Stuxnet im Jahr 2010, der Blackout in der Ukraine im Jahr 2015, Sandworm im Jahr 2016, WannaCry im Jahr 2017 – die Liste groß angelegter und erfolgreicher Cyber-Angriffe in der jüngeren Vergangenheit ist erschreckend lang und wächst immer weiter. Erst im Mai diesen Jahres vermeldete die Süddeutsche Zeitung einen neuen bekannt gewordenen Angriff, der im Sommer 2017 die EnBW-Tochter Netcom zum Ziel hatte.
Auf der anderen Seite ist das Bewusstsein für IT-Sicherheit in vielen Unternehmen offensichtlich aber noch längst nicht im ausreichenden Maße vorhanden. So erklärt beispielsweise das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Lagebericht zum IT-Sicherheit in Deutschland aus dem Jahr 2017, dass es im Jahr 2016 „auf mehrere offene, aus dem Internet einsehbare Steuerungssysteme von Wasserwerken in Deutschland“ aufmerksam gemacht wurde. In besagten Wasserwerken wurden Human Machine Interfaces eingesetzt, auf die mindestens ein lesender Zugriff aus dem Internet möglich war. „Weitere Zugriffe bis hin zu einer Steuerung von außen“ konnte die Behörde nicht ausschließen.
Sicherheitsniveau einheitlich vorgeschrieben
Sicherheitslücken und Warnschüsse gab es in diesem Bereich also bereits mehr als genug. Der Gesetzgeber reagierte darauf mit dem seit 2015 gültigen IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme). Dieses schreibt nun ein einheitliches Sicherheitsniveau für die IT-Systeme kritischer Infrastrukturen vor. Es verpflichtet zum Beispiel Betreiber von Kraftwerken sich spätestens alle zwei Jahre auf Aspekte der Sicherheit überprüfen zu lassen, Mängel zu beseitigen und erhebliche Störungen, die Auswirkungen auf die Verfügbarkeit ihrer Dienstleistungen haben, umgehend dem BSI zu melden. Der 2016 erschienene erste Teil der „Verordnung zur Bestimmung Kritischer Infrastrukturen“ (BSI-KritisV) konkretisierte, welche Unternehmen aus dem Energiesektor genau unter das IT-Sicherheitsgesetz fallen.
Doch trotz der verhältnismäßig klaren rechtlichen Ausgangslage im Energiebereich, offenbart sich ganz allgemein in vielen gesellschaftlichen und unternehmensinternen Diskussionen rund um Cyber-Sicherheit ein grundlegendes Dilemma: Die Gefahr ist real, erscheint aber sehr abstrakt. Im Gegensatz zu einem physischen Angreifer, bleibt ein virtueller Angreifer oft verborgen. Auch virtuelle Schutzmauern sieht man im Gegensatz zu physischen nicht, dabei sind diese eigentlich fast noch wichtiger, da sich sich bei Cyber-Angriffen auch noch ein zusätzliches Problem ergibt: Über das Internet kann ein Angriff theoretisch von jedem Ort der Welt erfolgen, was die Strafverfolgung umso schwieriger macht. Daraus ergeben sich gerade in der Energiebranche einige Horror-Szenarien. Würde es einem Angreifer gelingen die Stromversorgung eines Landes durch einen Cyber-Angriff lahmzulegen, hätte das ganz erhebliche und fatale Konsequenzen. Wie ernst ist die Lage also?
Viele Angriffe bleiben unentdeckt
Insgesamt ist das Gefahrenpotenzial von Cyber-Angriffen schwer zu beziffern: Nicht alle Angriffe werden entdeckt und viel entdeckte Angriffe werden nicht öffentlich. Trotzdem wird schnell klar: In den Augen der Sicherheitsbehörden ist die Lage durchaus ernst: „Es droht, dass aus einem Internet of Things ein Internet of Threats wird“, warnte der Präsident des Bundesverfassungsschutzes, Hans-Georg Maaßen, in seiner Keynote auf der Potsdamer Konferenz für Nationale Cybersicherheit 2018. Und auch der Blick in die Unternehmen zeigt: Das Bewusstsein für das Thema steigt zumindest.
In der aktuellen Cyber-Sicherheits-Umfrage 2017 des BSI gaben rund 70 Prozent der befragten Unternehmen an, in den Jahren 2016 und 2017 Opfer von Cyber-Angriffen geworden zu sein. Dabei waren die Angreifer in etwa der Hälfte der Fälle auch erfolgreich, das heißt sie konnten sich zum Beispiel Zugang zu IT-Systemen verschaffen, die Funktionsweise von IT-Systemen beeinflussen oder Internet-Auftritte von Firmen manipulieren. Auch der Digitalverband Bitkom schlug bereits Alarm: So gaben in einer im letzten Jahr veröffentlichten Studie des Verbands 53 Prozent der befragten Unternehmen an, in den Jahren 2015 und 2016 Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden zu sein.
Ein Hack mit Ankündigung
Wie so etwas ganz konkret aussehen kann, zeigt ein Blick nach Nordrhein-Westfalen: Im Rahmen eines Hochschulprojekts der Fachhochschule Aachen hackten dort Studierende unter Anleitung ihres Professors Marko Schuba mit Ankündigung das Aachener Unternehmen Soptim, einen Anbieter von Software und Dienstleistungen für die Energiebranche. Soptim hatte sich im Vorfeld als Angriffsziel für das Forschungsprojekt bereit erklärt und kam den Studierenden aufgrund des engen Zeitrahmens des Projekts sogar entgegen. Das Unternehmen zeigte ihnen im Vorfeld die Gebäudetechnik und verriet wichtige Details wie die physische Trennung des Systems, die Konfigurationsabläufe inklusive Update-Zeitpunkten sowie den Namen des dafür zuständigen Mitarbeiters – Informationen, die ein „echter“ Hacker im Vorfeld wahrscheinlich nur durch langfristiges und aufwändiges Ausspähen erhalten hätte.
Prof. Schuba erklärt dazu: „In der Realität ist ein erfolgreicher Angriff immer und überall denkbar und letzten Endes wird ein Angreifer auch immer und überall hineinkommen. Ob sich so ein Angriff allerdings lohnt, ist eine Frage der zur Verfügung stehenden Zeit und des zur Verfügung stehenden Geldes.“ Mit den ihnen zur Verfügung stehenden Informationen entwickelten die Studierenden einen Plan. Nachdem sie nicht versuchen wollten in das Firmengebäude einzudringen, bedienten sie sich zuerst einer Methode des Social Engineering und verfassten eine sogenannte Spear-Phishing-Mail. Die Zielperson im Hause Soptim erhielt per E-Mail eine täuschend echt aussehende Einladung zu einer Alumnifeier ihrer ehemaligen Hochschule.
Der Empfänger im Hause Soptim schöpfte keinerlei Verdacht und öffnete die angehängte PDF-Datei mit der vermeintlichen Einladung, wodurch automatisch ein Schadcode ausgeführt wurde. Damit waren die Studierenden im internen Netz von Soptim. Es war nur noch eine Frage der Zeit bis die für die Haussteuerung relevanten Dateien manipuliert waren. Den Studierenden war es gelungen die Haussteuerung zu übernehmen und Soptim empfindlich zu treffen: Mit dem Abschalten der Kaffeemaschine.
Besseres Verständnis der Angriffsmechanismen
Aus Sicht des Soptim-Vorstands Dr. Heiner Halbach, war das Projekt ein interessantes Experiment und ein voller Erfolg: „Es ging uns ja gar nicht darum, den Hack zu verhindern und es ging uns auch nicht darum zu testen, wie gut unsere Firewall ist. Das war schließlich kein Penetrationstest. Uns hat interessiert, wie und auf welchen Wegen die Studierenden diesen Erfolg erzielt haben, da es uns gezeigt hat, an welchen Stellen wir mit diesen weichen Faktoren rechnen müssen. Diese Mechanismen verstehen wir nun viel besser.“ Auch das Vorgehen der Studierenden war natürlich nicht die einzig denkbare Social-Engineering-Angriffsmethode, wie Professor Schuba bestätigen kann: „Für jeden Angriff gibt es viele Möglichkeiten und somit immer auch einen Plan B. Sie können beispielsweise auch versuchen sich als Putzfrau auszugeben und im Unternehmen unauffällig einen WLAN-Access-Point an die Netzwerkdose anschließen, um auf diese Weise Zugriff auf das Netzwerk erhalten.“ Das Beispiel zeigt somit sehr eindrücklich: Cyber-Security kann und darf man nicht nur aus technischer Perspektive betrachten – der Faktor Mensch ist mindestens genauso wichtig.
Vielfältige Schutzmaßnahmen sind erforderlich
Wie geht man nun also mit dieser Gefahrensituation um, wie beugt man Cyber-Angriffen vor, was sollten Energieunternehmen konkret tun? Unterstützung bei der Prävention erhalten Betreiber kritischer Infrastrukturen beispielsweise bei Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, welches im Auftrag des Bundesinnenministeriums einen Leitfaden „Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement“ erstellt hat. Der Branchenverband BDEW unterstützt mit dem Whitepaper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“, welches sowohl die notwendigen Anforderungen an technische Komponenten und Systeme als auch organisatorische Maßnahmen berücksichtigt und auf der Website des Verbands zum kostenlosen Download bereit steht.
Der Aachener Professor Schuba rät zum Aufbau eines mehrstufigen Sicherheitssystems: „Wir predigen Defense in Depth. Die entscheidende Frage ist: Was kann ein Angreifer machen, der den PC eines Mitarbeiters übernommen hat? Erlangt er damit automatisch Zugriff auf alle relevanten Steuerungen oder bestehen hier weitere Sicherheitsbarrieren?“ Ein wichtiger Fokus sollte in jedem Fall auch auf der Forschung zum Thema Cyber-Security liegen. Das „Fraunhofer-Strategie- und Positionspapier Cyber-Sicherheit 2020“ listet dazu alleine im Kapitel „6.4. Energieerzeugung und Energieversorgung“ 19 verschiedene Bereiche mit weiterem Forschungsbedarf – von den Auswirkungen der Smart Grids bis Zugriffskonzepte.
Sicherheit durch eine digitale Signatur
Soptim hat seine Lehren aus dem Projekt mit den Hackern der Fachhochschule gezogen. „Wir haben uns vorher nicht wirklich mit Social Engineering beschäftigt, das hat sich durch das Projekt geändert. Seit diesem Zeitpunkt verschicken wir als Unternehmen E-Mails nur noch mit Signatur, damit unsere Kunden sicher sein können, dass die E-Mails tatsächlich von uns kommen. Schließlich streben wir an, auch von unseren Kunden und Partnern ausschließlich signierte E-Mails zu erhalten. Außerdem haben wir unsere Mitarbeiter dafür sensibilisiert, wie so ein Social-Engineering-Angriff aussehen und ablaufen kann“, erklärt Soptim-Vorstand Halbach.
Der Leitfaden „Verhaltensregeln zum Thema Social Engineering“, den der gemeinnützige Verein Deutschland sicher im Netz (DsiN) zusammen mit der IT-Genossenschaft Datev herausgegeben hat, gibt Handlungsempfehlungen sowie Hintergrundinformationen, um Social Engineering aktiv vorzubeugen.
Bei aller Vorsicht und selbst wenn Unternehmen alle erdenklichen Präventionsmaßnahmen ergreifen, wird das Erreichen einer hundertprozentigen Cyber-Sicherheit immer eine Illusion bleiben. Die gute Nachricht ist: Die Risiken lassen sich deutlich minimieren. Wichtig ist vor allem, dass Fragen der technischen und organisatorischen IT-Sicherheit bei allen Planungen berücksichtigt und im unternehmerischen Denken verankert werden. Dabei wurde ein grundsätzlicher Schritt in dieser Sache bereits getan, wie Deutschlands oberster Verfassungsschützer Hans-Georg Maaßen ebenfalls in seiner Keynote auf der Potsdamer Konferenz für Nationale CyberSicherheit 2018 feststellte: „Es ist gut, dass niemand mehr ernsthaft die Risiken durch Cyber-Angriffe in Frage stellt.“