Aachen: Angriffe auf Stromnetze: IT-Experten müssen Hackern einen Schritt voraus sein

Aachen: Angriffe auf Stromnetze: IT-Experten müssen Hackern einen Schritt voraus sein

Gerade erst hat ein Stromausfall den Hamburger Flughafen für mehr als einen Tag lang lahmgelegt. Die Ursache war zwar ein Kurzschluss und kein Hackerangriff, doch der Fall zeigt, wie abhängig unsere Gesellschaft von einer funktionierenden Stromversorgung ist.

Im November des vergangenen Jahres haben Studenten der Fachhochschule Aachen mit einem eindrucksvollen Hackerangriff auf ein Unternehmen gezeigt, wie verletzlich die moderne Technik ist. Sie hatten mit einer per E-Mail eingeschleusten Schadsoftware Zugriff auf die gesamte Haustechnik des Unternehmens — und konnten so das Licht nach Belieben ein- und ausschalten oder Sicherheitssysteme außer Kraft setzen.

Angeleitet wurden sie dabei von Marko Schuba. Der Professor mit den Schwerpunkten Datennetze, IT-Sicherheit und IT-Forensik am Fachbereich Elektrotechnik und Informationstechnik warnt im Gespräch mit Katharina Menne vor unentdeckten Sicherheitslücken in IT-Netzen und plädiert für ein wirkungsvolles IT-Sicherheitsgesetz.

Professor Schuba, Sie bringen Ihren Studenten alles über IT-Sicherheit bei — besteht da nicht die Gefahr, dass Sie letztlich die Hacker ausbilden, deren Erfolg Sie verhindern wollen?

Prof. Marko Schuba: Die Chance, dass es schwarze Schafe unter meinen Studenten gibt, besteht natürlich immer. Aber es ist ähnlich wahrscheinlich, dass ein Informatiker zum Hacker wird, wie ein Arzt zum Giftspritzer. Nur, weil er gelernt hat, wie ein Gift wirkt, wird er es ja nicht gegen einen Patienten verwenden. So auch bei uns: Um einen Hackerangriff verhindern zu können, müssen IT-Experten wissen, wie man ihn ausführt, dem Hacker somit einen Schritt voraus sein. Aber das macht sie umgekehrt nicht zwangsläufig zu den Angreifern.

Wie genau muss man sich denn einen Hackerangriff auf einen Stromnetzbetreiber vorstellen?

Schuba: Die Wege in das IT-Netz eines Unternehmens sind vielfältig. Meist sind zunächst die ganz normalen Bürorechner betroffen. Die Mitarbeiter können sich über Webseiten infizieren, über die allseits bekannten Phishing-Mails, aber auch — was viele nicht wissen — über pdf-Dokumente. Man kann zum Zufallsopfer werden, wie jede Privatperson auch, oder aber gezielt ausgewählt werden. In dem Fall versuchen die Angreifer vorab möglichst viel durch die Sozialen Netzwerke über die Zielperson herauszufinden — von den persönlichen Eckdaten über Vorlieben hin zu Kollegen und Bekannten.

Als wir vergangenes Jahr den Angriff auf eine Aachener Firma zu Sensibilisierungszwecken simuliert haben, haben wir einem Mitarbeiter eine Einladung zu einer Alumni-Feier seiner ehemaligen Hochschule geschickt. Der hat keine Sekunde gezögert und darauf geklickt. Im Hintergrund hat sich dann die Schadsoftware installiert — und wir waren drin.

Und wie geht es dann weiter? Dann ist der Hacker ja noch nicht im Stromnetz …

Schuba: Nein, dazu sind weitere Schritte notwendig. Zumindest befindet sich der Angreifer nach dem ersten Schritt schon hinter der Haupt-Firewall. Von dem infizierten Rechner aus kann er sich dann in aller Ruhe umschauen. Für eine Wirtschaftsspionage reicht das manchmal schon aus. Will man eine Industrieanlage angreifen, hangelt man sich von Rechner zu Rechner bis zu den Steuerungssystemen weiter. Da kommt es dann im Fall von Energieversorgern und Energienetzbetreibern darauf an, wie gut die Trennung zwischen Büro-IT und Steuerungs-IT ist.

Durch die verstärkte Digitalisierung und Vernetzung von Unternehmen, die vielbeschworene „Industrie 4.0“, werden Netzwerke aber doch immer größer …

Schuba: Ja, genau. Das ist auch eine Herausforderung für die IT-Sicherheit, der wir uns stellen und für die wir effiziente Verteidigungsstrategien entwickeln müssen. In vielen Unternehmen ergeben sich durch Industrie 4.0 neue Sicherheitslücken. Das sind dann die willkommenen Angriffspunkte für Hacker.

Angenommen, ein Hacker war erfolgreich. Wo kommen dann die ITler ins Spiel?

Schuba: Wenn es bereits passiert ist, kommen sie eigentlich zu spät (lacht). Die sollen es ja verhindern. Meine Studenten lernen, wie sie Angriffen vorbeugen. Wenn ein Angreifer trotz der Maßnahmen Erfolg hat, ist es wichtig, dies zeitnah zu erkennen, die Ausweitung zu unterbinden und die Sicherheitslücken zu schließen. Leider dauert es im Schnitt ein halbes Jahr — also oftmals auch länger — bis ein Unternehmen überhaupt erkennt, dass es angegriffen worden ist. In der Zwischenzeit kann viel passieren.

Gibt es in Bezug auf die IT-Sicherheit von Unternehmen etwas, das die Politik tun kann und vielleicht auch sollte, oder sind Gesetze in dem Bereich machtlos?

Schuba: Das seit Juli 2015 gültige IT-Sicherheitsgesetz ist sicherlich ein Schritt in die richtige Richtung, um flächendeckenden Netzausfällen vorzubeugen. Aber reicht das aus? Erst die Zeit wird zeigen, ob dem so ist oder ob Nachbesserungen nötig sind. Und manchmal muss man auch erst auf die Nase fallen, bevor an den richtigen Stellschrauben gedreht wird.

Mehr von Aachener Zeitung