Leere Zapfsäulen, Panikkäufe: Nach dem Hack einer wichtigen Pipeline in den USA musste der Betreiber Colonial Pipeline seine Server herunterfahren, tagelang flossen durch die Pipeline keine Kraftstoffe mehr. Hacker waren in das Firmennetzwerk eingedrungen und hatten dort Dateien verschlüsselt. Kurz darauf musste auch die irische Gesundheitsbehörde ihr gesamtes IT-System herunterfahren, sie war offenbar mit der gleichen Art von Schadsoftware infiltriert worden. Sind ähnliche Attacken auf kritische Infrastruktur auch in Deutschland denkbar? Ein Gespräch mit Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), und Dirk Häger, Abteilungsleiter des Bereichs Operative Sicherheit beim BSI , über die Sicherheit deutscher Atomkraftwerke – und warum es ein Riesenfehler von Angreifern war, die US-Pipeline zu hacken.

ZEIT ONLINE: Herr Schönbohm, eine Pipeline in den USA, der öffentliche Gesundheitsdienst in Irland – zuletzt sind mehrere kritische Infrastrukturen von Hackern angegriffen worden. Muss uns diese Häufung auch in Deutschland sorgen?

Arne Schönbohm: Ja. Denken Sie an die Schwachstelle in der Software Citrix im Frühjahr vergangenen Jahres, die später die Universitätsklinik Düsseldorf lahmgelegt hat. Oder der Cyberangriff über SolarWinds und die Sicherheitslücke im Microsoft Exchange Server Anfang dieses Jahr. Das ist mittlerweile unser Alltag. Gemeinsam mit Bundesinnenminister Horst Seehofer habe ich im Oktober den Lagebericht zur IT-Sicherheit 2020 vorgestellt, bereits damals haben wir von einer hohen Qualität der Angriffe und einer angespannten Sicherheitslage gesprochen. Das ist auch deshalb bemerkenswert, weil wir in einer sich erst digitalisierenden Welt leben.

ZEIT ONLINE: Ist es dann überhaupt sinnvoll, alle Bereiche zu digitalisieren, wenn die Angriffsflächen dadurch so viel größer werden und sich die Attacken häufen?

Schönbohm: Wir müssen das Thema Informationssicherheit als Voraussetzung einer erfolgreichen Digitalisierung verstehen. Welche Risiken sind wir bewusst bereit einzugehen und welche halten wir für nicht akzeptabel? Gerade bei kritischen Infrastrukturen sind branchenspezifische Sicherheitsstandards relevant, die wir im BSI gemeinsam mit der Wirtschaft erarbeiten und erlassen, sodass wir ein bestimmtes Risikoniveau einhalten können.

ZEIT ONLINE: Herr Häger, bei den Fällen in den USA und Irland handelt es sich um Ransomware-Angriffe, auch die Universitätsklinik in Düsseldorf wurde 2020 Opfer eines solchen Angriffs. Ransomware heißt: Ein Unternehmen wird gehackt, die Daten werden verschlüsselt und sollen gegen Lösegeld zurückgekauft werden können. Manchmal kopieren die Angreifer auch die Daten und erpressen die betroffenen Organisationen dann noch einmal. Sehen wir jetzt mehr solcher Angriffe?

Dirk Häger: Wir gehen stark davon aus, dass Ransomware-Angriffe in naher Zukunft nicht weniger werden. Die Kriminellen haben einen Weg gefunden, Geld zu verdienen, indem sie Daten von Firmen verschlüsseln und ein Lösegeld verlangen. Das geht auch, weil sie durch anonyme digitale Zahlungsmittel das Geld von überall aus der Welt zu sich transferieren können.

Schönbohm: In der analogen Welt gab es früher ja schon die Schutzgelderpressung. Um eine Analogie zu schaffen: In den alten Mafiafilmen lief das typischerweise in einer Pizzeria ab nach dem Motto: Wenn du mir kein Geld zahlst, verwüste ich deinen Laden. In der digitalen Welt ist das ähnlich, da geht es eben nicht um die Pizzeria, sondern um die Daten.

"Der Angriff auf die US-Pipeline war aus Tätersicht ein Riesenfehler"

ZEIT ONLINE: Inwiefern hat die Corona-Pandemie, eine Zeit, in der vieles hauruckartig digital ablaufen musste, diesen Trend befeuert?

Schönbohm: Viele Unternehmen mussten binnen kurzer Zeit Homeoffice ermöglichen. Es wurde viel digitalisiert in der Hoffnung, dass erst einmal alles funktioniert. Ob jetzt der Heimrouter über ein VPN verschlüsselt ist, ob es Back-ups gibt oder ob jemand vom privaten Laptop aus arbeitet – diese Fragen der Sicherheit waren erst mal zweitrangig. Die Folge: Viele Systeme sind angreifbar. Wir haben kürzlich eine Umfrage unter kleinen und mittelständischen Firmen gemacht, die grundsätzlich Homeoffice anbieten. Rund ein Viertel der befragten Unternehmen, die einen Cyberangriff zu bewältigen hatten, schätzten diesen als schwerwiegend bis existenzbedrohend ein. Daran merken wir, was für eine Bedeutung Cyberangriffe für die Wirtschaft haben.

ZEIT ONLINE: Hat sich die Art der Angriffe verändert?

Häger: Sie werden immer professioneller. Ein Großteil der Angriffe im Bereich Cybercrime ist allerdings nicht zielgerichtet. Wir bezeichnen sie als opportunistische Angriffe, weil die Hacker einfach schauen, wo sie reinkommen und die Organisation, bei der das klappt, dann eben erpressen. In Organisationen, in die sie nicht reinkommen, stecken sie keine weitere Energie, weil sie auch so genügend Opfer finden. Die Kriminellen wollen Geld verdienen. Es ist ihnen egal, wo es herkommt.

Schönbohm: Sie müssen sich das vorstellen wie auf einem Parkplatz: Die Ganoven ziehen an den Türen der Autos und schauen, ob es verschlossen ist oder nicht. Ist es offen und es steckt ein Schlüssel, fahren sie damit weg. Und meistens steckt ein Schlüssel drin. Wenn sie feststellen, das ist ein Polizeiwagen, lassen sie ihn vielleicht stehen.

Häger: Ja, manchmal fällt ihnen dann auf, dass sie kritische Infrastrukturen angegriffen haben, was sie gar nicht wollten.

ZEIT ONLINE: So ein Fall war die Uniklinik in Düsseldorf –  die Erpresser haben einen Schlüssel zur Entschlüsselung geschickt, ohne dass ein Lösegeld gezahlt wurde. Stehen kritische Infrastrukturen doch nicht so sehr im Fokus?

Häger: Sagen wir so: Ich würde als Hacker eher nicht besonders wichtige Infrastrukturen von Ländern angreifen, weil der Staat dann darauf reagiert. Insofern war der Angriff auf die Pipeline aus Sicht der Täter ein Riesenfehler.

Schönbohm: Genau. Die Täter versuchen unter dem Radar der Sicherheitsbehörden zu bleiben. Wenn Sie ein riesiges Botnetz wie Avalanche betreiben, also Schadsoftware über infizierte Rechner ohne Wissen der Betroffenen laufen lassen oder eine gefährliche Schadsoftware wie Emotet sehr erfolgreich verbreiten, und dann greifen Sie eine kritische Infrastruktur an, wird man darauf aufmerksam. Und dann ist es nur eine Frage der Zeit, bis die Ermittlungsbehörden durchgreifen.

Es ist wie bei Hydra: Sie schlagen einen Kopf ab und dann kommen andere nach.
BSI-Präsident Arne Schönbohm

ZEIT ONLINE: Bringt das denn was?

Schönbohm: Es ist wie bei Hydra: Sie schlagen einen Kopf ab und dann kommen andere nach. Man muss aber auch ganz klar sagen: Es wird den Angreifern zu leicht gemacht. In Deutschland haben wir teilweise ein schlechtes Patch-Verhalten: Firmen schließen bekannte Sicherheitslücken oft zu langsam. Von der Schwachstelle im Microsoft Exchange Server waren anfangs 65.000 Server in Deutschland betroffen, vor zwei Wochen waren es immer noch um die 4.000. Das ist sehr riskant! Diese Firmen sind völlig ungeschützt.

"Ein Atomkraftwerk zu hacken, nein, das ist nicht die Gefahr"

ZEIT ONLINE: Die Debatte um kritische Infrastrukturen ist oft geprägt von der Sorge, dass ausländische Geheimdienste dort eindringen, sich ausbreiten und diese, wenn es opportun erscheint, einfach ausschalten. Unter anderem darum dreht sich etwa die Diskussion um den Einsatz von Huawei-Bauteilen im 5G-Mobilnetz. In den USA und Irland waren es aber nun offenbar private Gruppen, die die Infrastrukturen angegriffen haben. Führen wir die Debatte falsch?

Schönbohm: Es ist für uns als BSI nicht so relevant, wer der Angreifer ist, ob ein Verbrecher, ein Hacktivist, eine staatliche Institution. Es geht darum, dass wir die Bälle vom Tor fernhalten.

ZEIT ONLINE: Wie kann ein besserer Schutz für kritische Infrastrukturen aussehen?

Schönbohm: Das eine ist Prävention, zum Beispiel branchenspezifische Sicherheitsstandards. Die Volksbank in Zehlendorf muss ich anders schützen als die Bundesbank. Zwei Themen, die mindestens genauso wichtig sind, sind Mechanismen für die Detektion, also die Erkennung von Angriffen, und für die Reaktion im Krisenfall. Sprich: Wenn ein Angriff erfolgreich war und jemand in das Netz eingedrungen ist, wie bekomme ich das mit? Und: Kann er mit einem Schlag das ganze Netzwerk übernehmen oder kommt er nur langsam voran, weil er nur auf einen Teil des Netzwerks zugreifen kann? In letzterem Fall muss eine betroffene Organisation vielleicht nur bestimmte Teile herunterfahren und nicht das ganze Netzwerk. Und natürlich sollte diese Organisation dann auch staatliche Stellen wie das BSI-Lagezentrum einschalten. Gleichzeitig ist ein erfolgreicher Cyberangriff über eine Sicherheitslücke auf einen Qualitätsmangel des Herstellers einer verwendeten Software zurückzuführen. Die ist nicht gottgegeben. Sondern da hat jemand die Tür nicht sauber abgeschlossen.

Häger: Die Strategie, die Herr Schönbohm beschreibt, ist auch bei den aktuellen Fällen in den USA und Irland wichtig. Ich bin mir momentan nicht sicher, ob ich den Angriff auf das irische Gesundheitswesen erfolgreich nennen würde. Tatsächlich haben die Verantwortlichen dort einen Angriff erkannt und schnell ihre Netze abgeschaltet, damit kein Schaden entsteht. Ja, es sind Daten abgeflossen. Aber wir werden mit Prävention nicht alle Angriffe abwehren können. Deswegen sind Monitoring und Detektion so wichtig. Wir müssen unsere Netze beobachten und, sobald Daten abfließen, schnell reagieren. Und ich erwarte von kritischen Infrastrukturen, dass sie einen Plan B vorhalten.

ZEIT ONLINE: Bisher sind die Angriffe auf kritische Infrastrukturen relativ glimpflich verlaufen. Was ist, wenn doch mal ein Atomkraftwerk gehackt würde?

Häger: In Deutschland brauchen wir uns über die IT-Sicherheit der Atomkraftwerke keine allzu großen Gedanken zu machen. Die Werke sind in den Achtzigerjahren entstanden. Sie sind kaum digitalisiert. Ein Atomkraftwerk zu hacken, nein, das ist nicht die Gefahr. Würden Sie nach einem Chemiewerk fragen, wäre zumindest das Schadenspotenzial durch einen IT-Angriff größer. Dort könnten Sie zum Beispiel Pumpen beeinträchtigen. Auch da würde ich aber sagen, dass sie ziemlich gut gesichert sind. Es wäre aber auch naiv zu sagen, dass man erfolgreiche Cyberangriffe jederzeit ausschließen kann.

Schönbohm: Um Atomkraftwerke sorge ich mich auch nicht. Ich sehe eine größere Gefahr bei Krankenhäusern. Denken wir 2016 an das Lukaskrankenhaus in Neuss, 2019 an die Krankenhäuser Rheinland-Pfalz und Saarland, 2020 die Universitätsklinik in Düsseldorf. Zwischendurch bekam ich immer wieder ähnliche Meldungen. Auch da sind wir aber dran: Wir haben einen branchenspezifischen Standard gemeinsam mit der Deutschen Krankenhausgesellschaft entwickelt und noch so einiges mehr. Bis das, was wir entwickelt haben, operativ umgesetzt wird, braucht es aber Zeit.