Experten fordern bessere Software
Aber weitaus mehr Unternehmen könnten versuchen, näher an die 100 Prozent zu gelangen, kritisieren die Sicherheitsexperten. „Wer seine Systeme wirksam schützen will, stellt mehr Personal ein und bezieht die geeigneten Schutzmaßnahmen schon bei der Entwicklung von Software und Geschäftsprozessen mit ein“, sagt Hemker. G-Data-Sprecher Urbanski fordert ein Umdenken in der Politik. „Sie sollte mehr gute deutsche IT-Sicherheitsdienstleister unterstützen. Es hat viele Vorteile, auf Anbieter zu setzen, die dem deutschen Datenschutz unterliegen.“ Auch Schreiber mahnt einen Umstieg auf zuverlässigere Software an – nur so könne man sich auf lange Sicht gegen Hackerangriffe schützen. Man sei zu abhängig von wenigen, meist US-amerikanischen Anbietern. „Wir brauchen ein europäisches Betriebssystem.“
Vor allem aber müssten alle umdenken. „Die Politik und die Bevölkerung begreifen nicht im Ansatz, in welcher Abhängigkeit wir uns von der IT befinden“, sagt Schreiber. „Stellen Sie sich vor, dass Panzer auf dem Stuttgarter Schlossplatz stehen, und die Bevölkerung weiß nicht, von welcher Armee sie sind. Das würde jeden von uns aufregen. In der IT haben wir Vergleichbares: Bei einem Teil unserer Infrastruktur haben andere bereits die Herrschaft übernommen.“