Wenn Hacker-Angriffe das Stromnetz lahmlegen

Für Felix Lindner war es ein Zeitaufwand von nicht einmal 24 Stunden. Dann hatte der IT-Sicherheitsexperte die Schaltzentrale der Stadtwerke Ettlingen in Süddeutschland geknackt. Eine Taste noch betätigen und die gesamte Kleinstadt wäre ohne Strom dagestanden. Lindner wurde von den Stadtwerken engagiert, um Sicherheitslücken zu entdecken. Denn Stromnetze in ganz Europa sind durch die zunehmende Vernetzung und Automatisierung für Cyber-Attacken anfälliger geworden.

In Österreich analysieren Experten der Energiemarktaufsicht, der Stromversorger sowie des Innen-, Verteidigungs- und Wirtschaftsministeriums seit einem Jahr mögliche Angriffspunkte in der heimischen Stromversorgung. Daraus soll eine Liste freiwilliger Vereinbarungen zwischen den Energieunternehmen und ein Notfallplan für Cyber-Attacken entstehen. Das Innenministerium werde noch heuer eine Cyber-Sicherheitsstelle im Bundesamt für Verfassungsschutz und Terroristenbekämpfung einrichten, kündigte Ministerin Johanna Mikl-Leitner an.

Vorreiter

Österreich sei mit solchen Planungen europaweit führend, sagte E-Control-Chef Walter Boltz. Er will die Vorkehrungen gegen Hacker-Angriffe vom Strom- aufs Gasnetz ausdehnen. Die größte Gefahr für die Versorgungssicherheit sieht Boltz aber weniger in Cyber-Attacken als in veralteten Prozessrechnern der Unternehmen. Im Mai 2013 habe ein solcher Rechner in Bayern einen Fehler ausgelöst, der sich übers Netz bis nach Österreich ausgebreitet und alle Schaltungen lahmgelegt habe.

Dass durch Einführung der smart meter (digitale, intelligente Stromzähler) Hacker-Angriffe erleichtert würden, glaubt Boltz nicht. Einige Experten widersprechen vehement: "Über die smart meter kann die Versorgung vieler Kunden unterbrochen werden", betont ein E-Wirtschafts-Vertreter.

Dass man sich gegen Schäden von Cyber-Angriffen versichern kann, wissen nur die wenigsten Betriebe. „In Österreich sind erst fünf Prozent der Firmen versichert, in den USA sind es fast 40 Prozent“, sagt Christian Kaiser, Geschäftsführer der Vero Versicherungsmakler. Während vor allem Banken, Telekom- und Kreditkartenkonzerne über eine umfassende Deckung verfügen würden, habe der Mittelstand fast zu 100 Prozent keine.

Vor allem Energiekonzerne, Verkehrsbetriebe und medizinische Einrichtungen sollten den Versicherungsschutz erweitern. „Bei Cyber-Angriffen kann es in Folge zu unkalkulierbaren Sach- und Personenschäden kommen.“ Die Geschäftsführung ist laut Kaiser im Fall der Fälle voll haftbar. Denn sie sei dazu verpflichtet, Sicherheitsvorkehrungen im Unternehmen zu treffen und Verträge mit IT-Dienstleistern entsprechend zu prüfen. „Wer keine ausreichenden Vorkehrungen trifft, der wird zur Rechenschaft gezogen“, sagt Jürgen Schagerl, Prokurist bei Vero.

Aber nicht nur in vielen Betrieben sei über die Problematik nicht wirklich intensiv nachgedacht worden. Es fehle auch an der Aufklärung seitens der Versicherungen. „Das Thema ist nicht nur extrem komplex und berstungsintensiv“, sagt Schagerl. Es bedürfe auch immer einer sehr individuellen Vertragslösung, zudem entwickle sich Cyber-Kriminalität ständig weiter. „Es empfiehlt sich, den Vertrag jährlich zu überarbeiten.“ Viele Makler würden daher den aufwendigen Vertrieb scheuen, heißt es in der Branche.

Kaiser zufolge zahlt ein kleines Büro (10 bis 15 Mitarbeiter) rund 2000 bis 3000 Euro Prämie im Jahr. Bei einem Hackerangriff entstehe ein ungleich höherer Schaden. Schagerl nennt als fiktives Beispiel ein Unternehmen mittlerer Größe, dessen Online-Vertrieb Opfer von Datenklau geworden ist. Über mehrere Monate konnten sich Hacker Zugriff zu dem eigentlich streng gesichert geglaubten Abrechnungssystem für Kreditkarten beschaffen. Zwei Millionen Kundendaten wurden kopiert und unrechtmäßig benutzt. Die Kosten belaufen sich auf insgesamt mehr als fünf Millionen Euro. Die größten brocken entfallen mit je zwei Millionen Euro auf die Schadensgutmachung und die gesetzliche Informationspflicht, eine weitere halbe Million entfällt auf Rechtskosten, eine Viertel Million auf Medien- und PR-Arbeit. „Das Schadensausmaß ist sowohl finanziell als auch für die Reputation immens“, sag Schagerl.