Die Warnung liest sich aus heutiger Sicht wie eine Prophezeiung: Im Februar 2020 wies die US-Behörde für Cybersicherheit (CISA) Pipeline-Betreiber auf die Bedrohung durch Hacker hin. Zuvor hatten Angreifer über eine simple E-Mail Schadprogramme in die Systeme eines Unternehmens geschleust; das sah sich gezwungen, sein gesamtes Gasleitungsnetz für zwei Tage abzuschalten und war nicht in der Lage, aus eigener Kraft seine Systeme wiederherzustellen.
Die Warnung verhallte offenbar ungehört. Hacker konnten nun eine der wichtigsten Pipelines in den USA lahmlegen. Die Angreifer nutzten sogenannte Ransomware. Die kann sowohl Daten stehlen als auch diese auf dem attackierten System verschlüsseln und damit unzugänglich machen. Die Profis im boomenden Geschäft der digitalen Erpressung verlangen Lösegeld, um die Daten wiederherzustellen oder sensible Informationen nicht zu veröffentlichen.
Es ist nicht klar, wie weit die Angreifer in die relevanten Systeme vordringen konnten. Vom Effekt her ist das einerlei: Die Firma Colonial sah keine andere Möglichkeit, als das Netz mit 8800 Kilometern Röhren herunterzufahren, das Sprit für 50 Millionen Amerikaner liefert. Die Regierung rief den Notstand aus, Präsident Biden und der Kongress sind eingeschaltet.
Kritische Infrastruktur ist auch das Ziel von Geheimdiensten und Militär
Kritische Infrastrukturen müssen besser geschützt werden. Es hat jüngst Angriffe auf Krankenhäuser gegeben, auf Energieversorger, Wasserwerke, Staudämme. In den USA werden 85 Prozent all dieser lebenswichtigen Einrichtungen privat betrieben, in Deutschland sind es weit mehr als die Hälfte. Es ist höchste Zeit, dass die westlichen Industriestaaten zusammen schärfere internationale Sicherheitsstandards festlegen.
Softwarehersteller sollten verpflichtet werden, Sicherheitslücken bei Entdeckung zu melden, und andernfalls in Haftung genommen werden. Der Zugriff auf Netzwerke muss eingeschränkt und durch zusätzliche Legitimationsprüfungen abgesichert werden. Betreibern kritischer Infrastrukturen sollte eine Meldepflicht für Cyberattacken auferlegt werden, außerdem regelmäßiger Informationsaustausch mit staatlichen Stellen. Regierungen müssen sich verpflichten, Sicherheitslücken schnellstmöglich zu stopfen. Und sie sollten von Hackern genutzte Infrastrukturen gezielt attackieren dürfen - dafür braucht es einen rechtlichen Rahmen.
Zugleich muss es internationale Bemühungen geben, die Täter und Hinterleute von Ransomware-Attacken zu verfolgen und ihr Geschäftsmodell auszutrocknen. Dazu gehört ein Verbot von Lösegeldzahlungen, die zum Teil Versicherungen tragen, und Transparenz bei Kryptowährungen, über die Millionen-Transaktionen anonym abgewickelt werden können. Staaten, die Hackern erlauben, von ihrem Territorium aus zu operieren, sollten einen Preis dafür zahlen.
Die meisten Ransomware-Attacken sind technisch nicht sonderlich ausgefeilt, sie legen nur die Sorglosigkeit und das Ausmaß der Sicherheitslücken offen. Beim Schutz kritischer Infrastrukturen muss der Maßstab aber ein anderer sein: Sie sind im Krisenfall primäre Angriffsziele für die Cyber-Krieger von Geheimdiensten und Militär. Das ist eine Bedrohung der Sicherheit aller westlichen Industrieländer. Die Angreifer brauchen weder Langstreckenbomber noch Atomwaffen, um Lebensadern moderner Gesellschaften zu durchtrennen. Findige Programmierer genügen.