Eine Stromtrasse in der Nähe von Zeil am Main | Bildquelle: dpa

Kritische Infrastruktur Hacken leicht gemacht

Stand: 07.07.2020 05:06 Uhr

Hacker haben in Ludwigshafen Kunden- und Mitarbeiterdaten eines Energieversorgers gestohlen und öffentlich gemacht. Eine Recherche von Report Mainz zeigt: 90 Prozent der kommunalen Anbieter tun zu wenig für die IT-Sicherheit.

Von Niklas Maurer und Antonia Leetz, SWR

Klaus Vogelgsang aus Ludwigshafen ärgert sich maßlos: "Das kann nicht wahr sein. So ein großes Unternehmen kriegt acht Wochen nicht mit, dass es gehackt wurde", sagt er im Interview mit Report Mainz. Er spricht von den Technischen Werken Ludwigshafen (TWL). Denn seine Daten, genau wie die von 150.000 anderen Kunden, wurden im April von Hackern gestohlen. Dazu zählten Namen, Adressen und Kontoverbindungen.

Das alles wurde ins Darknet hochgeladen - ein anonymer Teil des Internets, der auch von Kriminellen genutzt wird. Das Unternehmen sollte so erpresst werden. Um Druck aufzubauen, schrieben die Kriminellen sogar manchem Opfer. Dem Unternehmen zufolge forderten die Hacker einen zweistelligen Millionenbetrag. Nach eigener Aussage zahlte der Energieversorger nicht. Von Report Mainz auf den Datenklau angesprochen, sagte der Geschäftsführer, das Unternehmen sei "durchschnittlich" geschützt.

Täglich mehrere Angriffe

Daniel Hofmann
galerie

Daniel Hofmann geht davon aus, dass Energielieferanten regelmäßig angegriffen werden.

Doch ein durchschnittlicher Schutz reiche nicht aus, sagen IT-Sicherheitsexperten. Denn die sogenannte kritische Infrastruktur steht vermehrt im Fokus von Cyberkriminellen. Unter kritischer Infrastruktur (Kritis) werden Systeme verstanden, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen essenziell sind. Darunter fallen die Gerichtbarkeit, medizinische Versorgung oder auch die Energieversorgung und Wasserwerke.

Dass kritische Infrastruktur vermehrt angegriffen wird, ergab eine aktuelle Analyse der deutschen IT-Sicherheitsfirma Hornetsecurity. Hinter diesen Attacken steckten oft kriminelle Banden, sagt Geschäftsführer Daniel Hofmann im Interview mit Report Mainz: "Wie wir wissen, wird in den Unternehmen relativ schnell an Sicherheit gespart. Viele Firmen wachen erst wirklich auf, wenn es einmal richtig gekracht hat. Also ich würde sagen, dass jeder Energielieferant mehrere Angriffe täglich bekommt. Die Frage ist halt immer, welche sind nachher erfolgreich."

Hacken leicht gemacht

Die erfolgreiche Übernahme ganzer Computersysteme ist für Experten teilweise ein Kinderspiel. Das fanden IT-Spezialisten und Aktivisten von Internetwache.org heraus. Sie haben es sich zur Aufgabe gemacht, Sicherheitslücken bei Wasserwerken und Stromversorgern zu finden - nicht um sie auszunutzen, sondern um Gefahren zu melden.

Erst kürzlich hackten die Aktivisten ein Wasserwerk im Raum Heilbronn. Es sei sehr erschreckend, dass eine grundlegende Infrastruktur wie beispielsweise die Wasserversorgung so einfach anzugreifen sei. Über das Internet sei teilweise direkter Zugriff auf Pumpanlagen möglich. Im schlimmsten Falle ließe sich der Stecker für ganze Regionen ziehen, sagt der Gründer von Internetwache.org, Tim Schäfers, dem ARD-Politikmagazin.

Hohe IT-Sicherheitsstandards nur selten erfüllt

Für IT-Sicherheitsstandards gibt es klare Regeln dafür, ab wann Unternehmen wie Stromversorger als kritische Infrastruktur gelten und besondere IT-Schutzmechanismen vorweisen müssen. Diese sind dann ab einer bestimmten Größe dazu verpflichtet, ihre IT-Systeme mit hohen Sicherheitsstandards auszustatten, um besser vor Cyberangriffen geschützt zu sein.

Report-Mainz-Recherchen ergaben allerdings, dass mehr als 90 Prozent der kommunalen Stromversoger in den bundesweit 100 größten Städten diesen Schwellenwert nicht erreichen und demnach keine hohen Sicherheitsstandards erfüllen müssen.

Kritik an hohem Schwellenwert

Der Rechtswissenschaftler Dennis-Kenji Kipker von der Universität Bremen hat eine Erklärung dafür, warum die Schwellenwerte scheinbar zu hoch angesetzt sind: IT-Sicherheit koste viel Geld und das möchten die meisten Unternehmen an dieser Stelle sparen, sagt er Report Mainz: "Man kann durchaus sagen, dass manche Unternehmen sicherlich versucht haben dürften, unter dieser Schwelle zu liegen, dass eben diese IT-Sicherheitsmaßnahmen nach Gesetz nicht umzusetzen sind."

Dennis-Kenji Kipker
galerie

Kipker meint, dass viele Unternehmen bei der IT-Sicherheit sparen wollen.

Konstantin von Notz
galerie

Von Notz hält den Schwellenwert für Sicherheitsanforderungen für zu hoch angesetzt.

Der Datenschutzexperte von Bündnis90/Die Grünen, Konstantin von Notz, kritisiert deshalb den sehr hoch angesetzten Schwellenwert: "Wenn Sie sagen würden, der TÜV für das Auto, das auf der Straße fahren darf, gilt erst ab Leuten, die vier Autos besitzen, dann fällt eben ein Großteil der Leute raus. Die Autos haben dann eben nicht die Verkehrssicherheit, die sie brauchen", sagte er Report Mainz.

Über dieses Thema berichtet das ARD-Magazin Report Mainz am 07. Juli 2020 um 21:45 Uhr.

Darstellung: