Cyberattacken auf kritische Infrastruktur wie Stromnetze nehmen zu. Die Oldenburger Experten Andreas Peter und Sebastian Lehnhoff erzählen, wie man Eindringlinge aufspüren kann – und warum vollständige Sicherheit nicht erreichbar ist
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat kürzlich in einem Bericht geschrieben, dass die Bedrohung im Cyberraum so hoch sei wie nie, insbesondere im Bereich der kritischen Infrastruktur. Um welche Arten von Angriffen geht es da?
Peter: Dabei handelt es sich meist um sogenannte Ransomware-Angriffe (eine Wortneuschöpfung aus den englischen Begriffen „ransom“ für Lösegeld und Software, Anm. d. Red.), bei denen Kriminelle gezielt versuchen, Daten von Unternehmen zu verschlüsseln oder zu stehlen. Anschließend erpressen sie die betroffenen Unternehmen: Wenn diese eine Gebühr bezahlen, erhalten sie wieder Zugang zu ihren Daten. Zahlen sie nicht, veröffentlichen die Kriminellen sensible Daten, beispielsweise von Kunden.
Wer steckt hinter solchen Angriffen?
Peter: Üblicherweise sind die Angreifer finanziell motiviert. Man kann mit Cyberangriffen wirklich viel Geld erbeuten, es geht da teilweise um Milliarden von Euro. Das ist zum großen Teil organisierte Kriminalität. Teile der kritischen Infrastruktur eines Landes lahmzulegen ist aber nicht deren eigentliches Ziel. Geschieht dies doch, dann entschuldigen sich die Angreifer sogar manchmal, wie jüngst auch die Angreifer-Gruppe Lockbit, dessen Ransomware ein kanadisches Kinderkrankenhaus traf.
Kommen solche Attacken auch im Energiebereich vor?
Lehnhoff: Ja, tatsächlich gibt es solche Angriffe am laufenden Band. Ein Opfer war vor kurzem die Firma Kisters, ein weltweit aufgestelltes Unternehmen mit einem Standort in Oldenburg und ein wichtiger Hersteller von Energienetzleitsystemen. Kisters wurde 2021 gehackt und hat daran immer noch zu knapsen – das wissen wir, weil Kisters diesen Vorfall vorbildlich kommuniziert, damit andere davon lernen können. Auch einige Stadtwerke und Netzbetreiber in Deutschland mussten in den letzten Monaten wegen Ransomware-Angriffen Teile ihres Betriebs einstellen oder in den Notbetrieb gehen. Das ist mittlerweile an der Tagesordnung.
Umso erstaunlicher ist es vielleicht, dass man als Laie von derartigen Vorfällen gar nicht so viel mitbekommt. Es hat den Anschein, dass anschließend alles relativ schnell wieder seinen Gang geht.
Lehnhoff: Einerseits gehen leider längst nicht alle Unternehmen so transparent mit derartigen Vorfällen um wie Kisters. Andererseits kann man aber auch festhalten, dass wir wirklich sehr robuste und resiliente elektrische Energiesysteme haben. Doch in der Tat ereignen sich inzwischen mehr regionale Stromausfälle als noch vor einigen Jahren. In der Regel lassen sich die Systeme aber sehr schnell wieder hochfahren.
Unter anderem dank des Ausbaus der Solarenergie hat die Zahl der Stromerzeuger in den vergangenen Jahren stark zugenommen. Ist dadurch die Gefahr von Angriffen auf das Energiesystem angestiegen?
Lehnhoff: Natürlich. Jeder moderne Wechselrichter einer Photovoltaik-Anlage hat einen Netzwerkanschluss. Und lange Zeit hat niemand kontrolliert, ob bei diesen oder ähnlichen Systemen regelmäßig Sicherheitsupdates stattfinden. Mittlerweile sind die Hersteller dazu verpflichtet, aber die alten Systeme sind immer noch im Einsatz. Es gibt also viele Endgeräte, die mit dem Internet verbunden sind und anfällig für Angriffe sind. Und gleichzeitig gehören sie zur kritischen Infrastruktur der Energieversorgung. Wenn Angreifer beispielsweise Zugriff auf eine große Zahl von Elektrofahrzeugen erlangen und alle synchron aufladen würden, könnten sie das Stromnetz in die Knie zwingen.
Gibt es solche gezielten Angriffe auf kritische Infrastrukturen?
Lehnhoff: Dass so etwas grundsätzlich möglich ist, hat Russland 2016 in der Ukraine demonstriert und über aufwendig vorbereitete Trojaner-Angriffe Teile des elektrischen Energieversorgungsystems von außen abgeschaltet. Die technischen Voraussetzungen für derartige Angriffe sind also da. Aber andererseits ist auch klar: Wenn jemand mit der Absicht antritt, unser Stromsystem auszuschalten, uns die kritische Infrastruktur auszuknipsen – das ist ein Angriff auf unsere Gesellschaft, auf uns als Nato-Partner. Das ist eine große Hemmschwelle.
Das BSI hat 2021 das IT-Sicherheitsgesetz erneuert und strengere Vorgaben für kritische Infrastrukturen gemacht. Ist das hilfreich?
Peter: In dem Gesetz stecken wirklich gute Maßnahmen und diese müssen nun konsequent umgesetzt werden. Eine große Herausforderung wird es jedoch sein zu erkennen, ob Systeme nicht bereits in der Vergangenheit kompromittiert wurden und die Angreifer gut versteckte Hintertüren für zukünftige Angriffe eingebaut haben. Auch wenn jetzt Sicherheitslösungen zur Angriffsprävention angewendet werden, bringt das in solchen Fällen möglicherweise nur bedingt etwas. Gerade bei staatlich gesponserten Cyberangriffen mit erheblichen Ressourcen ist es durchaus vorstellbar, dass die Hintertüren so erstellt wurden, dass sie sehr schwierig aufzuspüren sind.
Wie lassen sich kritische Infrastrukturen absichern?
Lehnhoff: Das ist grundsätzlich schwierig, weil sie zentrale Aufgaben zu erfüllen haben und räumlich sehr weit ausgedehnt sind. Das Energiesystem etwa hat eine kontinentale Ausdehnung, ist voll vernetzt und durchdigitalisiert. Klassische Sicherheitskonzepte zielen im Wesentlichen darauf ab, das eigene IT-Netz zu segmentieren und dafür zu sorgen, dass man einen sicheren Bereich hat, auf den nur ein sehr begrenzter Personenkreis zugreifen kann. Das kann man bei großen internationalen Systemen wie dem Stromnetz quasi vergessen.
Was kann man stattdessen tun?
Lehnhoff: Man braucht Strategien, Mechanismen, die in einem System sichernd arbeiten, das eigentlich nicht vollständig zu sichern ist. Das ist etwas, womit wir uns auch hier an der Universität aktuell beschäftigen.
Peter: Es ist eine sehr gute Strategie zu sagen: Okay, der Angreifer ist schon da. Wie kann ich das Energienetz trotzdem resilient machen? Falls dann tatsächlich der Ernstfall eintritt, kann ich zumindest schnell Gegenmaßnahmen ergreifen.
Wie lässt sich eine mögliche Cyberattacke denn erkennen?
Lehnhoff: Die Systeme der meisten Unternehmen verwenden Standardsoftware, die noch zu einer Zeit installiert wurde, als die IT-Sicherheitsanforderungen viel niedriger waren. Und vermutlich nutzen die Cyberkriminellen genau diese Schwachstellen aus, um im System zu bleiben. Aber IT-Systeme entwickeln sich kontinuierlich weiter, es werden etwa Sicherheitsupdates installiert. Ein Angreifer, der sich ein Einfallstor von außen offenhalten möchte, muss ständig im System Änderungen vornehmen. Das bietet Möglichkeiten, ihn zu identifizieren.
Wie funktioniert das?
Lehnhoff: Man kann nach Indizien dafür suchen, dass im System etwas quer läuft – ob also Anomalien auftauchen. Wichtig sind dabei auch sogenannte Plausibilitätschecks, um beispielsweise falsche Messwerte zu identifizieren, die Teil sogenannter Stealth Attacks sein könnten. Das sind Versuche, mit plausiblen Szenarien oder plausibel vorgegaukelten Messwerten Fehlentscheidungen auszulösen.
Wie gehen Sie vor?
Lehnhoff: Wir erfassen sehr viele Sekundärinformationen, etwa die Rechnerauslastung der kleinen eingebetteten Systeme oder die Kommunikation zwischen verschiedenen Einheiten. Wir schauen uns Korrelationen an, ob also zum Beispiel bei allen Nutzern gleichzeitig der Verbrauch ansteigt. Das Faszinierende am Energiesystem ist, dass eigentlich alles miteinander korreliert ist. Wir haben ein sehr komplexes Modell entwickelt, um anhand all dieser Daten gefährliche Anomalien zu erkennen.
Was passiert, wenn eine Anomalie identifiziert wird?
Lehnhoff: Möglicherweise stelle ich fest, dass ich mich auf bestimmte Werte nicht mehr verlassen kann und bilde Ersatzwerte. Oder ich tausche Hardware und Software aus.
Das heißt, man braucht eine Software wie zum Beispiel eine Künstliche Intelligenz, die ständig alles kontrolliert?
Lehnhoff: Genau, da ist viel KI-basiert. Diese Programme sollen aber nicht nur Schwachstellen und Anomalien aufspüren, sondern auch herausfinden: Ist die Anomalie so ungewöhnlich, dass ich darauf reagieren muss? Denn man findet natürlich grundsätzlich ständig Anomalien, von denen aber die meisten nicht relevant sind. Das lässt sich teilweise in den Griff bekommen, indem man die KI entsprechend trainiert.
Peter: Dennoch benötigt ein Unternehmen, das so ein System verwendet, Menschen, die sich die Alarme anschauen. Das ist ein Riesenproblem: Gerade kleine und mittelständische Unternehmen haben oft nicht die entsprechende Expertise, um mit der Vielzahl von Alarmen umzugehen, geschweige denn genug Leute vor Ort. Leider werden nicht genug Expertinnen und Experten für Cybersicherheit ausgebildet. In Deutschland fehlen laut verschiedener Studien circa 100.000 Fachkräfte in diesem Bereich, weltweit reden wir von über 4 Millionen.
Gibt es Bemühungen, diese Lücke zu schließen?
Peter: Wir bauen momentan ein neues Lehrangebot an der Universität zu Themen der IT-Sicherheit auf. Wir wollen Informatikerinnen und Informatiker ausbilden, die das richtige Cybersicherheitswissen mitbringen, um zumindest hier regional einen Unterschied zu machen. Gleichzeitig ist es unser Ziel, die IT-Sicherheit zu automatisieren. Sebastian Lehnhoff und ich entwickeln mit unseren Arbeitsgruppen KI-basierte Software, die falsch positive Alarme von tatsächlichen Angriffen unterscheiden soll. Das Department für Informatik konnte außerdem eine BMBF-Nachwuchsgruppe unter Leitung von Dr. Eric Veith in diesem Bereich einwerben. Der nächste Schritt besteht darin, dass ein solches System Maßnahmen aufzeigt, die automatisiert gegen eine Attacke gefahren werden können, damit ein Angriff gar nicht erst eine kritische Größe erreicht oder vielleicht sogar komplett abgewehrt werden kann. Dafür verwenden wir sogenannte künstliche neuronale Netzwerke, die bereits relativ gut funktionieren.
Insgesamt klingt alles dennoch eher beunruhigend…
Lehnhoff: Ich sage mal, Andreas Peter und ich, wir wissen zwar um die Fakten, aber wir schlafen trotzdem ruhig. Cyberangriffe sind ein reales Problem, und man muss Gesellschaft und Politik dafür sensibilisieren. Aber gleichzeitig gibt es viele positive Entwicklungen. Und auch wir sehen bei unserer täglichen Arbeit, dass wir etwas dazu beitragen können, dass die Welt ein möglichst sicherer Ort bleibt.
Interview: Ute Kehse