Die Stadtwerke Ettlingen haben 2013 den Hacker Felix »FX« Lindner aufs eigene System angesetzt, um Schwachstellen ans Licht zu bringen. Niemand im Unternehmen war darauf vorbereitet. Eberhard Oehler, Geschäftsführer der Stadtwerke Ettlingen, hat dafür viel Aufmerksamkeit bekommen. Bis heute wird er als Redner angefragt, auch international. Götz Schartner, Geschäftsführer der CEO 8com GmbH & Co. KG, stärkt die Cyber Security von Unternehmen und schützt sie vor Cyberangriffen. Er stellt fest, dass Unternehmen bis heute wenig auf Hackerangriffe vorbereitet sind, obwohl diese zunehmen werden.
Nehmen wir an, ein Hacker würde die Stadtwerke Ettlingen angreifen – was würde der tun und mit welchen Folgen?
Schartner: Der Hacker dringt in das System ein. Er verschlüsselt dann die Daten und zerstört die Backups. Abrechnungsdaten, Kundendaten und Konfigurationsdaten wären weg.
Oehler: Es wäre eine Katastrophe für uns. Unmittelbar nach dem Angriff würde die Lösegeldforderung folgen. Diese Organisationen arbeiten hochprofessionell.
Schartner: Wir hatten schon den skurrilen Fall in Baden-Württemberg, dass die Wiederherstellung der Daten durch den Hacker nicht geklappt hat. Der Hacker hat sogar das Lösegeld zurückbezahlt. Das ist deren Geschäftsmodell.
Welchen Schaden könnte ein Hackerangriff den Stadtwerken zufügen?
Oehler: Wäre die Leitstelle vom Hackerangriff betroffen, hätten wir unmittelbar den wirtschaftlichen Schaden, wenn es dadurch bei unseren Kunden zu einem Produktionsausfall kommen würde. Der Verlust könnte sehr schnell im sechsstelligen Bereich liegen. Wenn man uns dann Fahrlässigkeit nachweisen könnte, weil wir in Sachen IT-Sicherheit zu wenig getan haben, dann wären wir für diese Schäden haftbar.
Schartner: Wenn Sie Pech haben und die IT-Umgebung vollständig verseucht ist, können Sie das System nicht mehr bereinigen. In einem Windowssystem haben Sie bis zu 100.000 Steuerdateien, die sie einzeln auf versteckte Vektoren überprüfen müssen. Das schaffen sie gar nicht. Sie müssen die IT austauschen und neue Hardware kaufen. Da wären Sie schnell bei 12 –15 Millionen Euro internen Kosten, ganz grob.
Oehler: Beim Verlust der Kundendaten kommen in der Regel noch die Datenschutzbeauftragten der Landesbehörden, die alles überprüfen. Zu allem kommt der Reputationsschaden. Der ist kaum zu berechnen.
Warum werden die Täter so selten aufgespürt und belangt?
Schartner: Für die Hacker ist Deutschland ein Eldorado. Die Täter kommen meist aus Ländern, in denen die Strafverfolgung nicht funktioniert. In der Theorie könnten Sie die Täter schon finden, aber uns sind die Hände gebunden. Es gab ja mal die gesellschaftliche Diskussion über das ›Hack-Back‹, also das Zurückholen der Daten durch einen Gegenangriff aus Notwehr. Das ist bei uns nicht erlaubt, der Hacker hat also nichts zu befürchten und verdient ein enormes Geld. In anderen Ländern wie den USA oder Israel ist das besser geregelt. Unser Rechtsstaat muss doch auch wehrhaft bleiben.
Oehler: Wir müssen leider auch davon ausgehen, dass die Dunkelziffer der tatsächlichen Angriffe viel höher ist, als wir wissen. Die wenigsten Unternehmen machen einen solchen Vorfall öffentlich. Zum Glück ist es noch nie zu einem größeren Blackout gekommen.
Was war der Anlass dafür, dass Sie die Stadtwerke Ettlingen absichtlich hacken ließen?
Oehler: Ein Auslöser war die Anfrage eines Journalisten. Wir hatten auch nur eine diffuse Vorstellung davon, was durch einen Hackerangriff passieren könnte. Wir wollten lernen, wo wir angreifbar und verletzlich sind. Der Hackerangriff hat uns sehr deutlich unsere Schwachstellen aufgezeigt. Das hat eine große Welle ausgelöst, intern und extern. Bis heute werde ich von Kollegen angerufen oder als Redner dazu angefragt. Die Entscheidung war damals absolut richtig.
Keiner in Ihrem Haus war darauf vorbereitet. Was hat es bei den Mitarbeitern ausgelöst?
Oehler: Ich habe weder die Mitarbeiter noch die Software-Lieferanten im Vorfeld informiert. Das hat auch zu Vorwürfen geführt. Aber ich wollte im Originalzustand wissen: Sind wir sicher oder sind wir weniger sicher?
Schartner: Wenn ein Hacker – bei solch einer Simulation legal und mit ethischen Vorsätzen – komplett ›durchmarschieren‹ kann, hat das eine extreme Aussagekraft und Sensibilisierungseffekte. Wenn die IT mit im Boot ist, können Sie schneller eine höhere Anzahl an Sicherheitslücken finden. Das machen wir auch. Der Ansatz, den Ettlingen gemacht hat, ist aus unserer Sicht der richtige: Da gibt es keine Unterstützung und das Ergebnis ist nicht mehr anzuzweifeln. Wir hatten mal einen Bankenvorstand als Kunden. Er wollte nicht glauben, dass man seine Bank auch hacken kann. Wir haben dann eine Videoaufnahme von ihm während der Arbeit gemacht. Der war ziemlich entsetzt.
70 Prozent der Hackerangriffe werden durch Fehler der Anwender, also menschliche Schwächen, erst möglich. Eberhard Oeher
Oehler: Das Thema IT-Sicherheit ist eine Daueraufgabe. Im Durchschnitt registrieren wir um die 40 neue Sicherheitslücken am Tag. Die Verletzbarkeit wird mit der weiteren Automatisierung und Digitalisierung größer. Kein Monteur schreibt mehr einen Stundenzettel, sondern gibt die Daten per Handy direkt ins System ein. 70 Prozent der Hackerangriffe werden durch Fehler der Anwender, also menschliche Schwächen, erst möglich. Wir führen deshalb immer wieder Schulungen durch, um die Mitarbeiter für neue Gefahren zu sensibilisieren. Das Wichtigste ist, die Aufmerksamkeit der Mitarbeiter für das Thema dauernd aufrechtzuerhalten.
Was können kleinere Stadtwerke mit weniger personeller und finanzieller Ausstattung tun?
Oehler: Oft sind wir auf die Zulieferer für die Software angewiesen. Da lohnt es sich, genau hinzuschauen, wie die mit dem Thema umgehen. Viele Programmierer sind beim Thema ›sichere Programmierung‹ nicht gut genug ausgebildet. Auch über einen fusionierten IT-Betrieb mit anderen Stadtwerken kann man nachdenken.
Schartner: Grundsätzlich ist jeder zur Risikovorsorge in seinem Unternehmen verpflichtet. Zu sagen, ›Das ist zu teuer, ich lass das‹, ist keine Option. IT-Sicherheit ist hoffentlich nie profitabel.
Was erwartet uns noch?
Schartner: Ein Hacker ist ja kein Hexenmeister, er ist ein technikbegabter Mensch, der aufgrund von Konfigurationen, Sicherheitslücken oder menschlichen Schwächen in Computersysteme eindringt. Die Wege sind heute im Wesentlichen alle bekannt. Selbst die schwerwiegenden Vorfälle der vergangenen Jahre wären mit relativ einfachen, präventiven Maßnahmen zu verhindern gewesen. Bis vor fünf Jahren gab es noch recht wenig Manipulationen oder Angriffe auf Versorger. Die sind heute täglich und es gibt hohe finanzielle Schäden. Bis das noch schlimmer wird, ist eine Frage der Zeit. Leider sind die Unternehmen aus meiner Wahrnehmung nicht besser vorbereitet, trotz aller Kenntnis.
Oehler: Wir haben eine sehr hohe Versorgungssicherheit, die Ausfallzeiten sind im Vergleich zu anderen europäischen Ländern weitaus besser. Wir haben daher eine gewisse ›Katastrophenarmut‹ und dadurch zu wenig Aufmerksamkeit für das Thema. Im Bereich der IT-Sicherheit findet der Austausch in der Branche leider kaum statt. Wir brauchen unbedingt die Kommunikation untereinander. Nur dadurch werden wir alle besser.
Ein Hacker ist ja kein Hexenmeister, er ist ein technikbegabter Mensch, der aufgrund von Konfigurationen, Sicherheitslücken oder menschlichen Schwächen in Computersysteme eindringt. Götz Schartner