Die Farbe ist dunkler geworden. Als Bedrohungsstufe Orange war die Nachricht gekennzeichnet, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn am Montag an Deutschlands essenzielle Unternehmen verschickte. Die obersten Cyberwächter warnten vor Hackerangriffen im Zuge der Ukraine-Krise. Orange bedeutet: "Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs." Zehn Tage zuvor war noch eine Warnung mit der niedrigeren Stufe Gelb an die Betreiber kritischer Infrastruktur herausgegangen. Zu ihnen zählen unter anderem große Gas-, Wasser- und Stromversorger sowie Krankenhäuser.
Offiziell will das BSI zu den vertraulichen Warnungen nichts sagen, die SZ konnte sie aber einsehen. Das Amt empfiehlt darin unter anderem, Rund-um-die-Uhr-Rufbereitschaften einzurichten, Krisenstäbe für den Notfall vorzubereiten und die Zahl der Fernzugriffe auf Firmencomputer zu beschränken.
Das BSI nennt explizit mehrere Hackergruppen, die Fachleute und westliche Regierungen den russischen Geheimdiensten FSB oder GRU zuordnen: Gamaredon, APT28, Sandworm - und Dragonfly. Über Letztere heißt es: "Insbesondere Dragonfly hat in der Vergangenheit auch in Deutschland eventuell Zugänge zu IT-Netzwerken sammeln können." Dem Verfassungsschutz zufolge sind die bevorzugten Ziele der Gruppe die "Energieversorgung, Wasserversorgung/-entsorgung, Informationstechnik/Telekommunikation".
Dass russische Staatshacker mit komplexen Software-Angriffen gezielt versuchen, in Deutschland Strom oder Wasser abzudrehen, ist derzeit äußerst unwahrscheinlich. Das BSI befürchtet aber Kollateralschäden von Angriffen auf die Ukraine, deren Stromnetz 2015 und 2016 in Teilen lahmgelegt wurde. Nebenwirkungen könnten insbesondere Unternehmen treffen, die "Kommunikationsverkehr mit ukrainischen Stellen haben", heißt es in der Warnung vom 4. Februar. "Vertrauensbeziehungen zwischen deutschen und ukrainischen Netzwerken" seien "besonders zu prüfen". In der Mitteilung vom Montag heißt es: Das Risiko steige insbesondere, "wenn Unternehmenssoftware verwendet wird, die in der Ukraine gängig ist oder sogar ukrainischen Ursprungs ist".
Dass aggressive Hacks nicht unbedingt an Grenzen haltmachen, zeigte der Angriff mit Notpetya 2017. Die Wurm-Software, die ursprünglich Computer in der Ukraine traf, breitete sich auch in deutschen Firmen aus, die dort Geschäfte machten. Denn die Steuersoftware, die die Angreifer mit dem Schadprogramm verseucht hatten, nutzten auch ausländische Unternehmen, die in der Ukraine Steuern zahlten. Wegen Notpetya und der Angriffe auf das ukrainische Stromnetz hat das US-Justizministerium sechs GRU-Offiziere angeklagt.
Einer, der nun in den orangefarbenen Alarmmodus schalten muss, ist Jörg Ochs. Er ist IT-Leiter der Stadtwerke München und sagt: "Nun haben wir noch mal zusätzlich alle Mitarbeiter informiert, auf Spam-Mails und auffälliges Systemverhalten zu achten." Und wenn ihm das Internet ausgeknipst wird? "Wir können auch auf unseren Betriebsfunk umstellen, um den Krisenstab zu mobilisieren." Ochs spielt auch sogenannte Indicators of Compromise in seine Systeme ein - so etwas wie Listen digitaler Fingerabdrücke, die der Computer kennen muss, um Eindringlinge zu erkennen. Er bekommt derzeit viele dieser Indikatoren von den Herstellern seiner Technik geschickt.
Uralte Software erleichtert Eindringlingen die Arbeit
Auch der Verfassungsschutz ist aktiv. Das Bayerische Landesamt teilte der SZ mit: In den Bereichen "Energie, Finanzen, Transport und Medien sowie der öffentlichen Verwaltung" würden sich "direkte Angriffe sehr schnell auf große Teile der Bevölkerung auswirken, weshalb die genannten Stellen zu erhöhter Aufmerksamkeit aufgerufen werden". Man versorge diese Branchen mit Indikatoren für Angriffe.
Zu tun gibt es genug. Manuel Atug ist Sprecher der unabhängigen AG Kritis, die sich die IT-Sicherheit von Deutschlands wichtigster Infrastruktur auf die Fahnen geschrieben hat. Er sagt: "Selbst Krankenhäuser versuchen, Geld zu sparen, wenn ihr IT-Dienstleister Geld für Sicherheitsupdates nimmt." Das sei riskant. "Die sagen: 'Ich spar mir das Geld.' Aber das ist dann wie Russisches Roulette. Weil ein Angriff mit Ransomware und Vollverschlüsselung dann Hunderttausende Euro kostet." Kommunen oder Landkreise nutzten für ihre Versorgung oft uralte Software wie Access oder Windows aus den Neunzigerjahren, die schon lange keine Sicherheitsupdates mehr bekommt. Für die Abwehr von Eindringlingen könne es ohnehin zu spät sein: "Wer in Zeiten wie jetzt, wo der hybride Krieg droht, offensiv agieren möchte, muss in Friedenszeiten in kritische Infrastrukturen eindringen und Hintertüren einbauen. Man muss davon ausgehen, dass in den meisten Infrastrukturen mindestens ein Geheimdienst drinsitzt, auch in den deutschen."
Jörg Ochs von den Stadtwerken sieht seine Systeme gut geschützt: "Toi, toi, toi, dass nichts passiert. Ich bin noch relativ entspannt." Schließlich hat er erst im Dezember alles überprüft, als das BSI Alarmstufe Rot ausrief. Damals war die Schwachstelle namens Log4shell bekannt geworden, die Millionen Computer weltweit gefährdete. Sie ermöglichte Unbefugten weitreichenden Zugriff. Gut möglich, dass diese Lücke bei einer Eskalation in Osteuropa eine Rolle spielen wird, sagt Manuel Atug: "Eine weitere Schwachstelle, die sich die Geheimdienste und Cyber-Militärs natürlich in ihr Portfolio gepackt haben."
Um den Betrieb aufrechtzuerhalten, empfiehlt das BSI Unternehmen der kritischen Infrastruktur in einer Warnung übrigens auch "ggf. Urlaubssperre, Freigabe von Überstunden-Aufbau und Mehrarbeit zu ungünstigen Zeiten". Es könnte also anstrengend werden.