Geh@ckt E-Book

Michael George

Geh@ckt

Wie Angriffe aus dem Netz uns alle bedrohen. Ein Agent berichtet

Rowohlt E-Book

Inhaltsübersicht

Einleitung

Belegt. Das Kartentelefon war immer noch belegt, dabei wollte ich nur kurz zu Hause anrufen und Bescheid geben, dass ich gut in der Schule angekommen war. Es war nicht irgendeine Schule, sondern die des deutschen Bundesnachrichtendienstes. Für eine fünfzehnköpfige Gruppe junger Menschen sollte ein neuer Lebensabschnitt beginnen. Ich war einer von ihnen und hatte offenbar als Letzter den Münzfernsprecher entdeckt, denn die Schlange war lang gewesen, bis ich an der Reihe war.

Mobiltelefone gab es Anfang der Neunziger noch nicht. Zumindest nicht solche, wie wir sie heute kennen. Damals hießen sie Portys, waren in Kofferräumen von Nobelkarosserien installiert und konnten bei Bedarf herausgenommen werden, um andere zu beeindrucken oder um tatsächlich ab und zu mit ihnen zu telefonieren.

Inzwischen sind wir weitgehend digitalisiert. Dennoch: In den Dienstgebäuden der deutschen Nachrichtendienste hat sich wenig verändert. Handys findet man dort noch immer nicht, denn die Mitnahme privater Geräte ist aus guten Gründen verboten. Mit Hilfe der digitalen Wegbegleiter ließen sich ansonsten unbemerkt Fotos machen, Gespräche aufzeichnen und in Windeseile über das Internet verschicken. Schlimmer noch, sie könnten aus der Ferne zu Wanzen umfunktioniert werden, ohne dass Benutzer etwas davon mitbekommen. Immer und überall vernetzt und online zu sein hat eben auch unter Spionen seine Nachteile.

So weit die offizielle Variante. In Wirklichkeit wimmelt es in den Gängen der Dienste nur von Privatgeräten, die sich unauffällig unter die Menge der dienstlich bereitgestellten Mobiltelefone mischen. Das Problem ist, dass sich Regeln, die sich mit reinen Verboten gegen neue Technologien richten, auf Dauer nur mit Hilfe von unnachgiebigen Kontrollen durchsetzen lassen, letztlich aber immer unterlaufen werden.

Anstelle zukunftsfeindlicher Schwarz-Weiß-Diskussionen über die neuen Technologien brauchen wir zukunftsorientierte Lösungen. Facebook, Twitter und E-Mails zu verbieten ist eine ebenso gute wie sinnvolle Empfehlung wie die, das Atmen einzustellen, weil die Luft verschmutzt sein könnte.

Aber genau darin liegen Krux, Dilemma und eine der größten Herausforderungen unserer Zeit. Die Welt der Computer und des Internets hat sich in einem solch atemberaubenden Tempo entwickelt, dass keine Zeit dafür übrig blieb, sich um Sicherheitsthemen zu kümmern. Funktionalität war stets oberstes Gebot. Im Bereich der Betriebssicherheit haben wir aus explodierenden Dampfkesseln des vorletzten Jahrhunderts gelernt und sie zum festen Bestandteil von Entwicklungen werden lassen. Im Bereich der Computersicherheit flog der erste Kessel mit der Aufschrift «digitale Privatsphäre» im Sommer 2013 in die Luft. Im Herbst erfuhren wir, dass selbst das Handy der Bundeskanzlerin betroffen war. Auslöser waren die Veröffentlichungen eines Mitarbeiters der amerikanischen Sicherheitsbehörde NSA, Edward Snowden.

In Anbetracht der digitalen Durchdringung unseres Alltags und der stetig wachsenden Abhängigkeit von Computern können wir uns weitere Betriebsunfälle im Bereich der Energieversorgung oder der Finanzwelt nicht mehr leisten. Ein langanhaltender Zusammenbruch oder Fehlfunktionen der Computersysteme würden uns zuerst in ein Chaos und dann ins Mittelalter zurückbefördern. Dummerweise versetzt das Fehlen grundlegender Sicherheitselemente Nachrichtendienste, Hacker, Ganoven und kriminelle Organisationen, politisch Andersdenkende oder Terroristen genau in diese Lage. Sie können Computer anzapfen, uns bestehlen und bedrohen, wie es noch nie der Fall war.

Diejenigen, die uns davor beschützen sollen, sind überfordert, rennen den Ereignissen hinterher oder spähen selbst aus. Die Medien sind voller Meldungen zu kleinen und größeren Explosionen. Doch die in diesem Zusammenhang stehenden Risiken werden nach wie vor unterschätzt und alle Warnungen ignoriert. Zu nebulös, zu virtuell und zu wenig konkret sind die Gefahren.

Dieses Buch ist weder wissenschaftlich noch technisch, noch beteiligt es sich an der Diskussion, ob wir uns aktuell vielleicht schon in einem Cyber-Krieg befinden. Es richtet sich nicht an Experten, sondern an Interessierte und bietet einen Blick hinter die Kulissen, einen Einblick in die Welt der Nachrichtendienste sowie einen Überblick dessen, was ich während meiner Tätigkeit für die Spionageabwehr aufseiten der Betroffenen immer wieder erlebt habe. Vielleicht bekommt der eine oder andere Leser ein Gefühl dafür, wie dringend wir uns um die digitale Sicherheit kümmern müssen.

Die Werkzeuge, um die Pulverfässer zu entschärfen, stehen uns bereits zur Verfügung. Wir müssen nur den Mut besitzen, Verantwortung für die Umsetzung an diejenigen zu übertragen, die noch gar nicht an der Reihe sind. Unseren Kindern, den ersten Digital Natives. Auch das ist bahnbrechend und bisher einmalig in der Geschichte.

Die Einblicke und Erfahrungen aus meiner Zeit bei den Nachrichtendiensten, unzählige Gespräche mit Experten sowie Reaktionen auf Vorträge und Artikel gaben mir die Vorlage zu diesem Buch. Die Themen sind nicht streng hierarchisch gegliedert, man kann die Kapitel auch einzeln lesen. Wer etwas überspringen möchte, kann das gefahrlos tun. Es später oder gar nicht zu lesen geht ebenso, wäre aber jammerschade.

1Der mögliche Ausnahmezustand

Es war Abend geworden in der bayerischen Gemeinde Berchtesgaden, inmitten der ersten Alpenausläufer. Jetzt, Anfang März 2011, waren die Felder und Wiesen immer noch schneebedeckt. Lange würde sich die weiße Pracht nicht mehr halten können, zu warm und zu kräftig war die Sonne in diesen Tagen geworden. Auf dem Parkplatz des Tagungshotels lagen zusammengeschobene Schneehaufen wie stumme Zeugen und glänzten im Licht der Straßenlaternen. Von hier aus konnte man die hellerleuchteten Konferenzräume sehen, die sich im Erdgeschoss des Hotels befanden. Hinter einer der Scheiben war eine Dame mit einem Mikrophon in der Hand zu erkennen. Offenbar sprach sie gerade zu den Gästen einer Tagung. Sie passte mit ihren kurzen blonden Haaren und ihrem dunkelblauen Kostüm perfekt in die Szenerie des gediegenen Fünf-Sterne-Hotels und zu den Gästen, die zweifelsohne allesamt Geschäftsleute zu sein schienen. Es war wohl Frau Talheim, die Moderatorin des Führungskräfteseminars, das in diesen Tagen im Hotel stattfand. Beim Näherkommen – ich war gerade eingetroffen und hatte eben erst eingecheckt – hörte ich durch ein offenes Fenster, wie sie dabei war, den rund siebzig Teilnehmern für deren Aufmerksamkeit und den Referenten des Tages für deren Vorträge zu danken:

«Nachdem mich einige von Ihnen vorhin schon gefragt haben, noch kurz etwas Organisatorisches: Wir treffen uns in einer knappen halben Stunde vor dem Hotel, also gegen 18.30 Uhr, und machen einen kleinen Spaziergang zu dem Lokal, in dem wir dann gemeinsam zu Abend essen werden. Der Weg ist nicht weiter beschwerlich und dauert kaum zwanzig Minuten. Möchte jemand von Ihnen lieber mit dem Auto fahren?»

Allgemeines Gemurmel, doch keiner der Anwesenden meldete sich.

«Okay, dann wie gesagt um halb sieben vor dem Hotel. Ach, und bitte, wir treffen uns in legerer Kleidung. Sie dürfen also Ihre Anzüge und Krawatten ruhig im Schrank lassen, falls Sie das möchten.» Einige Teilnehmer lachten, andere packten ihre Sachen zusammen. Wenig später verließen alle den Konferenzsaal.

Auf meinem Zimmer lockerte ich zunächst die Krawatte, dann holte ich mein Telefon aus der Innentasche meines Jacketts hervor. Ich war vom Veranstalter eingeladen worden, am nächsten Tag über die aktuelle Lage des Verfassungsschutzes zur Spionageabwehr zu berichten, immerhin hatte die deutsche Industrie seit einigen Jahren enorme Einbußen durch Wirtschaftsspionage und Know-how-Diebstahl zu verzeichnen. Die Angreifer bedienten sich dabei immer häufiger der Methode des elektronischen Datendiebstahls. Das war einfach. Die Systeme waren nicht ausreichend gesichert, und Firmenmitarbeiter gingen im Allgemeinen viel zu sorglos mit der IT-Sicherheit um, der Sicherheit ihrer Informationstechnik. Jeder der Tagungsteilnehmer kannte gewiss das Problem, aber offiziell war niemand betroffen. Das war gängige Praxis. Niemand wollte öffentlich über Hackerangriffe auf das eigene Unternehmen berichten oder gestehen, dass irgendwie auf andere Weise Daten verloren gingen. Dass viele Konzerne sehr wohl betroffen waren, wusste ich durch meine tägliche Arbeit. Seit Herbst 2008 war ich beim Bayerischen Landesamt für Verfassungsschutz für den Bereich Wirtschaftsschutz innerhalb der Spionageabwehr zuständig. Damals wäre ich nicht so weit gegangen, dem amerikanischen Sicherheitsexperten Dmitri Alperovitch zuzustimmen, als er die 2000 bedeutendsten Firmen in Deutschland in nur zwei Kategorien einordnete: «Jene, die wissen, dass Hacker in ihre Netze eingedrungen sind, und jene, die es noch nicht wissen.»[1] Heute erwische ich mich öfter dabei, wie ich ihm insgeheim recht gebe, denn in zu vielen Unternehmen brennt es schlicht und ergreifend lichterloh.

Ich setzte mich auf das Hotelbett und begann die Nachrichten der letzten Stunden zu lesen. Praktisch war das schon mit diesen Smartphones. SMS und Telefon war gestern. Jetzt gab es Internet, E-Mail, Facebook, Twitter und Google-Alerts, womit man sich stets auf dem Laufenden halten konnte. Seit einiger Zeit trug ich das Internet gleichsam immer mit mir herum. Für mich war das die wahre technische Revolution der ersten zehn Jahre nach der Jahrtausendwende. Ich musste nur darauf achten, nicht zum Informationsjunkie zu mutieren – diese Gefahr bestand bei mir.

Ich deaktivierte den Lautlos-Modus und blickte auf das Display. Was ich sah, erschreckte mich. Schon seit dem Morgen verfolgte ich die internationalen Schlagzeilen. Im Pazifik hatte ein Erdbeben ungefähr 380 Kilometer nordöstlich von Tokio einen Tsunami ausgelöst, dessen zehn bis fünfzehn Meter hohe Wellen im Laufe des Tages die Ostküste Japans erreichen sollten. Das Beben mit der Stärke 9,0 war das heftigste seit Beginn der Aufzeichnung 1872. An der Pazifikküste gelegene Atomkraftwerke in den betroffenen Präfekturen Miyagi und Fukushima würden sich bei einem Erdbeben automatisch abschalten, ließen Agenturen verlauten. Und in einer Ölraffinerie in der Stadt Chiba, nördlich von Tokio gelegen, sei ein großes Feuer ausgebrochen. Atomkraftwerke an der Meeresküste? Tsunamiwelle im Anrollen? Eine düstere Vorahnung über das, was noch kommen könnte, geisterte bereits den ganzen Tag durch meinen Kopf. Als ich nun die neuesten Meldungen las, schien sich die Situation dramatisch verschlimmert zu haben.

Wie sich herausstellte, waren die Kernkraftwerke zwar unmittelbar nach dem Beben tatsächlich abgeschaltet worden, mussten aber selbstverständlich weiter gekühlt werden. Dafür wurde Strom benötigt. Die normale Stromversorgung war aber mit dem Beben aufgrund mehrerer Schäden an den Schaltzentralen ausgefallen. Eine Notstromversorgung war sofort angesprungen, und sämtliche Reaktorblöcke hatten problemlos auf Notkühlung geschaltet, doch eine Dreiviertelstunde später war das Unfassbare geschehen: Eine monströse, dreizehn Meter hohe Welle erreichte das Kernkraftwerk von Fukushima und überflutete fünf der zwölf Notstromaggregate sowie die Stromverteilerschränke. Die überspülten Aggregate versagten bereits nach wenigen Minuten. Damit war die Kühlung der Reaktoren nicht mehr möglich. Es war nur noch eine Frage der Zeit, bis die Hitze zu Explosionen und zum Austritt von radioaktivem Material führen musste. Strom musste her – und zwar dringend. Verzweifelt versuchten Rettungskräfte mit Autobatterien die Zeit bis zum Eintreffen mobiler Generatoren zu überbrücken, doch der verfügbare Strom war wie der berühmte Tropfen auf dem heißen Stein. Die Helfer mit den ersehnten Generatoren erreichten das Werksgelände aufgrund der allgemeinen Katastrophenlage nur mit enormer Verzögerung oder gar nicht. Das atomare Desaster bahnte sich seinen Weg.

Die Ursache, die die Katastrophe in Japan eskalieren ließ, war letztlich die fehlende Stromversorgung. Wäre Strom vorhanden gewesen, hätte die Kühlung nicht ausgesetzt – und ein GAU wäre zu vermeiden gewesen. Strom ist – um ein Bild aus der Biologie unseres Körpers zu nehmen – das Blut jeder modernen Gesellschaft. Er transportiert Leben in unseren pulsierenden Alltag. Ein Alltag, der wiederum ohne Computer kaum mehr vorstellbar ist. Mit Computern und Sensoren werden täglich Tonnen von Daten produziert. Wenn Strom der Blutkreislauf moderner Gesellschaften ist, dann sind Daten das Nervensystem. Was würde geschehen, wenn Strom für längere Zeit ausfiele? Was, wenn dann Computer unsere kritische Infrastruktur nicht mehr steuern können?

Ich zog eine Jacke über und fand mich am vereinbarten Treffpunkt ein. Der Weg zu dem Restaurant war in Wirklichkeit noch kürzer, als von Frau Talheim angekündigt, und so saßen wir schon nach wenigen Minuten in einem rustikalen Restaurant, das an eine gemütliche Skihütte erinnerte, und stellten uns gegenseitig vor. Vier weitere Personen hatten sich um den runden Tisch platziert, an dem ich mich niedergelassen hatte, eine kannte ich bereits. Thomas Grundheim arbeitete bei einem großen deutschen Energieversorger und war als IT-Sicherheitsspezialist für die «Information Security» zuständig. Vielleicht wusste er, was geschehen würde, wenn der Strom bei uns längere Zeit ausfiele. Ich fragte ihn direkt.

«Wahrscheinlich herrscht dann ein Ausnahmezustand», meinte Grundheim ganz unverblümt und blickte dabei so belanglos in die Runde, als hätte er erwähnt, dass das Wetter am nächsten Tag schlechter werden würde.

Wie bitte?, dachte ich. Wir steuern gerade aufgrund eines Stromausfalls auf die größte atomare Katastrophe der Geschichte zu, und der Herr Spezialist spricht von Ausnahmezustand in Deutschland, als wenn es um die Bestellung einer Weißweinschorle geht?

Als er dann doch merkte, was er da gerade gesagt hatte, beeilte er sich, seine Aussage abzuschwächen: «Aber die Stromnetze hierzulande sind sicher. Da müssen wir uns keine Sorgen machen.» Grundheim spürte, dass das Gesagte seine Wirkung verfehlte und nach Norbert Blüm und dessen Versprechen zu sicheren Renten auf dem Bonner Marktplatz klang. Aber er gab sein Bemühen, uns zu beruhigen, nicht auf.

«Im Innersten eines Kernkraftwerks», fuhr er fort, «wird im Verhältnis noch immer sehr viel mit großen Hebeln geregelt, mehr als mit kleinen Computern. Da gibt es noch viel Mechanik und wenig Elektronik. Wir fürchten eigentlich nicht so sehr einen Angriff oder einen Ausfall eines großen Kraftwerks.»

«Was dann?», wollte ein Maschinenbauingenieur wissen, der ebenfalls mit am Tisch saß.

«Was uns derzeit sehr beschäftigt, ist die Zukunft der Stromnetze.»

«Die Zukunft?» Der Ingenieur war hartnäckig. «Und hatten Sie eben nicht gesagt, dass die Stromnetze bei uns sicher sind?»

«Ja, das stimmt schon …» Grundheim zögerte, schien sich nicht wirklich festlegen zu wollen. «Das Wichtigste am Stromnetz ist, dass die Menge an Strom, die in das Netz eingespeist wird, in etwa der Menge entspricht, die nachgefragt wird. Nur durch kontinuierliche Einspeisung beziehungsweise Entnahme von Strom kann die notwendige Frequenz von 50 Hertz gehalten werden. Wird zu wenig Strom erzeugt oder zu viel nachgefragt, und die Frequenz sinkt unter 47,5 Hertz, werden die Kraftwerke automatisch abgeschaltet. Ein Blackout wäre die Folge. Haben Sie sich schon einmal gefragt, was geschehen würde, wenn der Strom für längere Zeit ausfiele?»

Noch niemand am Tisch hatte sich mit dieser Frage bisher wirklich auseinandergesetzt.

«Zugegebenermaßen ist die Wahrscheinlichkeit eines großflächigen und langandauernden Stromausfalls derzeit recht gering», erklärte Grundheim weiter. «Aber nicht undenkbar. Die Folgen wären dramatisch.»

«Also doch», konstatierte der Ingenieur, ein Mann von Anfang fünfzig, mit scharfgeschnittenen Gesichtszügen und lebendigen Augen.

Grundheim ließ sich nicht beirren, sondern setzte seine Ausführungen fort: «Untersuchungen haben ergeben, dass wir uns nach etwa achtundvierzig Stunden am Rande des Chaos befänden, zu stark ist mittlerweile die Abhängigkeit von Elektrizität. Zuerst steigt die Belastung der Mobilfunknetze. Die Menschen wollen wissen, was los ist, jedoch ohne Erfolg. Nach circa zwei Stunden brechen die ersten Mobilfunkstationen unter der Last und der mangelnden Notstromversorgung zusammen, nach etwa sechs Stunden das komplette Netz. Zwar funktionieren die Leitstellen von Polizei, Feuerwehr und THW, dem Technischen Hilfswerk, allerdings sind sie nicht mehr erreichbar. Das Rettungswesen ist deshalb stark eingeschränkt. UMTS-gestütztes Internet fällt nach rund sechs Stunden komplett aus. Haushalte können Kommunikationswege wie Handy, E-Mail und Internet nicht mehr nutzen. Endgeräte wie Router, DSL-Modems oder ISDN-Anlagen funktionieren ohnehin seit Beginn des Stromausfalls nicht mehr. Der Verkehr bricht zusammen. Züge, U- und S-Bahnen sowie Straßenbahnen bleiben stehen. Die Menschen darin und ebenso in Aufzügen werden evakuiert. Die Wasserversorgung sowie Abwasserentsorgung können aufgrund der notstrombedingten geringeren Leistung der Wasserwerke allein bis in den dritten Stock der Gebäude gewährleistet werden. Allerdings auch nur für zwölf Stunden. Danach ist Schluss. Die Kraftstoffreserven der Wasserwerke sind dann erschöpft, und die Wasserversorgung ist nicht mehr gewährleistet. Ebenso die Abwasserentsorgung.»

Grundheim holte kurz Luft, bevor er mit seiner Darstellung des möglichen Unmöglichen fortfuhr: «Bereits nach achtundvierzig Stunden entsteht Seuchengefahr. Die Zapfsäulen der Tankstellen bleiben ohne Funktion, da die Pumpen zum Befördern des Kraftstoffs keinen Strom haben. Die Lebensmittelversorgung ist erheblich eingeschränkt, da weder Logistik noch Kassensysteme ordnungsgemäß ablaufen können. Bankautomaten sind außer Betrieb. Da wir nicht an Dunkelheit gewöhnt sind, häufen sich Unfälle auf den Straßen. Krankenhäusern fehlt spätestens nach achtundvierzig Stunden jeglicher Strom, sie sind von Beginn an überlastet und können einzig Basisdienste leisten. Apotheken und Arztpraxen bleiben geschlossen, ebenso Dialysezentren. Das Bankenwesen kommt zum Erliegen, überhaupt versagt unser Finanzwesen.»[2]

Wir waren geplättet. Denn sosehr Grundheim abermals versuchte, uns zu versichern, dass diese Szenarien eher unwahrscheinlich seien, so sehr hatte er es geschafft, uns völlig zu überfahren. Er war zwar Experte in seinem Fach, aber definitiv kein talentierter Motivationstrainer.

«Ich muss gerade an meinen Großvater denken», sagte Marion Braun mit gedämpfter Stimme. Die brünette Mittvierzigerin war Personalchefin eines großen Automobilzulieferers. «Das Pflegeheim, in dem er liegt, ist sicher nicht notstromversorgt, und mein Großvater wird laufend beatmet. Daran hatte ich noch nie gedacht.» Betroffen sah sie zu Grundheim hinüber.

Der nickte. «Das ergeht den meisten so», sagte er. «Leider. Elektrizität ist die Achillesferse unserer modernen Gesellschaft, deshalb sind Netzstabilität und -sicherheit die großen Herausforderungen der Zukunft. Im Moment wird Strom überwiegend von den Versorgern und den großen Kraftwerken produziert. Das ist relativ einfach steuerbar. Aber die Entwicklung geht zu den erneuerbaren Energien wie Wind und Solar. Beide garantieren keine gleichmäßigen Stromlieferungen. Mal gibt es viel Sonne, mal wenig. Mit dem Wind verhält es sich genauso. Aber selbst bei viel Wind und Sonne kann überflüssiger Strom derzeit so gut wie nicht gespeichert werden. Es existieren zwar Pumpspeicherwerke, Kondensatoren, Spulen und Akkus, aber die sind nicht für eine langfristige Speicherung geeignet, sondern liefern eher kurzfristigen ‹Überbrückungsstrom›.

Außerdem wächst die Zahl der kleinen Erzeuger, die an das Netz angeschlossen werden. All das muss koordiniert werden und funktioniert nicht mehr ohne Computer. Was man künftig für ein stabiles Netz benötigt, sind computergestützte intelligente Energiemanagementsysteme – ein Smart Grid.»

Die Personalchefin sah etwas skeptisch in die Runde.

«Ein Smart Grid?», wiederholte sie.

«Genau», antwortete Grundheim, «ein intelligentes Netz. Die künftige Komplexität des Stromnetzes wird sich nur über intelligente Computersteuerungen regeln lassen. Dazu erhält jeder Haushalt einen neuen Stromzähler, ein sogenanntes Smart Metering System. Die intelligenten Stromzähler sind in der Lage, aktuelle Verbrauchswerte zu erfassen und an den Versorger zu übertragen. Der Versorger kann wiederum über einen direkten Abrechnungsmodus minutengenau den Strompreis an die verfügbare Menge anpassen und damit ein bestimmtes Nachfrageverhalten erzeugen. Herrscht zum Beispiel ein Überangebot an Strom bei viel Wind im Norden der Republik, signalisiert der Energieversorger dem Kunden über ein grünes Licht, dass Strom derzeit besonders günstig ist, und schafft damit einen Nachfrageimpuls, der wiederum zur Netzstabilität beiträgt. Oder umgekehrt. Bei zu wenig Strom im Netz leuchtet ein rotes Licht – und Strom ist in dem Moment teuer. Vielleicht kann man sich irgendwann auch den Umweg über ein solches Ampelsystem sparen und spricht die Haushaltsgeräte direkt über eine Internetschnittstelle an.»

Grundheim war ein Phänomen. Je mehr er den Versuch unternahm, uns zu beschwichtigen, desto schlimmer wurde es.

«Waschmaschinen, Trockner und Kühlschränke mit Netzwerkverbindung? Das wäre dann ja wirklich das Internet der Dinge!», bemerkte der Ingenieur.

«Wobei wir beim eigentlichen Problem wären», fügte ich hinzu und sah zu Grundheim hinüber, der einem fast schon leidtun konnte.

«Noch ein Problem?», fragte Marion Braun lakonisch in meine Richtung, als ob für heute nicht schon genügend Schwierigkeiten zur Sprache gekommen waren.

«Leider ja», ergänzte ich. «Viele Menschen denken, dass mit den erneuerbaren Energien die Sicherheit der Stromversorgung sinkt, was nicht der Fall ist. Nur die Steuerung des Netzes wird komplexer. Eine höhere Komplexität des Netzes führt aber nicht zu weniger Versorgungssicherheit. Vielleicht sogar im Gegenteil. Mehrere kleine Betreiber und mehr dezentrale Einspeisung können sogar für mehr Sicherheit sorgen. Das Problem liegt an anderer Stelle. Für die komplexe Vernetzung brauchen wir Computersysteme. Die Frage, die sich stellt, ist: Wie sicher sind diese, und was wird wie und womit vernetzt? Noch vor einiger Zeit beschränkten sich die Angriffe mit Viren, Würmern und Trojanern auf klassische Computersysteme von Privatanwendern, Unternehmen oder staatlichen Einrichtungen. Mittlerweile sind ganz andere Systeme mit dem Netz verbunden. Bankautomaten, Smartphones, Telemedizin, automatisierte Industrieanlagen, Alarmanlagen, Kassensysteme, Vessand- und Bestellsysteme, Steuerungsanlagen für Ampeln, Gebäudetechnik wie Aufzüge und so weiter und so weiter. Herr Grundheim hatte das Szenario ja schon recht eindrucksvoll geschildert. Und theoretisch sind alle angreifbar. Praktisch meist ebenfalls.

Das Problem beim Datenaustausch ist, dass er in beide Richtungen funktioniert. Geräte senden nicht nur, sondern sie ‹hören› auch aufmerksam zu. Man kann ihnen also sagen, was sie tun sollen. Hacker machen genau das, indem sie versuchen, mit den Geräten, die ansprechbar sind, zu reden. Es klingt nach phantastischem Fortschritt, wenn man ein Wasserwerk über das Internet fernwarten oder gar fernsteuern kann. Dumm nur, wenn dies ein Hacker tut.»

Marion Braun schüttelte den Kopf, als wollte sie das eben Vernommene nicht wahrhaben. «So etwas ist wirklich möglich?», fragte sie dann.

«Ja, und in vielen Fällen ist es zudem kinderleicht. Oft genug muss man nicht einmal Sicherheitseinstellungen überwinden, um in Anlagen einzudringen. Viele stehen zugriffsbereit im Netz. Über Suchmaschinen wie Shodan kann inzwischen nahezu jeder ungesicherte Industriesteuerungsanlagen aufspüren und fernsteuern. Jetzt schon. Wenn also Stromnetze künftig noch komplexer werden und immer mehr Computer zur Steuerung eingesetzt werden, muss dringend etwas für deren Sicherheit getan werden. Sichere Computer hätten die Atomkatastrophe in Japan zwar nicht verhindert, aber unsichere könnten eine ähnlich fatale Kraft entwickeln wie die dreizehn Meter hohe Welle von Fukushima.»

«Aber wer könnte an so etwas ein Interesse haben?», hakte der Maschinenbauer nach.

«Jeder, der Ihnen so einfällt», erwiderte ich. «Versuchte Erpressung durch Kriminelle, Egoerweiterung für ambitionierte Script-Kiddies, politisch motivierte Hacktivisten, Leute, die Geheimdienstoperationen wie im Fall des Computerwurms Stuxnet durchführen, oder Extremisten, die Terroranschläge planen und auf diese Weise realisieren wollen. Die Amerikaner sagen dazu: «You name it, we have it! – Sie nennen es, wir machen es möglich.» Es wird immer Menschen geben, die einen Grund für einen Angriff haben. Und wenn es nur der ist, um öffentlichkeitswirksame Auftritte zu haben, wie beispielsweise bei den Aktionen von LulzSec, einer Internet-Gruppierung, die eine Art Spaßguerilla ist. Früher konnte man noch klar zwischen Spionage, Sabotage und Kriminalität unterscheiden. Heute sind diese Dinge oft nur einen Mausklick voneinander entfernt. Eindeutige Hinweise zu Urheber, Motiv und Hintergrund sind in Zeiten moderner Computersysteme und deren Sicherheitslücken schwer zu finden, da alle Täter ähnliche Werkzeuge verwenden. Nachrichtendienste spielen in diesem Konzert fleißig mit, sind aber auch schwer zu identifizieren.»

Marion Braun blickte uns fragend an. «Das bedeutet also, wir sind abhängig von Computern und werden es wohl künftig durch globale Trends wie zum Beispiel die Energiewende noch mehr werden. Und Computer wiederum sind super verwundbar! Na prima. Und ich dachte immer, Computersicherheit sei nur was für IT-Nerds.» Sie schüttelte erneut mit dem Kopf.

Ich musste ihr beipflichten. «Das denken leider viel zu viele Menschen.»

Später, auf dem Weg zurück ins Hotel, vibrierte mein Handy wie schon mehrmals zuvor. Diesmal war es keine neue Nachricht, sondern nur der Hinweis auf die fehlende Stromversorgung und einen leeren Akku. Irgendwie passte an diesem Tag alles zusammen.

Nicht einmal vierundzwanzig Stunden später entschied die Bundesregierung als Reaktion auf die furchtbaren Ereignisse in Japan, alle siebzehn Atomkraftwerke in Deutschland einer Sicherheitsüberprüfung zu unterziehen. Die sieben ältesten schaltete man sofort ab. «Wir können nicht mehr zur normalen Tagesordnung übergehen», begründete die Bundeskanzlerin dieses Moratorium. Eine mutige, für viele Menschen überraschende, aber gute Entscheidung.

Meine Gedanken kreisten immer noch um das Gespräch des vorangegangenen Abends, denn in Bezug auf Computersysteme stehen wir vor vergleichbar großen Herausforderungen. Computer werden angegriffen. Tag für Tag. Ständig wiederkehrende Meldungen über verlorene Daten, über Sicherheitslücken und Hackerangriffe vermengen sich in einem zwar alarmistischen, aber dennoch kaum wahrgenommenen medialen Grundrauschen. Geheimdienste hacken sich längst durch unsere Netze und stehlen unsere Daten. Wie das geschieht und welche Tricks sie dafür verwenden, darauf komme ich noch zu sprechen. Die Frage, ob dabei auch Hintertüren eingebaut werden, stellt sich nicht, da unentdeckte Schadsoftware faktisch Hintertüren sind. Fest steht – und das ist das wirklich Alarmierende –, dass Computerschädlinge wie Stuxnet, Duqu, Flame, Mini-Flame und Mini-Duke sowie ganze Cyber-Operationen wie Shady RAT, GhostNet oder Roter Oktober immer erst nach Jahren entdeckt wurden und völlig unbemerkt auf unseren Computern wüten können. Trotz Antivirenschutz und Firewall. Das gemeinsame Ziel aller Angreifer: Spionage, Erpressung, Destruktion. Es sei kein fairer Krieg, wenn Angreifer Zugriff auf die Verteidigungswaffen hätten, bemerkte im Frühjahr 2012 der renommierte Chefanalyst von F-Secure, einem finnischen Anbieter von IT-Sicherheitslösungen, spezialisiert auf Computerviren. Was Mikko Hypponen damit meinte, war, dass Angreifer in aller Ruhe ihren Schadcode gegen die Sicherheitstools auf ihren eigenen Computern testen können und erst dann losschlagen, wenn sie davon ausgehen können, dass keine der «IT-Sirenen» mehr losheult. Was derzeit wirklich in unseren Netzen und auf unseren Computern geschieht, wissen wir nicht. Aber irgendwie müssen wir die Sicherheit über die Netze und Computer zurückerlangen. Das schulden wir unseren Kindern.

2Die digitale Nabelschnur – Spionage für jedermann

Im September 2010 kamen bei einer Gasexplosion in San Bruno, einem Vorort von San Francisco, Kalifornien, acht Menschen ums Leben. Achtunddreißig Häuser wurden völlig zerstört. Die Explosion riss ein acht Meter langes und 1500 Kilogramm schweres Teilstück einer Pipeline aus dem Erdreich und schleuderte es dreißig Meter weit. Dabei hinterließ es einen zwanzig Meter langen Krater. Nachdem der Gasaustritt gestoppt wurde, dauerte es weitere zwei Tage, bis die Feuerwehr den Brand löschen konnte. Die Ursache war ein Leck in einer Leitung. Das ausströmende Gas entzündete sich und führte zu der Katastrophe. Der Geheimdienstexperte und ehemalige Antiterrorberater der US-Regierungen Bush senior und Clinton, Richard Clarke, sprach von einem Computerfehler, der dafür verantwortlich war, dass ein Ventil geöffnet wurde.

Millionenfach verbaute Computer und Sensoren verleihen der digitalen Welt die Fähigkeit zu «hören», zu «spüren», zu «sehen» und sogar zu «schmecken». Unbemerkt und parallel fand neben der Informationsrevolution eine digitale Sensoren-Revolution statt. Sie verleiht ihr allerdings auch eine bisher nicht da gewesene Verwundbarkeit, denn seit Jahren nimmt die Zahl der Sicherheitslücken stetig zu. Noch nie gab es so viele Viren, Würmer und Trojaner wie heute. Daten werden gestohlen, Web-Shops erpresst und Infrastrukturen angegriffen. Politisch motivierte Hacker werden zu Hacktivisten und führen elektronische Sitzblockaden durch.

Durch die mehr und mehr geforderte Funktionalität und die sich daraus ergebende Komplexität sind Systeme heute vielfältiger angreifbar als noch vor wenigen Jahren. Angesichts der ständig weitergehenden Durchdringung aller Lebenssituationen mit IT werden auch die Angriffsmöglichkeiten stets vielfältiger. Dies gilt für alle Ebenen, also für Bürger wie Unternehmen, für den Staat und die Gesellschaft. Selbst Menschen, die gar keinen Computer besitzen, sind von unsicheren Computersystemen in ihrem Alltag betroffen; sie wissen es nur nicht. Das Problem dabei: Die digitalen Sicherheitsrisiken sind zu wenig konkret und zu unsichtbar, als dass sie ernsthaft wahrgenommen werden. Sie sind kein Zug, der einem direkt entgegenkommt, keine Krankheit, kein gefährliches Tier, das einen droht anzuspringen. Nichts Mechanisches wie das Fahrwerk eines Flugzeugs, wie ein platzender Reifen, eine reißende Kette oder eine atomare Katastrophe.

Zum anderen werden erfolgreiche Angriffe überhaupt nur selten bemerkt. Gestohlene Daten sind ja nicht weg, sie sind nur an anderer Stelle nochmals vorhanden. Angreifer kommen und gehen, als ob es keine Türen und Zäune gäbe. Das ist gefährlich, da es nicht nur um Daten, sondern ebenso um Maschinen geht. Werden Einbrüche aber nicht bemerkt und wird auch scheinbar nichts gestohlen, fällt es automatisch schwer, überhaupt an die Existenz eines Einbrechers zu glauben. Die Folge: Wir nehmen die Gefahr der Sicherheitslücken kaum wahr, ignorieren oder negieren sie, da wir keine Diebe ausmachen können.

Ein Beispiel: Für das abendliche Fernsehprogramm werden unzählige Computer benötigt, von der Produktion bis zur Ausstrahlung der Sendungen. Auch für den Empfang des digitalen DVB-T-Signals («Digital Video Broadcasting – Terrestrial»; erdgebundene Übertragungsfrequenzen) wird ein kleiner Computer benötigt, eine sogenannte Desktop-Box. Doch die Kette zugehöriger Rechner geht noch weiter. Die Fernseher selbst haben sich vom Röhrenfernseher zum superflachen LED-Bildschirm mit eigenem Betriebssystem entwickelt und werden inzwischen sogar mit Webcam, Mikrophon und Internetanschluss ausgeliefert. Solche Smart-TVs sind Fernseher und Computer in einem. Missbraucht man die Betriebssysteme der Geräte, werden die eingebauten Kameras zu Augen der Angreifer. Mit denen können sie anschließend in die Wohnräume und Schlafzimmer von ihren Opfern blicken. Eine Horrorvorstellung für viele von uns. Der koreanische Sicherheitsexperte Seung-jin Lee zeigte auf einer Sicherheitskonferenz im Frühjahr 2013 in Vancouver, dass dieses Szenario selbst im ausgeschalteten Modus des Fernsehapparats möglich ist.

Jetzt könnte man sagen, dass beim Betrachten einiger Facebook-Inhalte eine freiwillige Abkehr von einer Privatsphäre zu erkennen ist, und das ganz ohne gehacktem Smart-TV. Aber darum geht es nicht. Es geht vielmehr um die Sicherheit von privaten Kommunikationszentralen wie Handys, Tablets oder Laptops – und wie gefährdet dadurch hochentwickelte Rechtsgüter wie unsere Privatsphäre sind. Umgekehrt formuliert bedeutet dies: Es zeigt, wie abhängig wir von sicheren Computersystemen sind, wenn uns hochentwickelte Rechtsgüter etwas bedeuten. Wenn Smartphones angegriffen werden, sind rasch staatlich garantierte Grundrechte wie das Post- und Fernmeldegeheimnis betroffen. Gegen eine monatliche Gebühr von rund 15 Euro können aber problemlos Handygespräche belauscht, SMS mitgelesen oder Standorte verfolgt werden. Egal ob die des Nachbarn, des Ehepartners, eines Kollegen oder eines Konkurrenten. Das ist Spionage für jedermann, downloadbar aus dem Internet. Programme wie FlexiSpy werben mit der Aufdeckung von Seitensprüngen und existieren, weil es einen großen Markt für solche Produkte gibt. Sie werden innerhalb weniger Minuten installiert und sind kaum zu entdecken. Schuld daran sind unzureichende Sicherheitsmaßnahmen der Betriebssystemhersteller.

Neben der Integrität von Handys, Fernsehern, Smartphones und Laptops sind wir auch im Sinne ihrer Verfügbarkeit von ihnen abhängig. Die mobilen Helferlein, die im Jugendjargon gern auch als «Kommunikationskeulen» bezeichnet werden, sind heute ständiger Begleiter unseres Alltags. Mit ihnen werden Inhalte ins Internet gestellt, Telefongespräche geführt, es wird gechattet, getwittert, gemailt und gegamed. Sie verbinden sich per DSL (Digital Subscriber Line), ISDN (Integrated Services Digital Network), LTE (Long Term Evolution), UMTS (Universal Mobile Telecommunications System) oder GPRS (General Packet Radio Service) – in jedem Fall aber digital ins Netz. Fallen die Verbindungswege aus irgendwelchen Gründen aus, können wir nur noch örtlich begrenzt, das heißt von Angesicht zu Angesicht kommunizieren.

Bei einem Stromausfall wie im November 2012