Nein, das alles ist längst keine Science-Fiction mehr! Ein gemeiner Computer-Hacker, der "mal eben" in einer ganzen Stadt das Licht ausknipst? Das gab's schon! Am 17. Dezember letzten Jahres kam es in der ukrainischen Hauptstadt Kiew zu einem massiven Stromausfall: 75 Minuten lang ging gar nichts mehr. Untersuchungen ergaben, dass die Panne höchstwahrscheinlich die Folge eines Cyberangriffs war, also: einer Attacke über das Internet.
Was diesen Fall so unheimlich macht: Er zeigt, dass Hacker sich nicht immer darauf beschränken, in ein Computernetz einzudringen, etwa um Daten zu stehlen. Nein, indem sie die Kontrolle übernehmen, können Computerkorsaren die Anlagen so manipulieren, dass sie überhitzen, überdrehen, überspannen, kurz: Sie können Maschinen zerstören. "Industroyer", nennt der Fachmann solche Schadens-Programme, ein Wort zusammengesetzt aus "Industrie" und "Destroyer", Zerstörer eben.
Die Mutter aller "Industroyer" hörte auf den Namen "Stuxnet" und ist rund zehn Jahre alt. Stuxnet war ein Wurm, ein Computer-Virus einer neuen Generation. Kurz zusammengefasst: Die Schadenssoftware hat insbesondere die Steuerung der Uran-Zentrifugen im Iran manipuliert. Ohne, dass die Techniker irgendetwas gemerkt hätten, drehten Hunderte Zentrifugen nicht so, wie sie drehen sollten und wurden auf diese Weise beschädigt. Mit dem wohl erwünschten Nebeneffekt, dass das iranische Atomprogramm empfindlich zurückgeworfen wurde. Auch hier hat also ein Computer-Virus am Ende Schäden in der realen Welt angerichtet...
Diese Beispiele zeigen sehr deutlich, was heute schon möglich ist. Verschaffen sich Hacker Zugang zu einem Computersystem, dann können sie buchstäblich "alles" machen, mit freilich einer wesentlichen Einschränkung: "Alles", das heißt, alles, was direkt oder indirekt mit besagtem Computernetz verbunden ist.
Nun könnte man sagen: Ok, dann muss man einfach dafür sorgen, dass die Computer eines Unternehmens eben nicht ans Internet angeschlossen sind. Genau deswegen sind hierzulande auch etwa Atomkraftwerke nicht mit der digitalen Außenwelt verbunden. Das haben die zuständigen Innen- und Energieminister auch immer wieder als Argument ins Feld geführt, eben die Tatsache, dass ein Hacker von außen nie in das Computernetz eines Kernkraftwerkes eindringen könnte.
Vielleicht nicht von außen... Noch unheimlicher wird es aber, wenn man sich jetzt wieder das Beispiel Stuxnet vor Augen führt. Der Computerwurm wurde nicht von außen in das System geschleust, sondern von innen, über ein infiziertes Gerät zum Beispiel, oder einen USB-Stick.
Was lernen wir daraus? Wo ein Wille, da ein Weg. Und, wenn man diese Binsenweisheit gleich mal umdreht: Wer sich hundertprozentig vor Cyberangriffen schützen will, der muss eigentlich auf jegliche digitale Vernetzung verzichten: Rückkehr zur Zettelwirtschaft, gewissermaßen... Das freilich ist keine Option. Das Internet und alle möglichen vernetzten Dienste sind eigentlich aus unserer Welt nicht mehr wegzudenken.
Nur würde es zumindest mal Zeit, dass sich wirklich alle der Gefahr wirklich bewusst werden. Etwa die Betriebe und Verwaltungen, die nach wie vor mit dem Uralt-Betriebssystem Windows XP hantieren, wohlwissend, dass es eigentlich nicht mehr aktualisiert wird. Oder die Privatnutzer, die es nicht für nötig halten, ihren heimischen PC mit einer Anti-Viren-Software zu schützen. Denn auch diese Privatrechner können zur "Waffe" werden, wenn sie - von einem Hacker ferngesteuert - für einen Cyberangriff missbraucht werden.
Dass Großunternehmen wie TNT, Beiersdorf, Merck oder Maersk, quasi zum Totalausfall werden, dass plötzlich keine Päckchen mehr geliefert, keine Container mehr verladen werden können, das sollte doch Warnung genug sein...
Und auch viele Staaten geben sich immer noch nicht ausreichend Mittel im Kampf gegen die Bedrohung aus dem Netz. Das gilt insbesondere für Belgien. Zwar gibt es inzwischen unter anderem Einrichtungen wie das "Zentrum für Cybersicherheit" (ZCB) oder auch eine Sondereinheit bei der Polizei. Das Engagement dieser Leute in Ehren, aber es wirkt immer noch so, als seien diese Cybersoldaten eigentlich nur mit Holzschwertern bewaffnet, während sie einer hochgerüsteten Armee gegenüberstehen.
Unter 20 Millionen Euro gibt Belgien für den Schutz gegen Cyberangriffe aus - das ist proportional viel weniger als andere Staaten wie Frankreich oder Deutschland. Die Attacke vom Mai mit dem WannaCry-Virus war ein Weckruf, der neuerliche Angriff erst recht. Und doch gab's in der Kammer vom Premier nicht mehr als ein paar lose Absichtserklärungen, nach dem Motto: "Klar muss Belgien seine Kapazitäten im Kampf gegen Cyberangriffe verstärken". Nach einer "Großoffensive will sich das irgendwie nicht anhören...
Die Nato jedenfalls nimmt die Gefahr durchaus sehr ernst. Erst in dieser Woche erklärte Generalsekretär Jens Stoltenberg, dass auch im Falle einer Cyber-Attacke Artikel 5 ausgelöst werden kann, also: die Beistandsklausel. Diese Verpflichtung der gegenseitigen Unterstützung galt bislang nur im Falle eines bewaffneten Angriffs. "(Kalter) Weltkrieg im Netz", könnte man sagen.
Spätestens damit sollte allen, insbesondere in Belgien, doch klar sein, worum es hier geht. WannaCry oder Petya, das waren wahrscheinlich nur Testläufe, Generalproben. Das dicke Ende, das kommt noch. Und dann sollten wir auf alles vorbereitet sein. Ansonsten geht eben das Licht aus - im besten Fall...
Roger Pint - Bild: Achim Nelles/BRF
