Es war der Tag, als Putins Truppen die Ukraine überfielen: Genau an diesem 24. Februar 2022 waren seit den frühen Morgenstunden zwischen Oberrhein und Ostsee mindestens 5800 Windenergieanlagen des Auricher Herstellers Enercon nicht mehr von außen anzusteuern. Die Anlagen drehten sich zwar noch und lieferten auch Strom, teilte das Unternehmen später mit. Sie waren aber aus der Ferne nicht mehr digital zu erreichen, etwa um die Technik zu überwachen.
Einen digitalen Alarm ganz anderer Sorte gab es wenige Wochen später, Anfang Mai, in Marktoberdorf im Allgäu. Die Traktorenfirma Fendt wurde von bislang unbekannten Computerhackern angegriffen und in den Stillstand gezwungen. Tausende Mitarbeiter mussten wieder nach Hause geschickt werden, berichtete der „Bayerische Rundfunk“. Dem Bericht zufolge hatte kein Computer des Werkes eine funktionierende Internetverbindung. Es konnten keine Bauteile bestellt oder versandt, es konnten auch keine Traktoren gebaut werden. Schecks, so heißt es, hätten ebenfalls nicht ausgestellt werden können. Mit anderen Worten: Da lief nichts mehr.
Nicht nur in Marktoberdorf war das so, sondern in sämtlichen Werken des US-amerikanischen Mutterkonzerns AGCO – immerhin eine global agierende Firmengruppe mit insgesamt 21 000 Beschäftigten und einem Jahresumsatz von 9 Mrd. Dollar.
Erst nach zehn Tagen Produktionsstopp konnten Fendt und die anderen Werke des Konzerns schrittweise wieder ihren Betrieb aufnehmen. Es sei vermutlich zu einer „Daten-Exfiltration“ gekommen, wie es in einer recht zurückhaltenden Pressemitteilung des Weltkonzerns hieß.
Cyber-Straftaten nehmen zu
Fendt ist kein Einzelfall. Laut Bundeskriminalamt haben die Polizeibehörden 2021 mehr als 146 000 Cyber-Straftaten in Deutschland gezählt, also 400 Delikte dieser Art pro Tag! Die Zahl habe stark zugenommen, inzwischen seien komplette Lieferketten gefährdet, so das BKA weiter.
Und das sind nur die Taten, von denen die Polizeibehörden, auf welchen Wegen auch immer, erfahren haben. „Hellfeld“ nennen es die BKA-Leute. Sie räumen in ihrem Bericht ein, dass 2021 nur etwa ein Drittel der Taten aufgeklärt werden konnte. Zum „Dunkelfeld“ sagen sie nur, dass es wohl „weit überdurchschnittlich ausgeprägt“ sei.
Was ist „Cyber“?
Es gibt Cyberkriminalität, Cyberabwehr und Cyberattacken, aber auch harmlose Cyber-räume und sogar Cybercafés. Der Wortteil „Cyber-“ wird englisch ausgesprochen (etwa wie: „Ssaiber“) und umfasst alles, was die technisch geschaffene digitale Welt der Computer und des Internets betrifft.
Das Wort ist uralt. Es stammt aus dem Alt griechischen und bezeichnete ursprünglich die Steuermannskunst der Navigation. Als der Mathematiker Norbert Wiener vor 75 Jahren ein Buch über die „Regelung und Nachrichtenübertragung in Lebewesen und Maschinen“ verfasste, gab er ihm den Titel „Cybernetics“, zu deutsch: Kybernetik.
Erst zahlen, dann Zugriff
Aber noch einmal einen Schritt zurück: Was genau passiert, wenn von Cyber-Straftaten die Rede ist?
Insider unterscheiden drei Arten des digitalen Angriffs. Da ist erstens der heimliche Datendiebstahl. Dabei verschaffen sich die Täter – und es können durchaus auch Täterinnen sein – einen verborgenen Zugang über das Internet auf den Rechner, beispielsweise über den nicht sicher genug eingestellten Router, über Programmierlücken im Betriebssystem oder in der Software.
Ende Dezember 2021 wurde beispielsweise eine Schwachstelle in sogenannten Java-Anwendungen entdeckt, das sind Teilstücke vieler kommerzieller Software- und freier Open-Source-Programme. Während also der Rechner oder das Tablet scheinbar stabil läuft, schleichen sich Datendiebe im Hintergrund über das Internet ein. Auf dem Rechner können sie dann beispielsweise Daten ihrer Wahl absaugen, um die Eigentümer später zu erpressen, um ihre Daten an Dritte zu verkaufen oder auch, um politischen Einfluss auszuüben.
Zum digitalen Diebesgut können beispielsweise schon Steuererklärungen oder Lohnabrechnungen gehören, vielleicht auch Familienfotos, die nicht für jeden bestimmt sind, oder auch, besonders brisant, Zugangsdaten für das Bank- oder das E-Mail-Konto.
Blockiert durch „Ransomware“
Von hier ist der Weg nicht weit zur zweiten Art des digitalen Angriffs, der Blockade eines Rechners durch „Ransomware“. Das ist der Fachbegriff für ein Programm, das sich im gekaperten Computer einnistet und aus der Ferne die Daten verschlüsselt, vielleicht auch den Zugang zum Rechner oder gar zum gesamten Netzwerk blockiert. Der Zugang wird von den anonymen Hackern erst wieder freigegeben, wenn Lösegeld gezahlt wird.
Die Täter verstecken die Ransomware in einer E-Mail, die an den „Opfer-Rechner“ geschickt wird. Dieser E-Mail sieht man ihren gefährlichen Inhalt nicht an. Vielmehr sieht sie aus, als enthielte sie irgendetwas Hilfreiches – und als käme sie von einer vertrauenerweckenden Adresse: von einem Freund, von einer Kollegin oder, besonders häufig, von einer als solide geltenden Instanz wie dem Online-Versandhaus A, der Bank B oder dem Paketbringedienst C. Bisweilen werden auch Internetlinks so fingiert, dass sie nach dem Anklicken Ransomware auf den Rechner laden.
220 Mrd. € Schaden durch Cyberkriminalität
Die Schadenshöhe, angerichtet durch Cyberkriminalität, ist immens – und sie nimmt von Jahr zu Jahr zu. Dem Branchenverband Bitkom zufolge wurde 2020/21 allein in deutschen Wirtschaftsunternehmen durch Datenklau, Cyberspionage oder auch -sabotage ein Schaden von rund 220 Mrd. € angerichtet.
Zum Vergleich: Damit wären die Jahresetats der Bundesministerien für Arbeit und Soziales, Verkehr und Digitales sowie Landwirtschaft und Umwelt gedeckt. Und noch ein Vergleich: Im Vorjahr war der Schaden nur halb so groß.
Deutschlands erster Cyber-Katastrophenfall
Ländliche oder kleinstädtische Kommunalverwaltungen wurden in jüngster Zeit auffallend häufig Opfer solcher Erpresserattacken. In Sachsen-Anhalt kam es im Sommer 2021 sogar zum ersten Cyber-Katastrophenfall in Deutschland: Unbekannte hatten das gesamte Computernetzwerk der Kreisverwaltung Anhalt-Bitterfeld per Schadsoftware gekapert und verlangten Lösegeld. Der Landkreis blieb für Wochen komplett lahmgelegt.
Um den Druck zu erhöhen, stellten die anonymen Täter einen Teil der erbeuteten Daten sogar ins Netz. Private Daten von 92 Personen, unter ihnen 42 Kreistagsmitglieder, Bankverbindungen, Namen früherer Arbeitgeber, nicht-öffentliche Sitzungsprotokolle – solche Sachen konnte jeder via Internet lesen.
Der Landkreis ging auf die Erpresser nicht ein. Stattdessen wurde das Bundesamt für Sicherheit in der Informationstechnik (BSI) gerufen – und sogar auch die Bundeswehr. Sie half unter anderem dabei, ein Notnetz aufzubauen. Ein Großteil der Daten war gesichert und konnte rekonstruiert werden.
Sechs Monate dauerte es, ehe der Katastrophenfall aufgehoben werden konnte. Ein vollständig neues IT-Netz wurde im späten Frühjahr dieses Jahres wieder in Betrieb genommen. Nach Presseberichten soll das ganze 2 Mio. € verschlungen haben.
Ähnliche Attacken auf Kommunen und Landkreise gab es unter anderem
– in Geisenheim im Rheingau-Taunus-Kreis,
– in Wolfenbüttel in Niedersachsen,
– im Landkreis Ludwigslust in Mecklenburg-Vorpommern,
– in Witten im Ennepe-Ruhr-Kreis oder
– in Neustadt am Rübenberge bei Hannover.
Ziel der Angriffe waren kommunale Dienste und Internetangebote, aber auch Einrichtungen wie etwa Stadtwerke, Krankenhäuser oder Sozialdienste. Die den Grünen nahestehende Heinrich-Böll-Stiftung betreibt ein öffentlich einsehbares Verzeichnis solcher Attacken und verzeichnet seit 2021 eine „deutliche Zunahme“.
Angriff in Rheine: Apetito lahmgelegt
Der Fertigmenü-Hersteller Apetito mit Hauptsitz in Rheine wurde in der Nacht vom 24./25. Juni Opfer eines schweren Cyberangriffs. Eine bislang nicht bekannte Gruppe soll Firmendaten abgeschöpft und die Server der Firma inklusive Sicherungssystem blockiert haben. Die anonymen Täter forderten den Konzern zu einer Zahlung von Lösegeld auf und drohten mit Veröffentlichung der Firmendaten und weiterer Blockade.
Die Attacke trifft eine der Großen der Lebensmittelbranche. Die Firmengruppe Apetito beliefert Kitas, Schulen, Universitätsmensen, Seniorenheime, Kliniken, Firmen und Privathaushalte. Rund 11 800 Beschäftigte arbeiten in Rheine sowie an weiteren Standorten unter anderem in den Niederlanden, Spanien, Österreich, Frankreich, Großbritannien, Kanada und den USA. 2021 erzielte die Firmengruppe einen Gesamtumsatz von knapp über 1 Mrd. €.
Mit aktuellen Auskünften halten sich die Firma und die ermittelnden Behörden bedeckt. Bei Apetito war nicht einmal zu erfahren, wie viele Essen vor dem Angriff ausgeliefert wurden und wie viele derzeit ausgeliefert werden können.
Das Unternehmen teilt lediglich mit, dass rund 50 IT-Experten „mit Hochdruck“ daran arbeiten, „die wichtigsten Systeme nach und nach zum Laufen zu bringen“. In das Verfahren eingeschaltet sind die Zentrale Ansprechstelle Cybercrime (ZAC NRW) bei der Staatsanwaltschaft Köln, das Landeskriminalamt Münster sowie externe Cyber-Forensik-Experten. Str.
„Unsere Küchen und die Logistik schnell wieder ans Laufen zu bringen“ – so lautet das oberste Ziel der Firma Apetito nach dem Hackerangriff, der Ende Juni das Unternehmen getroffen hat.
Landwirtschaft im Visier?
Besonders attraktiv für solche Angriffe aus dem digitalen Nirgendwo scheint derzeit auch die Agrar- und Ernährungswirtschaft zu sein. Die Attacken auf AGCO/Fendt und auch auf den Essenslieferanten Apetito in Rheine (siehe Kasten Seite 13) passen in ein Muster, vor dem erst kürzlich die zentrale Sicherheitsbehörde der Vereinigten Staaten, das FBI (Federal Bureau of Investigation), eindringlich gewarnt hat. So seien landwirtschaftliche Betriebe und Agrarunternehmen aufgrund ihrer stark digitalisierten Technik anfällig. Vor allem zwischen Saat und Ernte seien die Betriebe besonders erpressbar.
Sie sollten sich also darauf einstellen, verstärkt ins Visier von Cyberkriminellen zu geraten, warnte das FBI. Seit Herbst vergangenen Jahres seien mehrere Getreidegenossenschaften, ein Futtermittelunternehmen und eine weitere Agrarfirma, die mit Getreide, Saatgut und Düngemitteln handelt, Opfer solcher Angriffe geworden. Namen und Orte werden nicht genannt.
„Die USA sind weit weg!“ – mag nun mancher hierzulande denken. Gefühlt mag das stimmen. Aber für Hacker, wo immer sie sitzen, ist alles nur ein paar Mausklicks voneinander entfernt: der Getreidespeicher in Texas, der Melkroboter-Hersteller in Schleswig-Holstein, das Futtermittelwerk am Dortmund-Ems-Kanal – oder die Traktorenbauer im Allgäu.
Sabotage geht auch digital
Nun fehlt noch die dritte Art des Cyberangriffs: die digitale Sabotage. Dabei dringen Angreifer gezielt in ein System ein, um Schaden anzurichten oder es sogar vollständig „auszuschalten“. Lösegeld oder so etwas interessiert sie also gar nicht, sondern nur: Störung oder gar Zerstörung.
Vom „Anfangsverdacht der Computersabotage“ ist gerade bei den 79 Industrie-und Handelskammern in Deutschland die Rede, deren digitale Infrastruktur vor gut zwei Wochen stillgelegt worden ist. Telefonleitungen und E-Mail-Dienste waren gar nicht oder nur eingeschränkt zu nutzen. Webseiten einzelner IHK mit so wichtigen Angeboten wie den Lehrstellenbörsen, Musterverträgen oder Terminen konnten nicht aufgerufen werden.
Bei Redaktionsschluss war die Ursache der Störung noch unklar. „Ein Erpresserschreiben liegt nicht vor“, heißt es beim Dachverband der IHK, dem Deutschen Industrie- und Handelskammertag. „Ob bei dem Vorfall Daten abgeflossen sind, ist Gegenstand der Ermittlungen.“
Funkstille per Satellit
In die Kategorie der Sabotage zählen – nach allem, was mittlerweile bekannt geworden ist – auch die eingangs genannten 5800 Windräder. Anfang März, wenige Tage nach der Störung, war zumindest die technische Ursache klar: Ein Weltraum-Satellit namens KA-SAT war in einer Funkattacke stillgelegt worden.
Gewöhnlich führt dieser Satellit Kommunikationsdienste durch. Er verbindet etwa 30 000 Terminals in Mitteleuropa miteinander, darunter auch die 5800 Windräder.
„Eine Gefahr für die Windenergieanlagen bestand und besteht nicht“, teilte deren Hersteller Enercon am 19. April der Öffentlichkeit mit. Mehr als 1200 Windparks und damit rund 95 % der betroffenen Windräder seien wieder erreichbar, entweder über eilig installierte Modems oder über LTE/Mobilfunk. Weiter hieß es von Enercon:
„Netzbetreiber haben weiterhin uneingeschränkt Zugriff auf die Anlagen, um deren Verhalten im Stromnetz zu steuern – beispielsweise um die Einspeiseleistung zu drosseln, sollte dies aus Gründen der Netzstabilität notwendig sein.“
Die Spuren weisen nach Russland
Die Suche nach der Ursache ging weiter. Am 10. Mai herrschte Gewissheit. EU, Großbritannien und USA erklärten gemeinsam, der russische Militärgeheimdienst GRU sei „mit ziemlicher Sicherheit“ für den Angriff auf den Satelliten am 24. Februar verantwortlich. Der Militärgeheimdienst habe in der Hauptsache vermutlich dem ukrainischen Militär zusetzen wollen, das auch KA-SAT nutze. Die Attacke aber habe eben auch zahlreiche andere Kunden in Mitleidenschaft gezogen, darunter die Windenergieanlagen sowie ungezählte Internet-nutzer in Mitteleuropa.
Es war also keine gezielte Attacke auf Windräder, sondern eine Art Kollateralschaden. Aber das macht die Sache nicht besser.
Lesen Sie mehr: