In München diskutieren IT-Experten über die Bedrohung eines russischen Aggressors, der Terrormiliz "Islamischer Staat" - und einer wirtschaftlichen Infiltrierung durch die USA. Die gemalten Szenarien sind verheerende Angriffe auf die deutsche Infrastruktur und Wirtschaft. Wie realistisch ist das?

Der GAU steht kurz bevor. Zumindest kann dieser Eindruck bei Unterhaltungen mit verschiedenen Experten entstehen, die sich mit IT-Sicherheit in Deutschland beschäftigen. An mehreren Fronten kämpfen Computerspezialisten gegen Gefahren, denen die deutsche Industrie, Energieversorger und Infrastruktur ausgesetzt sind.

Diese Weltsicht beschreibt etwa Yvonne Hofstetter rhetorisch gewandt: Die Russen kreisen mit ihren Kampfjets bedrohlich über Europa, die Terrormiliz "Islamischer Staat" steht vor der Tür, die Amerikaner üben eine gefährliche technische Dominanz aus. Und dann auch noch die Hackerangriffe! Hofstetter erhält viel Applaus. Sie ist eine der Rednerinnen bei der "Security Conference" der Piratenpartei in München. "Sie wissen alles", so ist der Titel ihres Bestsellers über die Gefahren von Big Data. Hofstetters Firma ist selbst in der Analyse riesiger Datenmengen spezialisiert und bietet der Industrie ein Warnsystem an: Gibt es ausreichende Hinweise auf eine Bedrohung, werden Notfallmaßnahmen eingeleitet; etwa die Produktion gestoppt.

Kontrolle von überall

Dass solche Instrumente überhaupt nötig sind, liegt am Prozess hinter einem Fachbegriff: Netzkonvergenz. Inzwischen werden Daten fast alle per Internet übertragen. Das normale Surfen im Netz natürlich, Sensibles wie Passwörter aus der Cloud, IP-Telefonie - und auch Steuersignale. Für private Hausbesitzer ist das nützlich und auch ein bisschen Spielerei. Während sie im Büro sitzen, können sie etwa mit ihrem Smartphone ihre Familie ins Bockshorn jagen, weil sie per App das Licht am eigenen Esstisch an- und ausschalten. Die intelligenten vier Wände im Internet der Dinge ist die große Hoffnung vieler Unternehmen, von Eon und RWE etwa.

Im Privatbereich ist es nur ein Spaß, im Bereich kritischer Infrastruktur gefährlich. Viele andere, sensible Steuerungssysteme sind online, entweder direkt oder indirekt über den Umweg interner Firmennetzwerke. Hofstetters Ansatz des Warnsystems dürfte nicht überall funktionieren, sagt ein Programmierer aus der Branche. "Was passiert etwa, wenn ein chemischer Prozess manipuliert wird? Das kann eine ganze Fabrik in die Luft jagen, ohne das es zu stoppen wäre." Längst vorbei sind die Zeiten, als Industrie und kritische Infrastruktur weitgehend autark waren, abgeschottet von außen.

500.000 Kilometer weit verzweigtes Risiko

Ein weit verzweigtes Risiko in Europa ist auch das Gasnetz. Allein in Deutschland liegen insgesamt 500.000 Kilometer Gasleitungen. Um etwa in kalten Wintern Verbrauchsspitzen abzufedern, wird es zudem in unterirdischen Salzkavernen und porösem Gestein eingelagert. Derzeit verbrauchen die 28 EU-Staaten 463,1 Milliarden Kubikmeter pro Jahr. Die deutschen Vorkommen seien fast erschöpft, sagt Hans-Georg Fasold, der 30 Jahre als Planer für Ruhrgas tätig war. "In der kommenden Dekade" werde deshalb noch mehr Gas transportiert werden müssen, so Fasold.

Aber die Gasnetze in Deutschland sind längst nicht sicher, auch hier könnten Cyber-Attacken mindestens Komplikationen, maximal Explosionen verursachen, sagt Yvonne Hofstetter. Dabei ist etwa denkbar, dass Messwerte von Sensoren von außen manipuliert werden, um bestimmte Funktionen auszulösen. Genau diese Vorgehensweise wählten Angreifer im Jahr 2008 in der Türkei: Dort explodierte eine Öl-Pipeline, nachdem sich Computerkriminelle Zugang zu den Steuerungssystemen verschafft hatten.

Wie ein Hollywood-Drehbuch

Das alles klingt furchtbar - und auch irgendwie furchtbar unwahrscheinlich. Wer kann sich schon vorstellen, dass Gasleitungen, die lokalen sind häufig unter den Straßen und Hauptverkehrsadern verlegt, in die Luft fliegen? Es klingt wie ein Hollywood-Drehbuch. Allerdings haben so auch viele über die ausufernden Machenschaften der Geheimdienste gedacht. Und dann tauchte Ex-NSA-Mitarbeiter Edward Snowden in Hongkong auf.

Es gibt zudem weitere bekannte Fälle, die nicht lange zurückliegen: Das Bundesamt für Sicherheit in der Informationstechnik führt einige davon in seinem Jahresbericht auf. So gab es in Süddeutschland bereits im Jahr 2013 eine gezielte Attacke auf einen Gasnetzbetreiber. Ein schädlicher Steuerungsbefehl störte den Betrieb massiv, schickte den Code zudem in Endlosschleife an weitere Betreiber. In Süddeutschland und Österreich legte der Vorfall fast das Gasnetz lahm. Dieses Beispiel zeigt, wie verwundbar das Internet der Dinge die Industrie macht.

Knapp an Katastrophe vorbei

Ein weiteres Beispiel: In einer deutschen Stahlfabrik fielen im vergangenen Jahr aus zunächst unerklärlichen Gründen einzelne Steuerungskomponenten und dann ganze Anlagen aus. Am Ende ließ sich ein Hochofen nicht mehr abschalten - und verursachte "massive Beschädigungen" in der Fabrik. Andere Angreifer setzten auf einer Ebene darüber an: Sie verschafften sich Zugang zu den Servern eines Unternehmens, das Steuerungssoftware an die deutsche Industrie liefert. Dutzende Firmen infizierten sich mit der Kundschafter-Software Havex. Das Programm sammelte Information über verwendete Anlagen der befallenen Unternehmen und schickte sie an die Täter. Wäre es nicht rechtzeitig entdeckt worden, hätten sie das Wissen für einen massiven Schlag gegen deutsche Unternehmen in den Händen gehalten.

Doch für diese Unternehmen ist standardisierte Software verlockend: Sie bezahlen einfach externe Firmen für die Anpassung an die eigene Anlage. Gibt es allerdings eine Schwachstelle, können Angreifer sie flächendeckend für Attacken auf Industrie und Infrastruktur ausnutzen. Jeder, der von der Fritzbox-Sicherheitslücke oder schlampig programmierter Browser-Software betroffen war, kennt diese Gefahr.

Angst vor Russland und den USA? - "Ja"

Teil des Problems ist aber nicht nur die Software, sondern kann auch die Hardware sein. Viele in München sehen die Dominanz der USA in diesem Bereich als problematisch, weil mögliche Einfallstore nicht bekannt sind oder geschlossen werden können. Die Forderung nach einer europäischen Hardware-Produktion erhält viel Zustimmung. Nur der Weg dorthin ist umstritten - manche betonen die Innovationskraft der Rüstungsindustrie und wollen damit zwei Fliegen mit einer Klappe schlagen: Die EU verstärke so seine Verteidigungskraft gegen einen möglichen russischen Aggressor und zugleich die Unabhängigkeit von den USA. Andere sehen die universitäre und Unternehmensforschung als Schlüssel zu einer unabhängigen IT-Industrie.

Wie bei jedem Vortrag werden auch bei Yvonne Hofstetter am Ende Fragen aus dem Publikum gestellt, die tough auftretende Juristin kontert mit kleinen Angstmacherszenarien, unterfüttert mit Fakten. Nach zwei Stunden Vortrag plus Fragerunde dann die letzte Wortmeldung: "Frau Hofstetter, ich fasse jetzt mal alles zusammen, was Sie in den vergangenen zwei Stunden gesagt haben: Sie haben Angst vor der militärischen Bedrohung aus Russland und der wirtschaftlichen Bedrohung der USA. Richtig?" Hofstetter fehlen zum ersten Mal kurz die Worte, dann sagt sie: "Wenn Sie das so verkürzt darstellen wollen - Ja."

Roland Peters ist Korrespondent für ntv.de, berichtet aus Nord- und Südamerika über Politik, Menschen und Maschinen. Manchmal fällt ihm auch ein Ball vor die Füße.

Folgen: