Der „Einbruch“ hat keine zwei Minuten gedauert. Auf dem Computerbildschirm erscheint das Menü zur Steuerung der Technik eines Berliner Schwimmbades: Regler, Thermostate, Pumpen.

Ein weiterer Klick, und die Badegäste würden frieren. Doch dieser Klick wäre illegal. Marco Di Filippo ist Hacker. Ethical Hacker. Ein Hacker mit guten Absichten. Der Geschäftsführer des Schweizer Sicherheitsunternehmens Compass Security hat in sein Berliner Büro geladen, um zu zeigen, wie verwundbar industrielle Steuerungsanlagen sind. Compass hackt ausschließlich im Auftrag von Unternehmen. Sie suchen den Rat der Experten, um zu erkennen, wie verwundbar ihre eigenen Systeme sind.

In vielen Unternehmen fehlten jahrelang Bewusstsein und Kompetenz, um angemessen auf die Bedrohung aus dem Internet zu reagieren. Di Filippo und andere Sicherheitsexperten warnen seit Jahren vor einem drohenden „Cyber 9/11“, dem Angriff auf die Energieversorgung eines Landes. Terroristen müssen heute nicht mehr zwei Flugzeuge in einen Wolkenkratzer stürzen lassen, um ein Land in seinen Grundfesten zu erschüttern. Dazu reicht Computer-Code, der an hinreichend sensiblen Stellen platziert wird, um Versorgungssysteme kollabieren zu lassen.

Nur Standardpasswörter

In der Regel sind industrielle Systeme verwundbar: Für den Schwimmbad-Hack war nicht einmal ein Passwort erforderlich. Das ist kein Einzelfall. „Häufig werden nur bekannte Standardpasswörter verwendet“, sagt der Sicherheitsexperte. Bei der weiteren Suche findet Di Filippo sogar die Anmeldemaske für die Steuerung einer kommunalen Energieversorgung, in der das Passwort aus Nachlässigkeit gespeichert wurde. Eine dritte Suche zeigt 14 Steuerungsanlagen in Berlin, die angegriffen werden könnten – legal gefunden mit Google und der Host-Suchmaschine Shodan.

Beim zweiten Versuch zeigt Di Filippo, wie einfach es ist, eine Anlage zu manipulieren: Hat sich der Hacker erst einmal Zugang zu einem System verschafft, kann er buchstäblich schalten und walten, wie er will. Di Filippos Versuchsanlage besteht aus einem handelsüblichen Internet-Steuergerät, das ein Lichtsignal grün leuchten lässt. Der Apparat ist per LAN-Kabel mit seinem Rechner verbunden. Er schreibt ein paar Zeilen Code, die grüne Lampe erlischt und die rote fängt an zu blinken.

Der dritte Versuch spielt in der „Königsdisziplin der Cyberkriminellen“, wie Di Filippo sagt: Hier kommt der Angriff zum Beispiel als Werbe- oder Bewerbungs-PDF getarnt. Öffnet der Nutzer die präparierte Datei auf einem Firmenrechner, lädt es einen Virus, der dem Angreifer Zugang zum Unternehmensnetzwerk verschafft – einfach an der Firewall vorbei.

Wie konkret die Bedrohung ist, hat Di Filippo mit einem Test bewiesen. Dazu hat er seine kleine Versuchsanlage mit der grünen und roten Lampe als Steuerung eines Wasserkraftwerks getarnt und 24 Stunden lang mit dem Internet verbunden. Dabei registrierte er 24 Angriffe auf die Anwendung, 13 Attacken auf die Steuerung und vier Eingriffe in dem Programmablauf. Die Täter waren Hacker. Szenenwechsel: Institut für Informatik der Freien Universität Berlin. Professor Volker Roth zeigt eine Deutschlandkarte, übersät mit Tausenden farbigen Punkten – die meisten in Rot, dazwischen einige gelbe und grüne. Jeder dieser Farbpunkte markiert ein Gerät in einem Unternehmen, das mit dem Internet verbunden und unzureichend gegen Hackerangriffe geschützt ist. Roth und seine Studenten haben die Karte entwickelt.

Was die wenigstens wissen: Mittlerweile sind selbst Getränkeautomaten an Bahnhöfen, Aufzüge in Hochhäusern und moderne Heizungen über Steuergeräte ans Internet angeschlossen. Die Geräte sind über Mobilfunk oder Datenleitungen mit Stellen verbunden, wo sie gewartet oder gesteuert werden. Der Betreiber spart so Zeit und Geld. Professor Roth führt den Besucher in den Keller seines Instituts. Dort haben seine Studenten ihr Labor aufgebaut, um die Schwachstellen des Internet zu erforschen. Johannes Klick ist wissenschaftlicher Mitarbeiter. Er hat eine Modelleisenbahn aufgebaut – ein Oval mit Bahnübergang. Eine Schranke schließt sich automatisch, bevor die Lokomotive naht.

Klick hat die Steuerung der Eisenbahn über ein handelsübliches Steuergerät mit dem Internet verbunden. Auf seinem Bildschirm verfolgt er, ob ein Zug naht und die Schranke geschlossen ist. Ein Befehl, den er in seinen Computer eingibt, und die Schranke bleibt offen. „Die Maschine gehorcht jedem, der mit ihr redet“, sagt Roth.

Er und seine Wissenschaftler erforschen Protokolle und Schwachstellen von industriellen Kontrollsystemen. Zunächst suchen sie im Internet nach ungeschützten Geräten. Dazu verwenden sie die Spezial-Suchmaschine Shodan. „Sie findet Geräte, die offen im Netz sind. Man muss nur die Suchwörter kennen, dann findet man auch die passenden Antworten“, sagt Roth.

Aus solchen Informationen haben die Informatiker eine anonymisierte Weltkarte der Bedrohungen erstellt, die „Industrial Risk Assessment Map“ (IRAM). Diese interaktive Karte zeigt alle industriellen Kontroll- und Überwachungssysteme an (im Fachjargon ICS/Scada-Systeme), die durch Hackerangriffe verwundbar sind. Per Datenbankabfrage sind bekannte Schwachstellen ihrer Software zu finden und Links zu Programmen, um diese auszunutzen.

Ein Hacker könnte nun ein Kommando an das Gerät senden und es dadurch stoppen, was im Fachjargon Denial-of-Service-Attack heißt. So können Prozesse gestört werden.

Und dabei wurde noch nicht einmal ein Passwort geknackt oder ein Systemfehler ausgenutzt, was bei nachlässig programmierten oder konfigurierten Anlagen für einen versierten Hacker auch kein unüberwindbares Problem darstellen würde, wie Roth erläutert. „Sicherheit hat nicht den Stellenwert, den sie erfordert“, sagt der Informatik-Professor. Er hält Bequemlichkeit oder unzureichendes Bewusstsein der Betreiber für ein Problem. Solche Anlagen dürfen ohne Firewall und Virtuelle Private Netzwerke (VPN) eigentlich nicht ans Netz, sagt Roth.

Das beklagt auch Holger Junker, Referatsleiter Cybersicherheit in kritischen IT-Systemen beim Bundesamt für Sicherheit in der Informationstechnik (BSI): „Viele Unternehmen haben das Thema noch nicht auf dem Schirm. Zahlreiche technische Steuerungsanlagen wurden vor längerer Zeit entwickelt und haben erst nach und nach einen Netzwerkzugang erhalten.“ Bei ihrem Design seien heutige Bedrohungen nicht in Erwägung gezogen worden. Das BSI habe im vergangenen Jahr mehr als 200 Betreiber gefährdeter Netzwerke benachrichtigt.

Es ist nicht einfach, industrielle Anlagen IT-seitig abzusichern. Denn Fertigungsstraßen können nicht einfach angehalten, aufgerüstet und wieder angeschaltet werden. „Bei solchen Prozessen lassen sich nicht ohne weiteres Updates einspielen“, sagt Junker. Man kann solche Anlagen allenfalls mit einer Firewall umgeben und muss dann darauf achten, dass keine Schad- oder Spionagesoftware über Laptops oder Datenträger von Wartungspersonal in das System geschleust wird. „Innentäter stellen ein Risiko dar, das naturgemäß niemals vollständig ausgeschlossen werden kann“, heißt es in einem Dossier des BSI. Es genügt, wenn ein Angreifer einen mit Schadsoftware infizierten USB-Stick auf einem Firmenparkplatz fallen lässt. Irgendwer hebe ihn auf und stecke ihn in einen Firmenrechner, sagt ein Insider.

Der Computerwurm Stuxnet hat im Juni 2010 gezeigt, dass auch vom Internet abgekoppelte Prozesse und Systeme angreifbar sind und derartige Angriffe aufgrund des weitverbreiteten Einsatzes gleicher Systeme weitreichende Folgen haben können. Der Fall rüttelte die Industrie wach und veranlasste das BSI, einen nationalen Plan zum Schutz von Informationsinfrastrukturen (Kritis) aufzulegen. Und im Referentenentwurf für ein IT-Sicherheitsgesetz werden Mindeststandards für industrielle IT-Systeme und eine Meldepflicht für Störfälle gefordert. Bereiche mit kritischen Infrastrukturen (Luftfahrt, Energie, Chemie, Gesundheit) seien in Deutschland relativ sicher, sagt Junker. „Wir sind da sehr gut aufgestellt.“ Er bezeichnet die Zahl gefährdeten industrieller Systeme mit „wenigen Hundert“. Ganz anders sehe es im Ausland aus.

Anlagen mit Internet verbunden

Mit einer aktuellen Studie schlägt die Organisation für Sicherheit und Zusammenarbeit in Europa (OSCE) Alarm. Sie zeigt ein starkes Gefälle bei der IT-Sicherheit von Energieanlagen und weist auf die zunehmende Gefahr durch dezentrale intelligente Energienetze (Smart Grids) hin. „Die Cyberkriminalität nimmt zu und computergesteuerte Anschläge auf die Infrastruktur werden auch für Terroristen zunehmend zur Option“, erklärt Timo Kob, Vorstandsmitglied der Berliner HiSolutions AG, die federführend an dieser Studie mitgewirkt hat. „Zu Panik besteht kein Grund“, sagt Robin Kroha, Direktor bei HiSolutions. „Deutschland ist auf Cyber-Angriffe zunehmend gut vorbereitet. Aber wir sehen eine zunehmende Bedrohung durch komplexer werdende IT-Systeme.“

„Die Sicherheitsstandards großer Kraftwerke haben sich verbessert“, sagt Marco Lux, Geschäftsführer des Berliner IT-Consulting-Unternehmens Curesec. Er berät Industriebetriebe sowie mittelständische Unternehmen in Sicherheitsfragen und führt Analysen von Hardware und Software durch. Lux sieht allerdings noch großen Nachrüstbedarf – insbesondere bei Anlagen, die über das Internet oder Mobilfunk gesteuert und gewartet werden. Netzwerke müssen nach den Worten von Lux nach außen und nach innen gesichert werden: Nach außen mit Firewalls, sicherer Authentifizierung und geschützten Netzwerkverbindungen (VPN). Und nach innen auf der Software-Seite mit Qualitätstests, Untersuchung auf Schwachstellen und bewährten Internetprotokollen. Hauptfeind der IT-Sicherheit ist nach Einschätzung des Experten der Kostendruck. Denn nicht nur die Software hat ihren Preis. Hinzu kommen Administratorkosten, die während der Nutzung anfallen. Das scheuen manche Unternehmen. Aber auch Unwissenheit spielt eine Rolle. „Bei alten Steuerungsanlagen, die vor Jahren mit dem Internet verbunden wurden, hat man Sicherheitsstandards vernachlässigt“, sagt Lux.

Diese Einschätzung teilt auch Dirk Seewald, Vorstandschef der Berliner Innominate Security Technologies AG. Das Unternehmen schützt industrielle Netzwerke – wie Fertigungsstraßen von Volkswagen. Große Teile der Automobilbranche gehören zu den Kunden. Er sieht eine besondere Herausforderung darin, Altsysteme mit einer sicheren Infrastruktur mit dem Internet zu vernetzen, um beispielsweise Fernwartung mit niedrigem Risiko zu ermöglichen. „Viele Anlagen wurden dafür nicht gebaut“, sagt er. Die Schutzmechanismus würden durch die zunehmende Vernetzung der Anlagen mit dem Internet aufgebrochen, warnt er. Einen Kommentar zur Gefährdung will er nicht abgeben. Für seine Branche bleibt genug zu tun. „Die Technologie dafür, die Sicherheit industrieller Anlagen zu erhöhen, ist verfügbar“, sagt der Experte.

Die Zeit drängt, wie eine aktuelle Studie des Center for Strategic and International Studies (CSIS) zeigt. Sie weist einen jährlichen Schaden von 100 Milliarden US-Dollar für die US-Wirtschaft sowie den Verlust von 508.000 Arbeitsplätzen in den USA infolge von Internetkriminalität aus. Für Berlin bedeutet das weltweite Sicherheitsproblem jedoch weitere Arbeitsplätze. Compass hat sein Büro mit neun Mitarbeitern erst im Januar 2013 eröffnet. Marco Di Filippo sagt, sie hätten gut zu tun.