Ein oder zwei Mal noch hätte Felix Lindner auf die Tastatur seines PCs tippen müssen, dann wären in Ettlingen die Lichter ausgegangen. Von einem Moment auf den anderen hätte der Hacker aus Berlin den 40.000 Einwohnern der baden-württembergischen Stadt den Strom abschalten können. Ihre Heizungen wären ebenso ausgefallen wie die Wasserversorgung. Ampeln hätten nicht länger den Verkehr geregelt und Lebensmittel in den Supermärkten infolge zusammenbrechender Kühlsysteme zu verderben begonnen.

Oehler glaubt zwar, dass die Stadtwerke das Problem binnen einer Stunde gelöst und Notstromaggregate das Allerschlimmste verhindert hätten. "Aber ein Teil der öffentlichen Infrastruktur wäre sicher kollabiert." Das beschwichtigende Wörtchen "wäre" kann sich Oehler leisten, weil es sich bei dem Hackerangriff auf die Ettlinger Stadtwerke lediglich um einen Test gehandelt hat.
Der Geschäftsführer wollte wissen, ob das Sicherheitssystem einem Hackerangriff standhält. Das Ergebnis war so ernüchternd wie besorgniserregend.


Überrascht und geschockt
Lediglich drei Tage musste Lindner investieren, bis er in die Netzwerke der Stadtwerke eingedrungen war und dort sogar die Leitwarte kontrollieren konnte. "Ich war überrascht und geschockt", sagt Oehler.

Oehler hat sich entschieden, mit seinem Fall an die Öffentlichkeit zu gehen. Er will sie für die Gefahr sensibilisieren, dass Infrastrukturen und Versorgungseinrichtungen von Hackern angegriffen, gestört und geschädigt werden können. Wenn Fachleute wie Oehler über mögliche Cyber-Angriffe auf Versorger sprechen, haben sie vor allem vier Szenarien im Kopf: Industriespionage, Datendiebstahl, Abrechnungsbetrug und den Eingriff in die Netzwerksteuerung.

Auch der Bamberger Joachim Hofmann saß schon im Publikum, als Oehler über die digitale Verwundbarkeit der Energieversorgung gesprochen hat. "Natürlich hört sich das erst einmal erschreckend an. Aber das, was da in Ettlingen passiert ist, wäre bei uns in Bamberg wohl nicht möglich", sagt Hofmann. Hofmann muss es wissen, denn bei den Stadtwerken ist er für die IT-Sicherheit zuständig. Dennoch will auch Hofmann nicht leugnen, dass Versorgungsunternehmen ins Fadenkreuz von Hackern und Cyberkriminellen gerückt sind. "Es wäre naiv anzunehmen, die neu gewonnenen digital vernetzten Technologien würden nicht für Auseinandersetzungen in der Wirtschaft, Gesellschaft und Politik ausgenutzt werden", schreibt in diesem Zusammenhang auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht "Lage der IT-Sicherheit 2014 in Deutschland".


/> Sabotage im Stahlwerk
Diese Einschätzung untermauert das BSI mit dem Beispiel eines bislang nicht bekannten Angriffs auf ein deutsches Stahlwerk. Mit einem geknackten Passwort konnten die Täter demnach in das Büronetz des Stahlwerks eindringen und sich von dort bis zu den Produktionsnetzen vorarbeiten.

Die in der Folge verursachten Ausfälle der Steuerungskomponenten beschädigten die Anlage massiv, weil sich ein Hochofen nicht geregelt herunterfahren ließ. Um welches Stahlwerk es sich konkret gehandelt hat, verrät das BSI allerdings nicht.

Denn die mit großem Aufwand forcierte Energiewende funktioniert nur, wenn die Energieerzeugung dezentraler organisiert und digital gesteuert wird. Benötigt werden Wind- und Solarparks, aber auch kleinere Photovoltaikanlagen auf den Dächern von Privathäusern. Um Einspeisungsmengen und Verbrauch auszubalancieren, müssen sich die Energieversorger auf intelligente Informationstechnologie stützen. Der Erlanger Informatik-Professor Felix Freiling erkennt hier ein klassisches Dilemma. Ein über das Internet vernetztes System unterstütze zwar einen intelligenten und effizienten Umgang mit Energie. Einerseits. "Andererseits steigt die Fragilität eines Systems, je vernetzter es ist. Es bietet mehr Angriffspunkte."


Wachsende Bedrohung
Im Grunde brauche es für einen Cyber-Angriff heute lediglich einen PC und Internet-Anschluss. Michael George, Leiter des Cyber-Allianz-Zentrums (CAZ) im Bayerischen Landesamt für Verfassungsschutz, macht in diesem Zusammenhang eine einfache Rechnung auf: "Die Bedrohung ergibt sich aus der technischen Vernetzung und der Zahl potenzieller Täter. Da deren Zahl sicherlich nicht abgenommen, die technische Vernetzung aber deutlich gestiegen ist, haben wir es mit einem gestiegenen Bedrohungspotenzial zu tun."

George hält es für wahrscheinlich, dass neben gewöhnlichen Kriminellen auch ausländische Dienste deutsche Infrastrukturen ausspionieren.

Es gehört zur Natur der Sache, dass sich die Energieversorger über ihre Schutzmaßnahmen bedeckt halten. So bestätigen beispielsweise die Bayernwerke zwar "ein umfassendes Melde- und Risikomanagement-System". Gleichzeitig bittet ein Unternehmenssprecher für "Verständnis, dass wir uns zu Details einzelner Sicherheitsmaßnahmen nicht äußern können". Auch die Bamberger Stadtwerke wollen sich nicht in die Karten schauen lassen. Man pflegt einen restriktiven Umgang mit Netzwerken, so viel verrät Hofmann dann aber doch.


Restriktive Maßnahmen
"Der Zugang zu Netzwerken ist erst einmal gesperrt. Nur wer einen Zugang unbedingt benötigt und dies sachlich rechtfertigen kann, bekommt auch einen", sagt er.

Zudem haben die Stadtwerke viele ihrer Netzwerke physisch voneinander getrennt. Damit sind sie weder miteinander noch mit dem Internet verbunden. Als eine weitere Gefahrenquelle haben die Stadtwerke auch die Fernwartung identifiziert. Heute können Ingenieure beispielsweise per Internet auf eine Turbine zugreifen, um diese zu kontrollieren und sogar zu reparieren.


2000 betroffene Unternehmen
Um Zugriff auf die entsprechenden Anlagen zu bekommen, könnte es einem Hacker schon genügen, das Passwort des Ingenieurs zu knacken.

Davor wollen sich die Bamberger mit einem individuellen Zugangscode schützen, den die Arbeiter auf ihr Handy bekommen. Im Dezember 2014 hat die Bundesregierung den Entwurf für ein IT-Sicherheitsgesetz verabschiedet. Aufgrund ihrer "besonderen Verantwortung für das Gemeinwohl" will es Betreiber Kritischer Infrastrukturen verpflichten, "ein Mindestniveau an IT-Sicherheit einzuhalten und dem BSI Sicherheitsvorfälle zu melden".
Nach Schätzungen des Innenministeriums werden etwa 2000 Unternehmen davon betroffen sein, darunter Wasserwerke, Energieunternehmen und Banken. Die Bamberger Stadtwerke zählen dazu.

Unabhängig davon begegnen die Stadtwerke der digitalen Gefahr schon heute mit einem Bündel von Maßnahmen, das sich auf den ersten Blick sogar vergleichsweise banal ausnehmen kann: So haben sie gleich mehrere Anti-Virenprogramme im Einsatz, nachdem Viren derzeit laut Hofmann in Sachen IT-Sicherheit das "akuteste Problem " darstellen.

Zudem müssen sämtliche Mitarbeiter abends ihre Computer herunterfahren und die Bürotüren abschließen. Damit wollen die Stadtwerke sicherstellen, dass Kriminelle nicht mit einem USB-Stick Trojaner oder Schadsoftware auf einem Firmenrechner installieren. "Das größte Sicherheitsrisiko ist und bleibt der Mensch", sagt Hofmann.


Smart Meter: ein Einfallstor für Hacker?
Im Jahr 2012 ist ein Buch in die Geschäfte gekommen, das selbst nervenstarken Energieexperten das Blut in den Adern gefrieren ließ. In "Blackout" dekliniert Marc Elsberg mit viel Sinn für Spannung durch, wie ein flächendeckender Stromausfall Europa verändern würde.

Elsberg kommt zum Schluss, dass moderne und hochkomplexe Gesellschaften binnen kürzester Zeit in Anarchie und Chaos versinken würden. Auch Joachim Hofmann von den Bamberger Stadtwerken hat Elsbergs Thriller aufmerksam gelesen.

Hofmanns literarisches Interesse könnte auch damit zusammenhängen, dass Elsbergs Szenario näher an der Realität ist, als dies in vergleichbaren Romanen meist der Fall ist. Die Katastrophe in "Blackout" beginnt, als Terroristen Smart Meter manipulieren und damit Zugriff auf die öffentliche Stromversorgung bekommen. Bei einem Smart Meter handelt es sich um einen intelligenten Zähler. Er sammelt Daten darüber, wie viel Energie einzelne Haushalte oder auch Unternehmen verbrauchen.

In einem intelligenten Messsystem bildet das Smart Meter Gateway die zentrale Einheit, die Messdaten von Zählern empfängt, speichert und aufbereitet. Vernetzte Smart Meter geben ihre Daten an die jeweiligen Energieversorger weiter. Sie tun dies beispielsweise über WLAN- oder dem Handynetz GSM. Vor allem mit dem Internet verbundene Stromzähler könnten Hackern Türen öffnen. "Smart Meter sind prinzipiell Einfallstore für Hacker", sagt Michael George, Leiter des Cyber-Allianz-Zentrums (CAZ) im Bayerischen Landesamt für Verfassungsschutz.

Dringe jemand über das Internet in die Steuerzentrale ein, könne er im schlimmsten Fall das Versorgungsnetz lahmlegen. Zu einem ähnlichen Ergebnis kommen Holger Schneidewindt und Udo Sieverding in einer Studie der Friedrich-Ebert-Stiftung: "Jeder in Haushalten eingebaute und mit dem intelligenten Netz verbundene Smart Meter ist ein potenzieller Angriffspunkt auch für die gesamten IT- Systeme. Angriffe auf Energieversorgungsunternehmen, Netz- und Kraftwerksbetreiber sind heutzutage eine reale und präsente Bedrohung."

Im vergangenen Jahr ist es den spanischen Sicherheitsforschern Alberto Garcia Illera und Javier Vazquez Vidal gelungen, von außen auf einen fremden Smart Meter zuzugreifen. Bis zum heutigen Tag sind in Franken allerdings nur vereinzelte Smart Meter im Einsatz. "Für die Kunden ist das noch nicht attraktiv und vor allem zu teuer", sagt Jan Giersberg. Er ist Pressesprecher der Bamberger Stadtwerke.

Verpflichtend ist die Installation eines Smart Meters in privaten Haushalten derzeit allerdings nur bei einem weit über dem Durchschnitt liegenden Jahresverbrauch. Die entscheidende Schwelle liegt derzeit bei einem jährlichen Verbrauch von 6000 Kilowattstunden. Zum Vergleich: Ein durchschnittlicher Vier-Personen-Haushalt verbraucht rund 4000 Kilowattstunden im Jahr.


Interview: "Hacker gehen intuitiv vor"
Felix Freiling leitet den Lehrstuhl für IT-Sicherheit an der Friedrich-Alexander-Universität Erlangen-Nürnberg. Er hat dort eine Reihe neuer Projekte eingeführt, zum Beispiel Hacker-Seminare. Freiling berät darüber hinaus Verfassungsrichter und Ermittlungsbehörde.

Was versteht man unter einem Hacker?
Felix Freiling: Ein Hacker ist ein Mensch, der sich auf virtuose Art und Weise mit Computertechnik auseinandersetzt. Heute ist der Begriff eher negativ besetzt. In der Fachsprache unterscheidet man häufig Whitehats und Blackhats. Whitehats sind die "guten" Hacker. Sie haben ein wissenschaftliches Interesse daran, die Computer bis an ihre Grenzen zu testen. Stoßen sie auf Sicherheitslücken, melden sie diese in der Regel den Herstellern.

Und die Blackhats?
Sie verbinden mit dem Hacken ein finanzielles, oft auch kriminelles Interesse. Sie nutzen Sicherheitslücken, um Geld damit zu verdienen. Durch Datendiebstahl zum Beispiel oder durch Erpressung.

Wie geht ein Hacker vor?
Hacken ist ein von Erfahrung, Instinkt und Intuition geleiteter Prozess. Man schaut sich die Systeme genau an, sucht nach schon bekannten Schwachstellen oder nach anfälligen Komponenten. Typische Schwachstellen sind zum Beispiel schlecht geprüfte Eingabefelder. Hacker können diese Fehler nutzen und eigene Befehle in ein System einschleusen.

Welcher Methoden bedienen sich Cyber-Kriminelle?
Wenn ein Hacker ein Unternehmen angreifen möchte, wird er versuchen, in die jeweiligen Netzwerke einzudringen. Wenn er erst einmal in den entsprechenden Netzwerken ist, stehen ihm dort im Grunde alle Möglichkeiten offen.

Sind sich die Betreiber Kritischer Infrastruktur dieser Gefahren bewusst?
Wir von der Universität Erlangen sind in Gesprächen mit gefährdeten Unternehmern. Allerdings orientiert sich die Sicherheitskultur häufig noch am klassischen Begriff der technischen Sicherheit. Typische Szenarien sind in diesem Zusammenhang Naturkatastrophen wie ein Hochwasser oder der Ausfall von Komponenten durch Überlastung.

Spielt die IT-Sicherheit demnach eine untergeordnete Rolle?
Nicht notwendigerweise, aber Anlagebetreiber stecken heute oft in einem Dilemma. Produktionsanlagen oder Kraftwerke werden auf eine Lebensdauer von bis zu 30 Jahren ausgelegt. Entsprechend alt ist häufig auch die Hard- und Software, die dort eingesetzt wird. Das ist Software, für die haufenweise Sicherheitslücken bekannt sind, und man darf sie nicht patchen.

Was heißt Patchen?
Ein Patch ist ein Softwareupdate, quasi ein Heftpflaster für die Software, mit der Sicherheitslücken geschlossen und Fehler behoben werden können. Das Problem ist das Folgende: Wenn ein Versorgungsunternehmen eine neue Software-Version aufspielt, verliert es zunächst einmal seine Sicherheitszulassung. Den Aufwand, eine neue Zulassung zu beantragen, muss man immer ins Verhältnis zum Sicherheitsgewinn setzen, ein schwieriges Dilemma.

Welche Schutzmaßnahmen empfehlen Sie?
Betreiber Kritischer Infrastrukturen sollten ihre Anlagen von öffentlichen Netzen wie dem Internet trennen. Am Ende gibt es aber keinen hundertprozentigen Schutz gegen digitale Angriffe. Dann kommt es auf qualifizierte Mitarbeiter an, die einen Angriff erkennen und professionell managen können. Der beste Schutz sind fähige Leute.


Kritische Infrastrukturen in Deutschland
Definition: Kritische Infrastrukturen sind laut dem Bundesinnenministerium "Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden".

Bereiche:
- Energie
- Informationstechnik und Telekommunikation
- Transport und Verkehr
- Gesundheit
- Wasserversorgung
- Ernährung
- Finanz- und Versicherungswesen
- Staat und Verwaltung
- Medien und Kultur