Angriff auf das Gemeinwesen
Von David Schahinian
Die Energie- und die Wasserversorgung sind lebensnotwendig für moderne Gemeinschaften, mittlerweile ebenso die IT. Nicht umsonst zählen sie zu den Sektoren sogenannter kritischer Infrastrukturen (KRITIS). Nach der gemeinsamen Definition des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) handelt es sich dabei um
- „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
Kaum ein Mensch wünscht sich so etwas. Aber es reichen manchmal schon einige wenige, die die Funktionalität solcher Infrastrukturen stören wollen. Die zunehmende Vernetzung bringt zwar grundsätzlich viele Vorteile, kann aber auch neue Einfallstore für Angreifer schaffen.
Meldeaufkommen von KRITIS-Betreibern (freiwillige und verpflichtende Meldungen nach § 8b BSIG) im Berichtszeitraum vom 1. Juni 2017 bis zum 31. Mai 2018. (Bild: Bundesamt für Sicherheit in der Informationstechnik (BSI), „Die Lage der IT-Sicherheit in Deutschland 2018“)
Dass das keine Science-Fiction-Szenarien sind, konnte man jüngst beispielsweise in Venezuela sehen. Im Streit zwischen Staatspräsident Nicolás Maduro und Oppositionsführer Juan Guaidó um die Vorherrschaft im Land kam es wiederholt zu einem massiven Stromausfall mit dramatischen Folgen. Nahrungsmittel wurden knapp, die medizinische Versorgung war gestört, Menschen starben. Beide Kontrahenten bezichtigten einander der Sabotage des Stromnetzes.
Es sind meist große Katastrophen wie diese, die die Menschen aufrütteln und für den notwendigen Schutz kritischer Infrastrukturen und öffentlicher Stellen sensibilisieren. In der Regel allerdings höchstens für ein paar Tage. Wie im Großen ist es aber auch im Kleinen. In einer zunehmend vernetzten Welt und im Internet of Things (IoT) ist keine Kommune, keine Behörde mehr eine Insel. Einige Beispiele aus der jüngeren Vergangenheit belegen das.
Attacken en masse
So berichtete der Bayerische Rundfunk, dass das Krankenhaus Fürstenfeldbruck bei München im November 2018 von einem Trojaner lahmgelegt wurde, Krankenwagen konnten die Klinik demnach elf Tage lang nicht anfahren. Laut der Krankenhausstudie 2017 der Beratungsfirma Roland Berger wurden 64 % der deutschen Krankenhäuser schon einmal Opfer eines Hackerangriffs. Der hohe Wert mag auf den ersten Blick überraschen, doch liefern solche Umfragen, wenn sie anonym gehalten sind, möglicherweise genauere Angaben über das reale Ausmaß der Bedrohung als öffentliche Statistiken. Nicht jede betroffene Organisation, insbesondere nicht jedes Unternehmen, bringt Hackerangriffe zur Anzeige – zu groß ist die Gefahr eines Reputationsverlustes.
Das Redaktionsnetzwerk Deutschland berichtete im Februar 2019 über eine Cyberattacke auf das Bundesamt für Seeschifffahrt und Hydrographie (BSH). 40 Endgeräte seien betroffen gewesen, aber keine Server. Die Journalisten zitieren Jörg Gerdes, Referatsleiter Informationstechnik beim BSH: „Das waren keine Amateure. Aus der Machart der Phishing-Mails, die eingesetzt wurden, um Zugang zu erhalten, ist klar abzuleiten, dass gezielt das BSH angegriffen werden sollte.“ Bereits im Juni 2018 hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) anlässlich eines Cyberangriffs auf deutsche Energieversorger gewarnt:
- „Die Bedrohungslage im Cyberraum hat sich in den vergangenen Monaten deutlich zugespitzt und es gibt keinen Grund zur Annahme, dass sie sich entspannen wird.“
Warum auch? Schließlich entstehen täglich neue Projekte im Internet der Dinge und bieten damit immer neue und mehr Angriffsflächen. Eine Studie der Digitalberatungsfirma IoT Analytics hat herausgefunden, dass Smart City-Initiativen derzeit das Top-Segment im Internet der Dinge sind. In keinem anderen Bereich wurden 2018 weltweit so viele IoT-Projekte vorangetrieben: insgesamt 367. Europa liegt dabei mit 164 an der Spitze. Laut einer weiteren Analyse diesmal vom Beratungsunternehmen QSC, sind dabei Smart-Traffic-Anwendungen wie Parksysteme, Verkehrsüberwachung und -steuerung oder smarte Busspuren am populärsten. Andere Initiativen konzentrieren sich auf Versorgungsdienstleistungen, Straßenbeleuchtung, Umweltüberwachung oder die öffentliche Sicherheit. Mit ein wenig bösem Willen lassen sich hier praktisch unzählige Angriffsziele finden.
Teil 1 gibt eine erste Einführung und stellt als Beispiele die Konzepte in Hamburg, Berlin und Göttingen vor. Teil 2 geht nach Bayern und berichtet, was sich in den Münchner Modellvierteln tut. Teil 3 wechselt über die Grenze nach Österreich – dort hat man nämlich bereits eine nationale Smart-City-Strategie und ist führend im Passivhausbau. Teil 4 stürzt sich dann mitten in die Metropolregion Ruhrgebiet und berichtet unter anderem von der digitalsten Stadt Deutschlands. Den deutschen Südwesten nimmt sich zuletzt Teil 5 dieser Serie vor. Ein Extrabeitrag hat außerdem Beispiele dafür zusammengetragen, was Green IT zur Smart City beitragen kann. (Bild: zapp2photo – Fotolia)
Eine besondere Rolle spielen dabei Sensoren, die bei einer Vielzahl an IoT-Anwendungen eingesetzt werden, beispielsweise zur vorausschauenden Wartung oder zur Detektion von Schäden. Melden sie – gezielt von dritter Hand gesteuert – falsche Daten, kann es lebensgefährlich werden. Glaubt man den Experten, ist es keine Frage mehr, ob autonome Fahrzeuge auf den Straßen fahren werden, sondern nur noch wann. Das ganze System beruht auf der Auswertung von Sensoren – und macht damit den gesamten Straßenverkehr künftig anfällig für Attacken.
Nach Recherchen der Welt am Sonntag hat sich die Art solcher Angriffe in jüngster Zeit jedoch verändert. Es gehe häufig nicht mehr darum, Geld zu erpressen, sondern um Sabotage. Auch der nordrhein-westfälische Verfassungsschutz hat Veränderungen wahrgenommen. Früher habe es sich bei Hackerattacken auf die kritische Infrastruktur vor allem um Spionageversuche gehandelt: „Nun gibt es immer häufiger Sabotageangriffe.“
Unterschätzte IoT-Bedrohungen
Gefahr erkannt, Gefahr gebannt? Leider nein. Eine Umfrage von Trend Micro zeigt, dass weltweit nur 14 % von 1150 IT- und Sicherheitsentscheidern davon überzeugt sind, dass es in ihren Unternehmen ein echtes Bewusstsein für IoT-Bedrohungen gibt. Befragt wurden auch Organisationen aus dem öffentlichen Sektor. Von den Teilnehmern aus Deutschland geben sogar 91 % an, dass das Bewusstsein für Sicherheit verbesserungswürdig sei. 47 % beklagen, dass die Sicherheit bei IoT-Projekten oftmals vernachlässigt werde. „Viele Cyberangriffe sind nur deshalb erfolgreich, weil es den Opfern an Bewusstsein für Sicherheit mangelt. Im IoT-Bereich ist dies besonders deutlich zu beobachten“, kommentiert Udo Schneider, Security Evangelist bei Trend Micro, die Ergebnisse.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Kommunale-ITK-Sonderdruck zur Hannover Messe 2019. Einen Überblick mit freien Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Was die Betreiber kritischer Infrastrukturen betrifft, gibt es klare Vorgaben, berichtet Uniscon, ein Unternehmen der TÜV Süd-Gruppe. Nach dem IT-Sicherheitsgesetz und dem BSI-Gesetz sind sie dazu verpflichtet, IT-Systeme, -prozesse und -komponenten angemessen zu schützen. Ferner müssen sie erhebliche IT-Störungen im Betrieb der kritischen Infrastrukturen an das BSI melden – auch, wenn es sich nicht um Cyberangriffe handelt. Die Betreiber müssen sich beim BSI registrieren und erhalten dafür alle sie betreffenden Informationen zu Gefahren in der IT-Sicherheit, um entsprechende Maßnahmen zu ergreifen. Dabei soll der Stand der Technik eingehalten werden. Genau definiert sei dieser jedoch nicht. „Das macht es KRITIS-Betreibern nicht gerade leichter, ihren Verpflichtungen nachzukommen“, heißt es in dem Bericht.
Uniscon-CTO Dr. Hubert Jäger erklärt dazu, dass eine IT-Infrastruktur nicht nur den bewährten und allgemein anerkannten Sicherheitsregeln entsprechen muss: „Sie sollte außerdem mindestens dasselbe Sicherheitsniveau einhalten wie fortschrittliche Verfahren, die in der Praxis erfolgreich erprobt und von führenden Fachleuten anerkannt sind.“ KRITIS-Betreiber und auch die Dienstleister, die sie beauftragen, müssten regelmäßig nachweisen, dass ihre Systeme entsprechend geschützt sind.
Notfallplanung ist Pflicht
Auch für Kommunen gibt es Hilfestellung. Ein guter Start für die Erhöhung der IT-Sicherheit ist das sogenannte IT-Grundschutzprofil für Kommunen, das der Deutsche Landkreistag, der Deutsche Städte- und Gemeindebund und der Deutsche Städtetag gemeinsam mit dem BSI veröffentlicht haben. Die Profile dienen als Muster-Sicherheitskonzepte für Institutionen mit vergleichbaren Rahmenbedingungen. Es definiert immerhin die Mindestsicherheitsmaßnahmen, die in einer Kommunalverwaltung umzusetzen sind. Im Hinblick auf anstehende Digitalisierungsprojekte der Kommunen sei die Sicherheit der Daten ein wesentlicher Erfolgsfaktor, so BSI-Präsident Arne Schönbohm.
Darüber hinaus ist es immens wichtig, auf den Fall der Fälle vorbereitet zu sein, sagt Peter Vahrenhorst vom Cybercrime-Kompetenzzentrum des Landeskriminalamts Nordrhein-Westfalen. „Grundsätzlich sollte ein Notfallplan vorhanden sein.“ Wie wird reagiert? Wer muss umgehend kontaktiert werden? Wie lange dauert es, den IT-Dienstleister zu erreichen? Funktioniert das Zurückspielen eines Backups, und wie viel Zeit nimmt das in Anspruch? Antworten auf solche Fragen erst dann zu suchen, wenn der Angriff bereits läuft – dafür ist es dann zu spät. Zudem gehöre solch ein Plan zwingend in die analoge Welt, so der Kriminalhauptkommissar weiter. Bei einem Angriff auf die digitale Infrastruktur kann unter Umständen der Zugriff auf die PCs und auch die Telefonanlagen, die heute meist mittels Voice over IP funktionieren, unter Umständen nicht mehr möglich sein.
Wichtig ist zudem, eine konstruktive Fehlerkultur aufzubauen. Wie wichtig, zeigt das Beispiel Social Engineering. Dabei werden Mitarbeiter zur Preisgabe von vertraulichen Informationen oder zur Überweisung eines Geldbetrags verleitet. Oft wird dabei ihre Hilfsbereitschaft, Unsicherheit, Autoritätshörigkeit oder Gutgläubigkeit ausgenutzt, zumal die Täter ihre Opfer zuvor meist ausspionieren, um ihr Vorhaben glaubhafter zu gestalten. Ein Fehler, ja. Aber der zweite Fehler wäre es, diesen vertuschen zu wollen, weil eventuell Sanktionen drohen. Je früher die Schwachstelle oder Lücke bekannt wird, desto eher können Gegenmaßnahmen ergriffen werden. Sicherheitsschulungen und Weiterbildungen sind geeignete Mittel, um die Mitarbeiter für solche Gefahren zu sensibilisieren.
Fast zwei Drittel der befragten Krankenhäuser waren 2017 bereits Opfer eines Hackerangriffs. (Bild: Roland Berger Krankenhausstudie 2017)
Ähnliches zeigte auch die bereits genannte Roland-Berger-Studie zu den deutschen Krankenhäusern. Zur Abwehr von Hackerangriffen setzen die befragten Kliniken vor allem auf die Verbesserung von Firewalls, Notfallkonzepte und die Aufklärung der Mitarbeiter. Im nächsten Satz verweist die Studie auf den großen Haken an der Sache: „Den meisten Häusern fehlen allerdings die (öffentlichen) Mittel, um zu investieren.“
Die sind mit Blick auf die künftigen Herausforderungen jedoch dringend nötig. Ein Grund ist das Onlinezugangsgesetz (OZG). Es sieht vor, dass Bund, Länder und Kommunen 575 Verwaltungsdienstleistungen bis 2022 komplett online anbieten. „Das Vorhaben ist gewaltig“, urteilte der Tagesspiegel. Der Aufbau der grundlegenden Struktur stocke technisch wie organisatorisch, heißt es dort weiter. Das Blatt zitiert aus einer Studie der Beratungsfirma EY, nach der eine Ursache dafür sein dürfte, dass die Personalstrategie in deutschen Behörden zu wenig auf Digitalisierung ausgerichtet ist.
Neue Technologien, neue Angriffsflächen
Das klingt nicht beruhigend, wenn man bedenkt, dass noch ganz andere Gefahrenlagen drohen. Einen Vorgeschmack darauf gab es bereits 2014. Damals berichtete die MIT Technology Review über einen gezielten Ampel-Hack von Forschern in Michigan, mit dem sie die Anfälligkeit der vernetzten Welt prüften. Den Wissenschaftlern gelang es unter anderem, 100 Signalanlagen zu kapern und eine grüne Welle zu schalten. Solche Systeme sind zwar meist gegen Katastrophenszenarien wie „Grün für alle“ abgesichert, aber mutwillig Staus zu produzieren oder sich freie Bahn zu verschaffen, das wäre bei Ampelsystemen, die via Funk kommunizieren, theoretisch möglich. Die drei größten Schwachstellen, die die Forscher bei ihrem Versuch fanden, wären übrigens recht einfach zu schützen gewesen: Es handelte sich um unverschlüsselte drahtlose Verbindungen, die Verwendung von Standardbenutzernamen und -Passwörtern und um einen Debugging-Port, der leicht anzugreifen war.
Ein anderes Beispiel, das im Zuge der Elektromobilität immer mehr an Bedeutung gewinnen wird, sind Stromtankstellen. Sie stehen meist am Straßenrand, in Parkhäusern oder an anderen unbewachten Stellen, berichtet das Fraunhofer-Institut für Sichere Informationstechnologie SIT: „Damit sind sie ein leichtes Ziel für IT-basierte Angriffe.“ Angreifer könnten etwa über einen USB-Anschluss unbemerkt versuchen, die Firmware an der Ladesäule zu manipulieren. Unbegrenzt frei tanken, die Ladung über ein fremdes Kundenkonto abbuchen lassen, personenbezogene Daten erbeuten – Motive für Kriminelle gibt es genug. Laut SIT senden und speichern Ladesäulen solche Daten, um die Menge, die Dauer und den Ort eines Ladevorgangs sowie die dazugehörigen Kundendaten an eine Abrechnungsstelle zu senden.
Das Institut hat eine Lösung entwickelt, die solche Machenschaften verhindern helfen soll: Mittels eines speziell gegen Angriffe gesicherten Hardware-Sicherheitsmoduls, das fest mit der Ladesäule verbunden ist, lässt sich aus der Ferne prüfen, ob sich die Firmware der Ladesäule in einwandfreiem und vertrauenswürdigem Zustand befindet. Zudem wird das kryptografische Schlüsselmaterial, das zur Kommunikation verwendet wird, mit dem Modul abgesichert.
Während solche Gefahren die öffentliche Infrastruktur betreffen, haben Kommunen und öffentliche Verwaltungen mit vielleicht weniger spektakulären, aber ebenfalls gefährlichen Bedrohungen zu rechnen. So könnten Hacker beispielsweise versuchen, Leistungsbescheide zu manipulieren – etwa, indem sie sie auf eine andere Person ausstellen, berichtet Cybercrime-Experte Peter Vahrenhorst. Der Nachweis, dass die Zahlung nicht autorisiert war, könnte lange dauern – sofern der Missbrauch überhaupt auffällt. Je mehr Informationen elektronisch abgelegt wird, desto mehr Gefahrenpotenziale sind denkbar: ein Auto in betrügerischer Absicht an- oder abmelden beispielsweise, oder einer Person einige zusätzliche Führerscheinklassen in die Datenbank eintragen. Die digitale Identität wird künftig mehr denn je zum Dreh- und Angelpunkt des eigenen Lebens.
Jetzt handeln!
Nun lässt das Onlinezugangsgesetz (OZG) den Kommunen noch bis 2022 Zeit für die Digitalisierung ihrer Verwaltungsleistungen. Genug, um sich in Ruhe vorzubereiten? „2022 soll es funktionieren“, betont Kriminalkommissar Vahrenhorst. Er empfiehlt Kommunen und Verwaltungen dringend, sich frühzeitig Gedanken um die Sicherheitsaspekte zu machen. Prävention sei besser, als später an einer halbgaren Lösung herumdoktern zu müssen – abgesehen davon, dass das Kind bereits in den Brunnen gefallen sei, wenn etwa ein Datensatz mit Identitäten im Netz herumgeistere. Nicht umsonst widmet der aktuelle BSI-Lagebericht zur IT-Sicherheit in Deutschland Themen wie dem Identitätsmissbrauch durch Fernidentifizierungsverfahren eigene Kapitel.
Was das IoT betrifft, wird dort ein wachsendes Bewusstsein für die Risiken vernetzter Geräte festgestellt. Dennoch biete die schiere Anzahl der mit dem Internet verbundenen und nicht ausreichend gesicherten Geräte weiterhin „ein lohnendes Ziel“ für Cyberkriminelle, so der Bericht. Ein weiterer Grund dafür sei, dass IoT-Geräte häufig über keine eigenen Angriffspräventionssysteme verfügten – um Kosten zu reduzieren und/oder die Laufzeit zu erhöhen. Das mache die Kompromittierung leichter, die Erkennung einer solchen aber umso schwerer.
Grundsätzlich werden im Lagebericht zwei Gefährdungslagen dargestellt:
- Bei der ersten wird das IoT-Gerät angegriffen, um direkt oder indirekt Schaden herbeizuführen. Dazu zählt etwa die Manipulation von Daten, beispielsweise der Zutrittssteuerung. Die Angreifer könnten darauf abzielen, Daten auszuspähen oder die IoT-Geräte lahmzulegen bzw. ganz auszuschalten oder auch die IoT-Geräte als Hintertür nutzen, um sich Zutritt zum Organisationsnetzwerk zu verschaffen.
- Bei der zweiten Gefährdungslage wird das Gerät kompromittiert, um Angriffe auf weitere Ziele vorzubereiten. Sie bleiben laut BSI häufig unbemerkt, weil die eigentliche Funktionalität des Geräts nicht verändert werden muss. Nutzen daraus können Angreifer unter anderem durch den Aufbau von Botnetzen oder die Identitätsverschleierung ziehen.
Kommunen, Ämter, Behörden und Betreiber kritischer Infrastrukturen befinden sich in einer Zwickmühle. Die Bürger verlangen heute nach digitalen Diensten, wie sie es in vielen anderen Lebensbereichen schon gewohnt sind. Darüber hinaus sind mit dem IoT noch komfortablere Services und Effizienzgewinne möglich. Gleichzeitig ist für ihre Funktionalität oft der Umgang mit besonders sensiblen Daten nötig. Ihr Missbrauch kann, je nach Fall, Auswirkungen auf eine oder mehrere Personen oder sogar auf die gesamte Öffentlichkeit haben. Grund genug, die Sicherheit solcher Systeme ganz oben auf die Agenda zu setzen.
David Schahinian arbeitet als freier Journalist für Tageszeitungen, Fachverlage, Verbände und Unternehmen. Nach Banklehre und Studium der Germanistik und Anglistik war er zunächst in der Software-Branche und der Medienanalyse tätig. Seit 2010 ist er Freiberufler und schätzt daran besonders, Themen unvoreingenommen, en détail und aus verschiedenen Blickwinkeln ergründen zu können. Schwerpunkte im IT-Bereich sind Personalthemen und Zukunftstechnologien.