Manuel Atug ist einer der führenden Experten für die Sicherheit kritischer Infrastrukturen. Im Interview erklärt er, warum man Russland nicht digital angreifen sollte und wieso die Angst vor einem Cyberkrieg, in dem sich Länder gegenseitig den Strom abschalten, übertrieben ist.

ZEIT ONLINE: Herr Atug, kürzlich hat Judith Gerlach, die Bayerische Staatsministerin für Digitales, fallen lassen: Wir müssten in Deutschland auch "Hackbacks" beherrschen, also digitale Gegenschläge, wenn uns feindliche Mächte angreifen. Brauchen wir bayerische Hacker gegen Putin?

Manuel Atug: Ich kann die Intention ja verstehen. Wenn wir unsere kritischen digitalen Infrastrukturen allerdings sinnvoll schützen wollen …

ZEIT ONLINE: … also zum Beispiel die Stromversorgung, die öffentlichen Notrufnummern, Steuerungsanlagen in der Industrie …

Atug: … dann müssen wir über etwas anderes nachdenken als über digitale Gegenschläge. Es ist so, dass Politikerinnen und Politiker viel Besuch von Leuten aus der Rüstungsindustrie und Beratungsunternehmen bekommen, die ihnen etwas verkaufen wollen und den ganzen Tag "Hackback!" und "Offensive Cyberangriffe!" rufen.

ZEIT ONLINE: Wir sehen aktuell diverse Cyberangriffe im Krieg in der Ukraine. Sie sehen da keine Gefahr für kritische Infrastrukturen?

Atug: Ich weiß, dass es viele Meldungen und Artikel über Cyberangriffe gibt, aber ein langanhaltender Ausfall geschieht vergleichsweise selten.

ZEIT ONLINE: Aber es gab doch zuletzt einige kritische Attacken, zum Beispiel auf ein Satellitensystem in der Ukraine.

Atug: Das stimmt. Aber dieser offensive Angriff hat auch viel Kollateralschaden verursacht. Ansonsten ist es unheimlich schwer, kritische Infrastrukturen aus der Ferne so zu hacken, dass wirklich ein langanhaltender und nachhaltiger Versorgungsausfall entsteht – dass zum Beispiel dauerhaft kein Wasser mehr fließt oder kein Strom mehr vorhanden ist.

ZEIT ONLINE: Sie haben doch in der Vergangenheit selbst davon gesprochen, dass schon seit Jahren in aller Welt Cyberangriffe auf kritische Anlagen probiert worden sind, gerade auch in der Ukraine.

Atug: Sie waren aber wenig erfolgreich. Es wurden bereits seit 2015 Versuche unternommen, einen Blackout in der ganzen Ukraine zu bewirken. Am Ende wurden tatsächlich etwa 230.000 Leute etwa eine Stunde lang von der Stromversorgung abgeschnitten. Von Erfolg kann man da nicht reden. Der einzige gut dokumentierte Erfolg war der Stuxnet-Angriff der USA auf eine iranische Plutonium-Anreicherungsanlagen mithilfe eines Computerwurms, der im Jahr 2010 entdeckt wurde. Stuxnet ist damals aber über viele Jahre hinweg in großen Teams extrem aufwendig vorbereitet und durch einen eingeschleusten Spion vor Ort eingebracht worden. So was ist ja nicht wirklich effizient.

ZEIT ONLINE: Also Ihr Argument ist: Die Angriffe werden uns nicht so schlimm treffen, deswegen müssen wir uns über ausländische Hackerangriffe nicht so große Sorgen machen?

Atug: Die Gefahr eines Angriffs gibt es immer und es stimmt natürlich, dass sie im Krieg größer wird. Sie sind aber nicht die primäre, größte Bedrohung. Das Bundesamt für Sicherheit in der Informationstechnik hat seit dem Beginn des Kriegs in der Ukraine nicht umsonst bisher nur die Alarmstufe Orange und nicht Rot ausgesprochen. Das ist höher als normal, man soll also wachsam sein, aber eine Katastrophe erwarten die im Augenblick nicht.  

ZEIT ONLINE: Sie sind aber dafür, dass wir unsere Anlagen zumindest defensiv besser gegen solche Angriffe schützen, richtig?

Atug: Ja. Ich sage nicht, dass wir unsere Augen vor den Bedrohungen verschließen sollten. Unsere kritischen Infrastrukturen heißen so, weil sie kritisch sind und weil sie immer gegen alle Bedrohungen geschützt werden müssen. Die wichtigste Frage ist dabei aber nicht, wer die möglichen Angreifer sind und ob man gegen solche Hacker sogar eigene Schläge planen sollte. Sondern: Was kann in Deutschland alles schiefgehen, sodass die Bevölkerung morgen kein Wasser und keinen Strom mehr bekommt, und wie vermeiden wir das? Hackerangriffe von Russen gehören zu den Gefahren. Dann gibt es Ransomware …

ZEIT ONLINE: … also eine Software von Erpressern, die Computersysteme verschlüsselt, die erst gegen ein hohes Millionen-Lösegeld wieder freigegeben werden…

Atug: … ja genau, wobei man das gut unterscheiden muss. Ransomware legt üblicherweise nicht die kritische Infrastruktur an sich lahm, aber vielleicht zugehörige Verwaltungsrechner in einem Betrieb der kritischen Infrastruktur. Das richtet am Ende einen hohen wirtschaftlichen Schaden an. Darüber hinaus gibt es viele Gefahren für die Systeme von kritischen Infrastrukturen, die mit Angriffen aus dem Digitalen erst einmal nichts zu tun haben, zum Beispiel Flutkatastrophen wie im Ahrtal oder andere Naturereignisse, die im Zuge des Klimawandels jetzt häufiger werden.

Defizit in der Bildungspolitik, was IT und Digitalisierung betrifft

ZEIT ONLINE: Der Schutz vor einem Hacker ist doch was völlig anderes als der Schutz vor einem Starkregen.

Atug: Gar nicht, viele Antworten darauf sind gleich. Und sie sind eher langweilig, die Basics eben. Hat man ein Back-up aller Daten gemacht? Hat man die offline gespeichert? Am besten an einem fernen Ort und so gelagert, dass niemand leicht daran herummanipulieren kann? Sind die Back-ups frisch, werden sie also etwa täglich gemacht, und kann man sie schnell genug wieder herstellen, bevor großer Schaden entsteht? Wenn ich zwei Wochen zum Wiederherstellen brauche, aber nach zwei Tagen den Laden wegen Insolvenz zumachen muss, nützt mir das schönste Back-up eben auch nichts. Das ist aber alles so langweilig, dass es keiner hören wird; dann wird lieber davon gesprochen, feindliche Hacker wegzucybern.

ZEIT ONLINE: Also mehr Back-ups machen, was sonst noch?

Atug: Es wäre schon viel gewonnen, wenn bei der Digitalisierung kritischer Infrastrukturen die Sicherheit früher mitgedacht würde. Neben wir mal als Beispiel Wasserwerke. Es gibt mehr als 5.000 davon in Deutschland, wovon weniger als 50 als Kritis-Betreiber eingestuft sind. Das bedeutet, sie sind sogenannte Betreiber kritischer Infrastrukturen, weil sie jeweils mehr als 500.000 Menschen versorgen; sie müssen ihre Systeme besonders absichern und sich Überprüfungen unterziehen. An alle anderen werden keine besonderen Anforderungen gestellt, was die IT-Sicherheit betrifft. Jetzt funktionieren die meisten Wasserwerke eigentlich sowieso ganz wunderbar, oftmals analog und mechanisch. Aber dann beschließt die Verwaltung irgendwelche Digitalisierungsrunden, überall werden irgendwelche IT-Systeme angeschlossen und damit holen sie sich Sicherheitsprobleme ins Haus. Ich sehe da viel Technologiehype, Leuchtturmprojekte, Schaufenstermaßnahmen, mit denen sich jemand profiliert.

In vielen Behörden, Institutionen und auch bei Politikern stößt man oft auf ein Digitalisierungsniveau auf der Höhe eines Faxgeräts.
IT-Sicherheitsexperte Manuel Atug

ZEIT ONLINE: Warum wird an die Sicherheit gegen Ausfälle und Angriffe bei diesen Digitalisierungsprodukten nicht mehr gedacht?

Atug: Die Ursachen sind vielfältig. Wir haben beispielsweise ein Defizit in der Bildungspolitik, was IT und Digitalisierung betrifft, und aus diesem Defizit und Mangel heraus können die meisten Verantwortlichen in diesen Positionen gar keine richtige Risikoeinschätzung vornehmen. In vielen Behörden, Institutionen und auch bei Politikern stößt man oft auf ein Digitalisierungsniveau auf der Höhe eines Faxgeräts. Die denken dann: Wir digitalisieren das, das ist Automatisierung, das ist Zukunft, das ist super und günstiger. Was sie nicht verstehen, ist das Risiko. Nach dem Motto: Das ist wie bei mir zu Hause, mein Windows muss ich auch dreimal am Tag hochbooten, aber es läuft ja grundsätzlich.

ZEIT ONLINE: Was muss man denn tun? Klarere Haftungsrechte einführen? Besser versichern gegen Softwarefehler, sodass die Versicherungen dann Druck auf die Hersteller ausüben?

Atug: Den einzelnen großen Hebel gibt es nicht, den man da umlegen könnte. Aber sicher müsste man in der Gesetzgebung zielgerichteter durchgreifen. Das IT-Sicherheitsgesetz, das diese Fragen regelt, ist sehr schwammig, da stehen viele Ausnahmen drin oder wichtige Dinge sind ausgeklammert. Der ganze Bereich der Zwischenfälle in kritischen Infrastrukturen ist sehr intransparent. Da erfährt man nicht viel, wenn es mal einen IT-Störfall gibt. Und ich habe schon kritische Infrastrukturanlagen erlebt, da sagt der Chef: "Wir haben Öffnungszeiten Montag bis Freitag 9 bis 17 Uhr, danach machen wir zu und dann ist hier aus." Da müsse am Wochenende auch keiner die IT überwachen. Die Systeme hängen aber natürlich auch übers Wochenende am Netz.

ZEIT ONLINE: Und da wird doch immer gewarnt: Viele Profi-Hacker aus anderen Ländern sind schon in kritische Infrastrukturen eingedrungen, haben die Anlagen ausspioniert und vielleicht sogar kleine Hintertüren hinterlassen.

Atug: Ja, und das gilt nicht nur für die Russen und Chinesen, sondern vor allem auch für die Amerikaner mit ihrer NSA. Die sind überall drin und sammeln alles. Insgesamt gibt es aber mehr als 100 Staaten, die Schwachstellen zurückhalten …

ZEIT ONLINE: … die also Sicherheitslücken in irgendwelchen Computersystemen entdeckt haben, die auch kritische Infrastrukturbetreiber nutzen, die sie aber nicht den Herstellern melden.

Atug: Genau, die halten solche Sicherheitslücken in ihrem digitalen Waffenschrank vor. Das ermöglicht ihnen dann aktive Cyberspionage, also Aufklärung, und eventuell sogar Hackbacks, also offensive Maßnahmen. Das findet auch unter befreundeten Staaten statt. Es sind nicht immer nur böse Russen. In Deutschland ist bei der jüngsten BND-Novelle mit in das BND-Gesetz geschrieben worden, dass der Bundesnachrichtendienst ausländische Telekommunikationsunternehmen, also Kritis-Betreiber in diesen Ländern, hacken darf.

ZEIT ONLINE: Sie gehen davon aus, dass zahllose Geheimdienste längst in unserer Infrastruktur hacken, spionieren, Daten sammeln. Müssen wir dann nicht zumindest damit rechnen, dass Informationen auch vorausgespäht und damit Angriffe vorbereitet werden?

Atug: Vorausgespäht und vorbereitet schon. Aber es gibt ein großes Problem, das gegen einen Angriff auf kritische Infrastruktur spricht: Das Risiko von Kollateralschäden ist groß. Sieht man an dem Beispiel aus dem Krieg in der Ukraine mit dem Kommunikationssatelliten, das Sie vorhin genannt haben: Der wurde offenbar gehackt und in der Folge wurden auch die Modems für die Fernwartung in mehreren Tausend deutschen Windrädern lahmgelegt. Nach allem, was wir wissen, wollte niemand Windparks angreifen.

ZEIT ONLINE: Zeigt das nicht eher, wie wirksam ein Cyberangriff werden könnte? Wenn ich eine sehr stark vernetzte Nation wie Deutschland treffen will, dann kann ich irgendwas Beliebiges hacken und mache ganz viel kaputt?

Atug: Aber die Kollateralschäden können Sie nicht steuern. Sie müssen auch vermeiden, dass Sie selbst mitzerstört werden. Bei dem Ausschalten des Satelliten war ja offensichtlich die Ukraine gemeint und Deutschland wurde mitgetroffen. Hätte auch sein können, dass so was in der Art ein amerikanischer Angriff ist und dass als Folge auf einmal in den USA Systeme ausfallen. Kollateralschäden sind schwer planbar, das bleibt ein Spiel mit dem Feuer beziehungsweise mit dem Strom oder Wasser für die Bevölkerung.