Der Angriff auf die Zahnradbahn in Frankreich beginnt in einem Haus im Süden Augsburgs. Roland Koch sitzt in einem schmucklosen Büro im Erdgeschoss an einer Computertastatur und tippt. Zwei Worte gibt er ein in die Internetsuchmaschine, schnell wird er fündig. „Jetzt noch eben 20 Zeilen Code, das war es“, sagt er. Koch, schwarzes Sakko, fliederfarbenes Hemd und Backenbart, sieht nicht so aus, wie man sich gemeinhin einen Hacker vorstellt. Doch in diesem Moment macht er genau das, was echte Cyber-Kriminelle auch tun: Er greift über das Internet ein fremdes Unternehmen an.
Die Codezeilen verschwinden. Plötzlich taucht auf dem Monitor ein virtuelles Steuerpult auf mit Reglern, Knöpfen und Skalen. „Ich könnte die Anlage jetzt einfach starten oder stoppen“, sagt der 29-Jährige. Und hält inne. „Aber das wäre illegal, das mache ich natürlich nicht.“ Die französische Zahnradbahn darf vorerst weiterfahren – bis Kriminelle die Sicherheitslücke vielleicht ebenfalls entdecken. Und dann weniger Skrupel haben.
Was Roland Koch in dem Büro an der Haunstetter Straße vorführt, ist Alltag für ihn und sein Team. Der Wissenschaftler ist Mitglied der Forschungsgruppe IT-Security und Forensik an der Hochschule Augsburg, kurz HSASec. Die Experten unter Leitung von Professor Gordon Thomas Rohrmair suchen gefährliche Sicherheitslücken im Netz und versuchen, diese zu schließen. Sie sind die „Guten“ in einem Krieg, der seit Jahren weitgehend unbemerkt von der Öffentlichkeit im Internet tobt. Auf der anderen Seite stehen die Bösen: Kriminelle, Spione, Militärs.
Attacken im Minutentakt
Praktisch im Minutentakt werden Unternehmen, Behörden, aber auch wichtige Infrastruktur-Einrichtungen wie Wasserwerke, Telefonnetze oder Energieversorger über das Internet attackiert. Allein auf das bayerische Behördennetz gibt es täglich über 36 000 Angriffsversuche, hat Bayerns Innenminister Joachim Herrmann unlängst in seiner Regierungserklärung zur Cyber-Sicherheit berichtet.
Ähnlich sind die Zahlen, wenn es um die IT-Strukturen der Bundesregierung geht. Jeden Tag verzeichne man hier „etwa fünf gezielte Attacken“, sagt Tim Griese, Sprecher des Bundesamtes für Sicherheit in der Informationstechnik. Dazu kämen tausende Angriffe, bei denen Regierung und Behörden eher zufällig unter Beschuss geraten.
Gordon Thomas Rohrmair ist Leiter der HSASec in Augsburg. Der Professor und sein 15-köpfiges Team beraten Konzerne wie Siemens, Nokia und die Telekom zum Thema IT-Sicherheit. Sie untersuchen, ob Firmen vor Angriffen über das Internet geschützt sind. Sie finden Sicherheitslücken in Handynetzen. Sie erforschen, wie Angriffe auf Computer nachgewiesen werden können. Und Rohrmairs Einschätzung zur Lage ist so kurz wie prägnant. „Es ist ein Wunder, dass nicht schon viel mehr passiert ist“, sagt er. Dass eine Anlage wie die Zahnradbahn in Frankreich von Fremden über das Internet „ferngesteuert“ werden kann, sei nämlich kein Einzelfall: „Die Konfigurationsfehler nehmen zu, weil auch die Netzwerke immer komplexer werden.“
Tatsächlich machten spektakuläre Angriffe auf Konzerne, Industrieanlagen und Regierungen in den vergangenen Jahren immer wieder Schlagzeilen:
Hackerangriffe der vergangenen Jahre:
- 2013. Hacker legen Fernsehstationen und Banken in lahm. Der Angriff geht laut einer südkoreanischen Untersuchung auf das Konto des nordkoreanischen Militärgeheimdienstes.
- 2012. Rechner des Luft- und Raumfahrtkonzerns EADS und des Industrieunternehmens ThyssenKrupp werden attackiert. Hinter den Angriffen sollen chinesische Hacker stecken. In den USA werden zwei Energieversorger durch Computerviren infiziert. Ein Stromkraftwerk fällt daraufhin wochenlang aus.
- 2011. Kriminelle verschaffen sich Zugang zu den Servern des Internationalen Währungsfonds. Sie versuchen, eine Überwachungssoftware zu installieren.
- 2010. Das Sabotage-Programm „ “ infiziert tausende Steuerungscomputer im Iran. Dabei werden vor allem Atomanlagen sabotiert und zum Teil zerstört.
Wer steckt hinter solchen Angriffen? „Stuxnet“ etwa, vermuten Experten, war das Werk eines Geheimdienstes. Der Angriff auf die iranischen Atomanlagen könnte aus den USA oder aus Israel gesteuert gewesen sein; Teil der Cyber-Kriegsführung, die inzwischen zum Arsenal fast aller Militärs gehört. Auch die Bundeswehr rüstet seit Jahren für den Krieg im Netz. Sie unterhält dafür in Rheinbach bei Bonn eine eigene Abteilung „Informations- und Computernetzwerkoperationen“.
Die meisten Angriffe kommen aus dem zivilen Bereich
Hinter den meisten Angriffen stecken allerdings weder Militärs noch Geheimdienste, sondern Kriminelle und Wirtschaftsspione. „Es ist davon auszugehen, dass die überwiegende Zahl der Angriffe aus dem zivilen Bereich stammt“, sagt Tim Griese vom BSI. Und dabei geraten neben großen Konzernen zunehmend kleine und mittelständische Unternehmen ins Visier – auch in Bayern. Entsprechend rüsten die Behörden auf. Beim bayerischen Verfassungsschutz soll im Sommer ein „Cyber-Allianz-Zentrum“ die Arbeit aufnehmen und Angriffe über das Internet abwehren.
Auch die Augsburger Wissenschaftler kennen viele Spionagefälle aus ihrer Beratungspraxis. Ihr Hauptquartier ist in einem Nebengebäude der Hochschule. Vorne, am Eingang, haben sie eine Art Wappen aufgehängt. Rot-orange ist es und zeigt einen Fingerabdruck, ein Schloss und drei vernetzte Computer – Symbole dafür, in welchem Spannungsfeld die HSASec arbeitet.
Für Cyber-Attacken reicht eine Suchmaschine
So schützen Sie sich gegen Bedrohungen im Internet
Trojaner, DoS-Attacken, Identitätsdiebstahl: Internetnutzer sind einer Vielzahl von Gefahren ausgesetzt - wenn sie sich nicht schützen. So einfach geht's:
Halten Sie Ihr Betriebssystem immer auf dem neuesten Stand. Denn die Hersteller von Windows & Co. stopfen regelmäßig bekannt gewordene Sicherheitslücken. Bei einem Windows-Rechner empfiehlt es sich, die automatische Update-Funktion zu aktivieren.
Egal ob Internet Explorer, Google Chrome oder Mozilla Firefox: Auch Ihr Internetbrowser sollte immer auf dem neuesten Stand sein. Veraltet und unsicher ermöglicht er nämlich Schädlingen das Eindringen in Ihren Computer. Auch Browser bringen in der Regel eine automatische Update-Funktion mit. Nutzen Sie sie.
Achten Sie darauf, dass auch die kleinen Zusatzprogramme - Add ons oder Plugins genannt - für Ihren Browser stets aktuell sind. Denn auch diese können ein Einfallstor für schädliche Programme und Spione sein.
Virenschutz-Programme sind ein absolutes Muss im Internet. Aber Vorsicht: Sie können nur dann schützen, wenn sie regelmäßig aktualisiert werden. Ein veraltetes Schutzprogramm ist sinnlos.
Eine Firewall kann eine sinnvolle Unterstützung für ein Virenschutz-Programm sein. Viele Hersteller bieten beide Programme in Kombination - in einer sogenannten Suite - an.
"Googeln" Sie regelmäßig Ihren eigenen Namen - geben Sie ihn also unter www.google.de ein und überprüfen Sie die Ergebnisse. Nur so haben Sie die Kontrolle darüber, was über Sie - oder womöglich in Ihrem Namen - im Internet geschrieben und verbreitet wird.
Geben Sie im Internet niemals persönliche Daten heraus, wenn Sie nicht unbedingt müssen. Seien Sie vor allem dann vorsichtig, wenn Sie sich für einen angeblich kostenlosen Dienst mit Name und Adresse anmelden sollen. Daher kann eine Kostenfalle stecken - oder ein Adresshändler.
Der beste Schutz gegen Gefahren im Internet ist ohnehin der gesunde Menschenverstand. Glauben Sie nicht alles, was im Internet oder in Mails behauptet wird. Und klicken Sie nicht jeden Knopf, der Ihnen angeboten wird.
Professor Rohrmair und seine Mitarbeiter sitzen an Tischen mit Computern, wenn sie ihre aktuellen Fälle besprechen. „Wir hatten mal zwei Bankvorstände aus dem Allgäu, die plötzlich von ihren Kindern per Mail die Nachricht bekamen, sie sollten sich bestimmte Dateien ansehen“, sagt Rohrmair. Wenig später meldeten sich die Kinder telefonisch bei ihren Vätern, dass sie nicht mehr auf ihre Mail-Konten zugreifen können. Unbekannte hatten die Konten gehackt und im Namen der Kinder die Nachrichten verschickt. „Den Bankvorständen sollten so Spionageprogramme auf die Computer geschmuggelt werden.“
Aber Wirtschaftsspionage und -sabotage gehen noch einfacher. Oft reicht schon eine Suchmaschine im Internet, um anfällige Firmen zu entdecken. „Viele Unternehmen haben die Wartung ihrer Rechner und Steuerungsanlagen an externe Dienstleister ausgelagert“, sagt Rohrmair. Wenn es Probleme gibt, greifen die Spezialisten aus der Ferne auf die betroffene Anlage zu. Das spart Reisekosten – aber öffnet auch Spionen einen Zugang. Wer die Namen der weit verbreiteten Anlagen kennt, kann sie im Netz suchen und muss dann nur noch prüfen, ob der Zugang zu ihnen gesichert ist. „Gerade kleinere Firmen sind sich dieser Risiken nicht bewusst“, fürchtet der 36-Jährige.
Nur eine von 1000 Attacken wird angezeigt
Wie viele Unternehmen Cyber-Angriffen bereits zum Opfer gefallen sind, ist offiziell nicht bekannt. „Grundsätzlich werden Informationen über IT-Sicherheitsvorfälle, über die wir Kenntnis erlangen, streng vertraulich behandelt“, wiegelt BSI-Sprecher Griese ab. Hinzu kommt: Viele Betroffene ahnen nicht einmal, dass sie schon im Visier von Hackern standen – oder sie verschweigen es.
Nur eine von 1000 Attacken, so schätzen Experten, wird überhaupt angezeigt. Oft ist Angst vor einem Imageschaden oder vor Regressforderungen der Grund. Auch deshalb fordert Innenminister Herrmann eine Meldepflicht für Cyber-Angriffe auf Betreiber wichtiger Infrastruktur-Einrichtungen. „Wenn die Steuerung eines Kernkraftwerks attackiert wird oder wegen eines Cyber-Angriffs ein großflächiger Stromausfall droht, muss der Staat das wissen.“
Angriffe auf Kernkraftwerke, Wasserversorgung und großflächige Stromausfälle: Auch solche Horror-Szenarien – beschrieben etwa 2012 im Bestseller „Blackout“ von Marc Elsberg – werden immer wieder diskutiert. Kein Wunder: „Wenn in Deutschland der Strom ausfällt, und das ist sicher machbar und untersucht, dann haben wir innerhalb von fünf Tagen einen Bürgerkrieg“, warnte schon 2010 der IT-Sicherheitsforscher Hartmut Pohl im Deutschlandradio. Denn ohne Strom gebe es kein Benzin an Tankstellen, kein Geld aus Geldautomaten und keine Lebensmittel in den Supermärkten.
Cyber-Angriffe: "Vieles denkbar und vorstellbar"
Doch wie wahrscheinlich sind solche Angriffe? Einer Antwort weicht man beim Bundesamt für Sicherheit in der Informationstechnik aus. „Was Szenarien angeht, so ist vieles denkbar und vorstellbar, aber auch mit Spekulation verbunden“, sagt Sprecher Griese nur. Konkreter wird da Fachmann Rohrmair. „Möglich ist fast alles“, ist er überzeugt. Zwar sei die Energie-Infrastruktur etwa bei Stadtwerken in der Regel „relativ gut abgesichert“. Umso gefährlicher wäre aber der sogenannte Dominoeffekt: Ein Angriff irgendwo in der europaweit eng vernetzten Stromversorgung könnte reichen, auch Versorger bei uns in Mitleidenschaft zu ziehen.
In ihrem Büro in der Haunstetter Straße diskutieren die Augsburger Sicherheitsexperten der HSASec solche Szenarien immer wieder. Und sie kommen immer wieder zu einem Schluss, wie Professor Rohrmair sagt: „Wir brauchen mehr Bewusstsein für diese Risiken.“
Mehr zumindest als die Betreiber der Zahnradbahn in Frankreich. Die wurden schon vor Monaten von den schwäbischen Wissenschaftlern über die Sicherheitslücke in ihrer Anlage informiert. „Unternommen“, sagt Roland Koch, „haben sie bisher nichts.“