Im Darmstädter Cyber-Sicherheitszentrum „Athene“ wird trainiert, wie man Erpresser-Software bekämpfen kann.   dpa/Frank Rumpenhorst

Es geht allmählich voran: Die Kreisverwaltung von Anhalt-Bitterfeld ist wieder per E-Mail erreichbar. Seit dem 6. Juli, als unbekannte Täter die Rechner mit einem Cyber-Angriff blockierten und Lösegeld für die Freigabe forderten (was nicht bezahlt wurde), war Kommunikation nur mit dem Telefon und per Fax möglich. Was hier eine kleine Verwaltung traf, könnten Terroristen mit möglicherweise viel umfangreicheren Angriffen auf staatliche Institutionen oder Versorgungseinrichtungen ins Werk setzen.

Johannes Steffl, beim Industrieversicherer HDI Global in Hannover zuständig für die Analyse von Cyberrisiken: „Bei Angriffen auf das Stromnetz und ähnlichen vorstellbaren Aktionen muss man sich  Gedanken in Richtung terroristischer oder politischer Ziele machen.“ Klassische Cyberkriminelle hätten eher Vorbehalte, ein ganzes Land beispielsweise durch einen flächendeckenden Stromausfall lahmzulegen. „Ihnen geht es meist um Störung, nicht um reine Zerstörung.“

Kriminelle schrecken allerdings punktuell vor nichts zurück. „Produktionsanlagen mussten wegen der Erpressung vorläufig heruntergefahren werden“, sagt Steffen Zimmermann vom Maschinenbauer-Verband VDMA über einen Angriff auf das französische Pharmaunternehmen Pierre Fabre im März.  Der Leiter des „Kompetenzzentrums Industrielle Sicherheit“ meint, es sei nicht auszuschließen, dass sich die Folgen der Attacke vielleicht „bis in Covid-19-Lieferketten durchzogen“. Es treibt ihn um, dass der Hackerangriff auf die Werks-IT zu Verzögerungen in eng getakteten Prozessen führte, auch Schadenersatz-Forderungen seien entstanden.

Server der Kreisverwaltung von Anhalt-Bitterfeld in Köthen wurden mit Erpresser-Software infiziert. dpa/Klaus-Dietmar Gabbert

Zimmermann folgert aus dem Vorgang, dass auch in der Medizin – die Staatsanwaltschaft ermittelt gerade rund um eine Online-Erpressung des Klinikums in Wolfenbüttel –, bei Autobauern oder in anderen Industriebetrieben die komplexe Steuerung ganzer Maschinenparks bei Cyberüberfällen verwundbar sei.

Noch seien ernste Vorfälle im vernetzten „Internet der Dinge“ mit digital kommunizierenden Anlagen relativ selten, berichtet Zimmermann. Doch die Gefahr steige. Einigen Firmen müsse man die Dringlichkeit nach wie vor klarmachen. „Es ist unmöglich, sich zu 100 Prozent zu schützen“, räumt der VDMA-Experte ein. „Getroffen werden kann jeder. Das gestiegene Bewusstsein muss aber auch zu Investitionen in mehr Sicherheit führen.“ Oft reagierten Unternehmen erst, wenn Hacker ihr Chaos schon angerichtet hätten und man nur noch reagieren könne.  

Hacker können Produktion wochenlang stilllegen

Im Fall einer großflächigen Verschlüsselung von Daten durch Erpressungs-Software („Ransomware“) wie in Anhalt-Bitterfeld könnten große Produktionsbetriebe schon mal vier bis sechs Wochen komplett stillstehen. „Mit allen Folgewirkungen kann das bis zum einem Dreivierteljahr dauern – am Ende sieht das Unternehmen dann nicht mehr so aus wie vorher.“

„Seit gut eineinhalb Jahren sehen wir eine stetig zunehmende Bedrohungslage, die sich zuletzt noch einmal sehr dynamisch geändert hat“, sagt Johannes Steffl . „Teilweise mag dies coronabedingt sein, weil im Homeoffice manche IT-Prozesse nicht so gut geschützt sind.“ Doch auch für die IT in der Produktion werde das Thema wichtiger: „Wir sprechen hier von IT, die Anlagen und Maschinen rund um die Uhr steuert. Betriebe arbeiten da teils noch mit alten Systemen.“

Sicherheitsvariante: offline statt online

Eines scheint klar: Industrie und Verwaltung müssen das Problem ernster nehmen – und besonders sensible Angelegenheiten jenseits des laufenden Betriebs vielleicht offline erledigen. „Wir bewegen uns in einer Welt trügerischer Sicherheit“, heißt es beim Niedersächsischen Städte- und Gemeindebund. „Auf Dauer hilft es uns nur, wenn wir wichtige Dinge in abgeschotteten Systemen bearbeiten.“