Im vergangenen Sommer schlugen Experten Alarm: Ein Computervirus von bis dahin ungekannter Komplexität hatte einen Rechner im Iran infiziert – dabei gehörte der zu einer streng gesicherten industriellen Anlage und war überdies gar nicht mit dem Internet verbunden. "Stuxnet", wie die Schadsoftware bald genannt wurde, war vermutlich über einen USB-Stick eingedrungen und hatte sich unbemerkt über Monate im gesamten System verbreitet – immer auf der Suche nach bestimmten programmierbaren Steuerungen, um die von diesen geregelten Prozesse zu manipulieren. In diesem Fall galt das Interesse vermutlich den Tausenden von Ultrazentrifugen, mit denen das für Atomkraftwerke, aber auch für Kernwaffen benötigte seltene Uranisotop ²³⁵U aus Uranerz gewonnen wird.

Normalerweise rotieren solche Zentrifugen so schnell, dass sich ihre Ränder knapp unter der Schallgeschwindigkeit bewegen. Einem Bericht des US Institute for Science and International Security vom Dezember 2010 zufolge sorgte Stuxnet aber dafür, dass sie auf Überschallgeschwindigkeit beschleunigten; gleichzeitig sandte es falsche Daten an Überwachungssysteme. So schalteten diese die Zentrifugen nicht ab, worauf deren Rotoren zerbrachen. Laut dem Bericht mussten in der Anreicherungsanlage in Natanz etwa 1000 Zentrifugen ersetzt werden.

Das Virus hat der Welt vor Augen geführt, dass industrielle Anlagen das Ziel von Hackern sein können – und wie wenig Sicherheitsexperten darauf vorbereitet sind. Tatsächlich verstehen viele unter "Cybersecurity" eher Maßnahmen, die das Eindringen von Hackern und Viren in Rechnernetze und Datenbanken typischer Büroumgebungen verhindern sollen. Besondere Sorge bereitet die Versorgungsinfrastruktur, von der moderne Staaten existenziell abhängig sind. Ohne den Teufel an die Wand malen zu wollen: Es ist sehr viel einfacher, ein Stromnetz lahmzulegen als eine Anlage zur Anreicherung von Kernbrennstoffen.

Ein Stromnetz besteht aus tausenden miteinander über Daten- und Steuerleitungen verknüpften Einheiten, die genau aufeinander abgestimmt arbeiten. Versagt eine Komponente, wirkt sich das im Allgemeinen nur auf einen Teil des Netzes aus. Ein gezielter Cyberangriff auf neuralgische Knotenpunkte könnte hingegen ein ganzes Land treffen. Historische "Blackouts" wie der am 14. August 2003, bei dem die Nordostküste der USA und Teile Kanadas ohne Strom waren, haben sehr deutlich gezeigt, dass das durchaus eine Option ist. Solch einen Schlag durchzuführen, würde zwar erhebliche Zeit und Kenntnisse erfordern, wie sie terroristische Gruppen wie El Kaida selbst nicht besitzen, doch diese könnten kriminelle Hacker anheuern. Stuxnet war bis dato das komplexeste Computervirus – mancher glaubt, Geheimdienstspezialisten hätten es entwickelt, um ein mutmaßliches iranisches Programm zur atomaren Aufrüstung zu torpedieren. Mittlerweile ist der Kode im Internet frei zugänglich und könnte in modifizierter Form auf ein neues Ziel gerichtet werden.

Der Zufall wollte es, dass etwa zur Zeit der Entdeckung von Stuxnet ein Experiment stattfand, das einen Cyberangriff auf das US-amerikanische Stromnetz simulierte. Vertreter von Stromversorgungsunternehmen und Regierungsbehörden sowie des Militärs nahmen daran teil – schließlich nutzen auch Militärbasen Strom aus dem allgemeinen Netz. In der Simulation drangen Hacker in die Elektronik mehrerer Umspannwerke ein. Ihr Angriffsziel waren spezielle Systeme, welche die Spannung in den Leitungen konstant halten. Diese stellten sich als Achillesferse heraus: Hätte die Attacke wirklich stattgefunden, wäre ein halbes Dutzend solcher Geräte zerstört worden – und ein ganzer Bundesstaat für mehrere Wochen ohne Elektrizität gewesen.

Elektronische Intelligenz steuert heutzutage sämtliche Abläufe im Energienetz, von den Generatoren der Kraftwerke über die verschiedenen Stufen der Stromverteilung (siehe Grafik) bis zu jenen Transformatoren, welche die Spannung auf das Niveau der zu den Häusern führenden Leitungen absenkt. Die meisten dieser Rechner verwenden gängige Betriebssysteme wie Windows oder Linux – obwohl sie spezialisiert und keine Universalcomputer wie handelsübliche PCs sind. Das macht sie angreifbar: Stuxnet schlüpfte durch Windows-Schwachstellen von einem USB-Stick auf den Rechner.

Aus diesem Grund sind Kommunikationsnetze, die Anlagen der Stromversorgung miteinander verknüpfen, nach Angaben der Unternehmen nicht mit dem Internet verbunden, sondern in sich geschlossene Systeme. Doch selbst wenn das strikt erfüllt ist – und es gibt durchaus Hinweise, dass dem nicht immer so ist –, bleiben genügend Möglichkeiten, sich Zugang zu verschaffen.

Zugang via Modem oder WLAN

Ein Angreifer könnte zum Beispiel ein Umspannwerk anvisieren. Dort befinden sich die elektronischen Schutzgeräte, die im Notfall Stromleitungen unterbrechen. In den USA sind diese Geräte mit Telefonmodems ausgerüstet, damit die Techniker sie von einem fernen Leitstand aus warten können. Es ist nicht schwer, die zugehörigen Nummern herauszubekommen. Schon vor 30 Jahren schrieben Hacker die ersten Programme, die alle Telefonnummern innerhalb eines Vermittlungsbereichs anwählen und registrieren, bei welchen ein Modem mit seinem unverkennbaren Signal antwortet. Ohne einen guten Passwortschutz könnte sich ein Angreifer Zugang verschaffen und die Schutzgeräte neu konfigurieren, so dass sie in einer Gefahrensituation nicht aktiv würden.

Auch die Verbreitung von WLANs – also Funknetzen kurzer Reichweite – zur internen Kommunikation und Steuerung in amerikanischen Umspannwerken bietet Terroristen Möglichkeiten. Zwar sollten Passwörter beziehungsweise Verschlüsselung einen Zugriff Unbefugter verhindern. Gelingt es aber, diese Sperre zu überwinden, stehen alle Optionen zur Verfügung, die Hacker für das Internet bereits entwickelt haben. So ließe sich beispielsweise ein Man-in-the-Middle-Angriff ausführen, bei dem die Kommunikation zwischen zwei Geräten über den Computer des Hackers umgeleitet und dort von ihm manipuliert wird. Die fremde Maschine könnte sich zudem als Teil des Netzwerks ausgeben und ihrerseits falsche Befehle und Daten einspeisen. Auch ein Virus wäre auf diesem Weg leicht zu platzieren.

Und es gibt sie doch – die Schnittstelle zum Internet

Eine im Internet bei inzwischen gut 60 Prozent aller Angriffe eingesetzte Technik beruht auf Skripten genannten kurzen Programmen, die in andere Dateien eingebettet sind. PDF-Dokumente etwa enthalten dergleichen immer, beispielsweise um ihre Darstellung auf einem Bildschirm zu unterstützen. Ein Hacker könnte sich zunächst Zugang zu der Internetseite eines Softwareherstellers verschaffen und ein dort als PDF hinterlegtes Handbuch durch ein "infiziertes" ersetzen. Durch eine fingierte E-Mail dazu aufgefordert, lädt ein Kraftwerksingenieur es dann auf seinen Rechner. Wird das Skript beim Öffnen des Dokuments ausgeführt, würde es sich bei nächster Gelegenheit auf einem USB-Stick installieren und sich so weiterverbreiten.

Theoretisch könnten Hacker sogar via Internet in die gut geschützten, mit Planung und Finanzen befassten Geschäftsbereiche eindringen. Deren Aufgabe ist es unter anderem, auf Onlineauktionen die Strommengen auszuhandeln, die produziert werden sollen. Um fundierte Entscheidungen zu treffen, benötigen die Mitarbeiter Echtzeitinformationen vom technischen Bereich; umgekehrt brauchen auch die Techniker Vorgaben. Diese notwendige Verbindung macht das Unternehmen jedoch angreifbar: Ein Hacker könnte in das Geschäftsnetzwerk eindringen, dort Benutzernamen und Passwörter ausspionieren und sich anschließend mit diesen Informationen Zugang zum technischen Bereich verschaffen – bis zu den Steuerungssystemen.

Was dann geschehen kann, demonstrierte 2007 das Department of Homeland Security unter dem Kodenamen "Aurora" im Idaho National Laboratory, einer mit dem US-Energieministerium verbundenen Forschungseinrichtung. Ein Wissenschaftler hackte sich in ein Netzwerk, das mit einem Stromgenerator verbunden war, wie es Tausende davon im Land gibt. So genannte Schutzgeräte – tatsächlich recht anspruchsvolle elektronische Schaltungen – sollen Überlastungen des Stromnetzes verhindern. Indem der Angreifer diesem in rascher Folge An-/Aus-Befehle schickte, gelang es ihm, den Generator aus dem Takt zu bringen: Der ins Netz eingespeiste Wechselstrom war dadurch zu dem bereits im Netz vorhandenen phasenverschoben. Eine Videoaufnahme zeigte, dass die schwere Maschine zitterte; Sekunden später füllten Dampf und Rauch den Raum.

Schutzgeräte verrichten auch in Umspannwerken ihren Dienst. Diese Einrichtungen empfangen den Strom aus den Kraftwerken, synchronisieren die Wechselströme, reduzieren die Spannung und verteilen den Strom auf die vielen Leitungen zur lokalen Versorgung. Dabei überwachen Schutzgeräte jedes einzelne Kabel, um die Verbindung bei einer Störung sofort zu trennen. Der Strom fließt dann durch die übrigen Leitungen. Läuft das Netz aber bereits an der Kapazitätsgrenze, kann ein Cyberangriff, der zum Ausfall einiger Leitungen führt, eine Überlastung der anderen zur Folge haben. Genau das geschah im August 2003 in den USA (siehe Bild), aber auch im November 2006 in Europa: Weil der Energieversorger E.ON eine Hochspannungsleitung in Norddeutschland zu einem Zeitpunkt abschaltete, als Windräder große Mengen Strom ins Netz speisten, wurde eine Übergabestelle zum RWE-Netz überfordert. Schutzgeräte schalteten die Leitungen ab. Der Effekt pflanzte sich im europäischen Verbundnetz bis nach Spanien fort, und bis zu zehn Millionen Haushalte waren ohne Strom.

Statt eine Leitung abzuschalten, um andere zu belasten, könnte ein Angreifer auch einen Generator dazu bringen, zu viel Energie zu erzeugen. Zusätzlich könnte ein Virus manipulierte Spannungs- und Temperaturwerte an die zuständige Leitwarte senden, so dass die Techniker in Unkenntnis der Probleme bleiben. Letzteres ließe sich zudem mit einer Denial-of-Service-Attacke erreichen: Mit Hilfe eines so genannten Botnetzes, eines Netzwerks aus tausenden PCs, die ohne Wissen ihrer Besitzer von Hackern kontrolliert werden, würde die Leitwarte mit einer derartigen Masse von Anfragen überflutet, dass auch der Informationsfluss zu dem eigentlichen Angriffsziel, dem Umspannwerk, zum Erliegen käme. Laut einer Studie der Pennsylvania State University und des National Renewable Energies Laboratory würde schon der Ausfall von 200 gut ausgewählten Umspannwerken – das entspricht etwa zwei Prozent – 60 Prozent der Strominfrastruktur in den USA zum Erliegen bringen.

Vertrauen ist gut, prüfen ist besser

Angesichts solcher Bedrohungen hat die North American Electric Reliability Corporation (NERC), eine Dachorganisation der Netzbetreiber in den USA, eine Reihe von Standards herausgegeben, um kritische Infrastrukturen besser zu schützen. Umspannwerke müssen jetzt ihre wichtigen Anlagen bei der NERC registrieren, Inspektoren überprüfen dann deren Schutzmaßnahmen. Technische Einzelheiten werden aber meist nur stichprobenartig genauer erhoben. Das betrifft auch das wichtigste Verteidigungselement: die Firewall, die alle elektronischen Nachrichten überwacht, passieren lässt oder abblockt. Ein Gutachter überprüft daher unter anderem, ob alle Firewalls eines Umspannwerks korrekt konfiguriert sind. Typischerweise wählt er dazu einige wichtige Systemkomponenten aus und sucht nach Schlupflöchern, wie diese trotz der Firewall zu erreichen wären. Unser Team an der University of Illinois in Urbana-Champaign hat zu diesem Zweck das Network Access Policy Tool entwickelt; eine frei verfügbare Software, die anhand der Konfigurationsdateien automatisch noch unbekannte oder längst wieder vergessene Wege durch den Abwehrschirm ermittelt.

Das Department of Energy (DoE) verlangt, die Sicherheit der Stromnetze bis spätestens 2020 zu verbessern. Insbesondere soll jeder Angriffsversuch sofort erkannt werden – Stuxnet wäre blockiert worden, als es sich vom USB-Stick aus im System installierte. Aber wie lässt sich ein vertrauenswürdiges Programm von anderen unterscheiden?

Viele Experten sehen so genannte Hash-Funktionen als Lösung an. Diese bilden aus einer großen Zahl eine viel kleinere. Beispielsweise besteht der Kode der auf den Prozessrechnern laufenden Programme aus Millionen Nullen und Einsen. Daraus ergäbe sich eine Signatur, die allein schon wegen der Größe der Software kaum identisch mit der eines zweiten Programms sein dürfte. Was immer danach begehrt, auf einem Rechner gestartet zu werden, müsste zunächst den Test durchlaufen. Das Ergebnis der Hash-Funktion würde mit einer Liste aller legitimen Signaturen verglichen. Falls keine Übereinstimmung auftaucht, wäre der Angriff beendet, bevor er richtig anfangen konnte.