Von Artur Lebedew
Unternehmen im Land verzeichnen immer mehr Hackerangriffe. Doch ein größeres Risiko könnte anderswo schlummern: Kommunale Anbieter von Strom, Wasser und anderen Diensten sind gegen Angriffe im Netz nicht ausreichend geschützt.
Stuttgart – Es ist keine vier Jahre her, da knipsten Hacker in der Ukraine für Tage das Licht aus. Und erst im vergangenen Jahr wurde bekannt, dass sich Computerkriminelle Zugang zur EnBW-Tochter netCom verschafft haben. Vor allem dieser Vorfall wirft die Frage auf: Wie gut sind Stromerzeuger, Wasserwerke und Co. in Baden-Württemberg vor Hackerangriffen geschützt? Nach Gesprächen mit Wissenschaftlern, Betreibern und Sicherheitsbeamten wird deutlich: Es sind vor allem kommunale Versorger wie Stadtwerke, kleinere Strom- und Wasserlieferanten oder Krankenhäuser, die gegen Hackerattacken nicht ausreichend gerüstet sind.
Die Recherchen unserer Zeitung zeigen: In vielen dieser Unternehmen fehlt es an Personal, das sich mit IT-Sicherheit auskennt. Nicht selten unterscheiden sich die Kenntnisse der Techniker in den Betrieben kaum vom Wissen gewöhnlicher Privatleute. Es fehlen Strukturen und Technologien, um Angriffe festzustellen, diese zu melden und zu dokumentieren. Vor allem aber mangelt es an Problembewusstsein. Denn obwohl die Digitalisierung auch bei den Versorgern immer weiter voranschreitet und Anlagen miteinander vernetzt werden, bleiben die Investitionen in die IT-Sicherheit nicht selten ein Randbereich.
„Die Zahl der Cyberangriffe und ihre Komplexität steigen von Jahr zu Jahr“, sagt Stefan Reinhard vom Landeskriminalamt Baden-Württemberg. Zwar sei die technische Ausstattung in den meisten kommunalen Unternehmen ausreichend. Die Sensibilisierung der Mitarbeiter „lässt jedoch oftmals zu wünschen übrig“.
„Bestellt euch einen Hacker“
Eberhard Oehler ist einer der wenigen, der als Beteiligter offen über die Verwundbarkeit der Versorger spricht. Der Geschäftsführer der Stadtwerke in Ettlingen hat selbst erfahren, was es bedeutet, wenn die Steuerung der eigenen Anlage plötzlich in den Hände von Hackern liegt.
2014 ließ sich Oehler auf ein Experiment ein: Hacker griffen probeweise seine Stadtwerke an. Nur 26 Minuten vergingen, da war der Computerexperte mit einem ersten Schritt im System. Über das Netzwerk eines Bürodruckers gelangte er auf die Steuerungselemente der Strom- und Wasserbetriebe. Wenige Klicks hätten genügt, um die Stadt mit ihren 38 000 Einwohnern ins Chaos zu stürzen. „Das Wissen um die Verwundbarkeit fühlte sich an wie Ohnmacht“, sagt der 64-Jährige heute.
Für Oehler wurde das Hacker-Experiment zum Weckruf. In den Monaten danach ließ er das Sicherheitskonzept der Stadtwerke radikal überarbeiten. Personal wurde geschult, zusätzliche IT-Experten eingestellt. Server wurden sicherer gemacht und vieles mehr. Seitdem ist Oehler eine Art schlechtes Gewissen der Kommunalversorger. Immer wieder plädiert er auf Kongressen und Veranstaltungen dafür, dass sich nicht nur die großen Strom- und Gasversorger vor Hackern schützen, sondern auch die kleinen; die Firmen also, die auch im Südwesten den Großteil der Versorgung stemmen. Seinen Kollegen sagt Oehler: Bestellt euch einen Hacker und geht mit den Ergebnissen offensiv um. „Aber bei vielen ist der Schaden dann so fatal, dass sie die Öffentlichkeit fürchten“, sagt er.
Ingenieure denken nicht wie Computerexperten
Eine noch nicht veröffentlichte Studie über die IT-Sicherheit von kleinen und mittelständischen Unternehmen im Südwesten zeigt, wo auch die Probleme bei den Versorgern liegen: Etwa jeder sechste Betrieb in Baden-Württemberg gibt an, in der Vergangenheit von Hackern attackiert worden zu sein. Das Dunkelfeld ist dabei immens. Denn die meisten Hackerattacken werden nur entdeckt, weil Mitarbeiter zufällig darauf stoßen. Die wenigsten Firmen können überhaupt sagen, von wem, wann und wie sie angegriffen wurden. Eine Schadensdokumentation in den Unternehmen findet praktisch nicht statt. „Erst wenn Berater bezahlt werden oder Prozesse plötzlich nicht funktionieren, können die Geschäftsführer den Schaden beziffern“, erklärt André Wiegand von der Unternehmensberatung Goldmedia, die den Cyberbericht im Sommer dieses Jahres veröffentlichen……
Erschienen in der Stuttgarter Zeitung
Artur Lebedew 