Ein paar Tage erst ist es her, dass Hacker das Hamburger Unternehmen Oiltanking, einen der größten Tanklogistikdienstleister weltweit, ins Visier nahmen. Sie legten alle Be- und Entladesysteme der Firma lahm und verhinderten so die Treibstofflieferung an zahlreiche Kunden.
Noch ist offen, ob Oiltanking alleiniges Opfer gewöhnlicher Cyberkrimineller wurde. Oder ob die Attacke ein Test war, mit dem staatlich unterstützte Hacker aus dem Ausland die Verletzlichkeit wichtiger Versorgungsnetze in Deutschland ausloten wollten. Offizielle Aussagen deutscher Sicherheitsbehörden gibt es dazu bisher nicht. Im Hintergrund aber heißt es, angesichts der aktuellen Engpässe bei der Gasversorgung könne es mancherorts durchaus Interesse geben, Elemente der Energieversorgung hierzulande einem Stresstest zu unterziehen.
Wie sehr sich die geopolitischen Spannungen auch auf die Sicherheitslage im Netz übertragen, zeigt der schwere Cyberangriff auf IT-Systeme der ukrainischen Regierung vor gerade einmal zwei Wochen. Bei der Analyse stellten Fachleute fest, dass sich hinter der vermeintlichen Attacke mit Erpressungssoftware tatsächlich ein Angriff mit einer sogenannten „Destructive Malware“ verbarg. Das ist Schadsoftware, die Rechnersysteme nicht bloß verschlüsseln, sondern dauerhaft unbrauchbar machen soll.
Zerstören statt verschlüsseln
Sicherheitsexperten wie Dominik Bredel sind deshalb alarmiert. „Solche Programme stammen nicht mehr aus dem Werkzeugkasten klassischer Cyberkrimineller“, sagt der Chef der deutschen Beratungssparte für Cybersicherheit beim Technologiekonzern Kyndryl. Denn wer Rechner zerstöre, könne kein Geld mehr erpressen mit der Aussicht auf Entschlüsselung. Damit gewinnt die Bedrohungslage im Netz eine ganz neue Qualität. „Gezielte Attacken auf staatliche Stellen oder Unternehmen der kritischen Infrastruktur auch in Deutschland sind nicht mehr nur eine theoretische Option, sondern auch eine ganz praktische Bedrohung“.
Westliche Sicherheitsbehörden warnen denn auch, gerade Unternehmen aus den Sparten Finanzen, Energieversorgung und Telekommunikation würden zunehmend Ziel von Cyberangriffen durch Hackergruppen mit Bezug zu staatlichen Stellen. Teils bestünden finanzielle Verbindungen, teils gebe es einen technologischen Austausch. Mitunter lieferten Hacker auch nur Informationen aus primär kriminellen Cyberattacken an Geheimdienste, im Tausch dafür, dass die jeweiligen nationalen Sicherheitsbehörden bei ausländischen Ermittlungshilfeersuchen nicht übereifrig zu Werke gehen. „Wenn ich als fremder Staat Druck machen und womöglich eine militärische Aktion erleichtern will, dann sind Energie- und Kommunikationsnetze genau die Infrastrukturen des Gegners, die ich als erstes ausschalten sollte“, sagt Bredel.
Sind also Vorfälle wie derzeit auf Olitanking oder die Cyberattacken auf Städte wie Schwerin oder Witten beziehungsweise den Landkreis Anhalt-Bitterfeld im vergangenen Jahr nur Vorboten größerer Gefahren? Bredel ist zurückhaltend: „Ich kann mir keinen Akteur vorstellen, der aktuell ernsthaft eine Cyberattacke anstreben wollte, mit dem Ziel Deutschland digital lahmzulegen.“ Doch das, ergänzt er, beantworte nur die Frage nach der Wahrscheinlichkeit, nicht die nach der Möglichkeit. „Wenn jemand Deutschland wirklich digital handlungsunfähig zu machen wollte, dann wäre das heute wohl machbar“, so der Experte.
Gefährliche digitale Rosskur für deutsche Behörden
Besondere Sorge bereitet dem Experten dabei die zunehmende digitale Vernetzung von Unternehmen und Behörden. Die erlaube es Angreifern, Attacken zunächst gegen das am schlechtesten geschützte Mitglied im Netzwerk zu richten und erst im zweiten Schritt – sozusagen von innen heraus – dann auch andere, besser abgesicherte, Firmen oder Institutionen anzugreifen. „Diese im Wirtschaftsumfeld ‚Supply-Chain-Angriffe‘ genannten Attacken sind schon für Unternehmen gefährlich und das Risiko ist im Behördenumfeld fast noch größer“, warnt Bredel. Denn dort mangele es noch mehr an qualifiziertem Personal für IT und Cybersicherheit als in der Wirtschaft. „Weltweit werden rund 3,5 Millionen Fachleute für IT-Sicherheit gesucht, und schon die besser bezahlten Unternehmensjobs können nicht alle besetzt werden“, sagt er.
Und wenn etwa der massenhafte Umzug der Beschäftigten ins Homeoffice schon in der Privatwirtschaft riesige Lücken in die IT-Sicherheit der Unternehmen gerissen hat, wie groß sind dann Angriffsmöglichkeiten für Hacker gegen die noch schlechter gesicherten Rechnersysteme der Behörden?
„Gemessen daran“, sagt Experte Bredel, „ist bisher noch unerwartet wenig passiert.“ Besonders überrascht ihn, dass im Zusammenhang mit der Anfang Dezember 2021 entdeckten Schwachstelle Log4Shell in der Softwareplattform Java noch keine größeren Hackerattacken bekannt geworden seien. Obwohl das Programmmodul in Abermillionen von Anwendungen und IT-Systemen weltweit stecke, gebe es bisher noch kaum erkennbare Aktivitäten von Cyberkriminellen.
Grund zur Entwarnung, egal ob für Unternehmen oder Behörden sei das keineswegs. „Wir müssen davon ausgehen, dass kriminelle oder staatliche Hacker längst auch in Deutschland unbemerkt in die Systeme eingedrungen sind und nun einfach auf den passenden Augenblick warten, Schadprogramme oder Hintertüren zu aktivieren“, so Bredel.
Angriffe auf kritische Infrastrukturen wie die des Treibstofflogistikers Oiltanking dürften damit nur ein Vorgeschmack auf weitere Attacken sein, warnt der Experte: „Die Bedrohungslage verschärft sich eher noch.“
Mehr zum Thema: Deutsche Firmen sind immer häufiger von Hackerangriffen betroffen. Vor allem ein neuer Trend macht dem Bundesverfassungsschutz dabei ganz besonders Sorgen.
