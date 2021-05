Nach dem Hack: Autos warten Anfang Mai auf Treibstoff an einer Tankstelle in Charlotte, US-Bundesstaat North Carolina. Foto: AFP/Logan Cyrus

Szenen einer Ölkrise: Anfang Mai bildeten sich im Südosten der USA lange Schlangen vor den Tankstellen, die Menschen horteten Benzin und Diesel, beides wurde knapp. Grund der Aufregung: Am 6. Mai hatte die osteuropäische Hackergruppe DarkSide mehr als 100 Gigabyte an Daten aus dem Netzwerk von Colonial Pipeline gestohlen, der Betreiberin einer der größten US-amerikanischen Treibstoffpipelines. Anschließend verschlüsselte die Gruppe dann die Systeme des Unternehmens und forderte Lösegeld. Der Fall wirft die Frage auf: Wie sicher sind die Systeme der deutschen Ölversorgung?

Die Strategie von DarkSide folgte den gängigen Praktiken von Ransomware-Kriminellen, schreibt der IT-Sicherheitsspezialist Brian Krebs auf seinem Blog. Mit doppelter Erpressung forderte die Hackergruppe von Colonial zwei Lösegelder: einmal für die Entschlüsselung der Systeme und dann für das Löschen der gestohlenen Daten. Colonial zahlte nach wenigen Stunden, und zwar 75 Bitcoin, umgerechnet rund fünf Millionen Dollar. DarkSide stellte dann auch tatsächlich eine Software bereit, mit der die verschlüsselten Systeme wieder hergestellt werden sollten. Nach einem Bericht der Nachrichtenagentur Bloomberg aber war diese Software so langsam, dass Colonial seine Systeme parallel weiter auch aus eigenen Backups zurücksetzte.

Diese Entschlüsselung war ein Rennen gegen die Zeit, denn Colonial hatte am Freitag seine Pipelines stillgelegt. Offizielle Begründung war, eine unwahrscheinliche, aber potenziell mögliche Ausbreitung der Ransomware auf die Steuerelemente der Pipeline zu verhindern. Laut der Journalistin Kim Zetter und CNN stellte Colonial die Lieferung auch ein, weil unter den verschlüsselten Systemen die Rechnungssoftware des Unternehmens war - es hätten also eventuell keine korrekten Rechnungen an Abnehmer*innen ausgestellt werden können. Schließlich kappten wohl auch verschiedene kleinere Unternehmen, deren Leitungen an die Colonial Pipeline anschlossen, ihre Verbindungen, um eine Ausbreitung der Ransomware auf ihre Systeme zu verhindern.

Kim Zetter

Ergebnis: Es floss kein Treibstoff mehr. Tankstellen waren auf lokale Vorräte angewiesen, die sich schnell leerten. Am Dienstag hatten mehr als zwei Drittel der Tankstellen in Charlotte, Bundesstaat North Carolina, keinen Treibstoff mehr; am Freitag hatte weniger als jede fünfte Tankstelle in Washington D.C. noch etwas zu verkaufen. Vier Bundesstaaten riefen den Notstand aus.

In der Zwischenzeit hatte Colonial bereits mit dem Neustart seiner Pipeline begonnen. Am Samstag, dem 15. Mai, verkündete das Unternehmen, dass alle Systeme wieder wie normal arbeiten würden. Mehr nebenbei hatte DarkSide am Tag zuvor angekündigt, dass der Server der Gruppe von Unbekannten abgeschaltet und ihr Geld aus ihrem System heraus transferiert worden war.

Die Attacke war massiv im Leben von Millionen Menschen angekommen - innerhalb von neun Tagen. Wie viel schlimmer hätte die Situation werden können, wenn der Ausfall länger gedauert hätte? Wenn Colonial nicht innerhalb kürzester Zeit das geforderte Lösegeld gezahlt oder die Wiederherstellung der Systeme länger gedauert hätte?

Für Deutschland hat das eine Studie untersucht, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2014 erstellt hat. Hier wird bei einem »längeren, nachhaltigen« Ausfall der Treibstoffversorgung mit dem Zusammenbruch des Verkehrs gerechnet. Autos, Busse und Dieselzüge würden stillliegen, auch Ordnungs- und Rettungsdienste wären betroffen. »Ein Ausfall hätte einen starken Reputations- und Vertrauensverlust für den Staat zur Folge.

Bevölkerung und Wirtschaft erwarten, dass der Staat eine Versorgung mit Treibstoffen und Heizöl sicherstellt«, so die Studie. Dem »Spiegel« sagte BSI-Chef Arne Schönbohm, Cyberangriffe auf kritische Infrastrukturen seien »ein ernstzunehmendes realistisches Szenario auch in Deutschland«. Ein Totalausfall dürfte in Deutschland aber wesentlich unwahrscheinlicher sein als in den USA. So äußerte sich zumindest der Mineralölwirtschaftsverband, die Lobbygruppe der Ölunternehmen: »Die Versorgungslogistik steht auf mehreren Säulen, die je nach Notwendigkeit bedient werden. Der Ausfall einer Säule kann durch die anderen Verkehrsträger in den meisten Fällen kompensiert werden.«

Ähnlich sieht es die AG KRITIS, ein unabhängiger Zusammenschluss von Expert*innen für Kritische Infrastruktur. Darunter fallen neben der Treibstoffversorgung auch Dienste wie Elektrizität, Wasser oder Ernährung. »Grundsätzlich sind Ausfälle der Mineralölversorgung auch in Deutschland denkbar. Da Deutschland aber nur in etwa so groß ist wie Texas, ist es hier wahrscheinlich viel einfacher, einen Ausgleich der fehlenden Transportkapazitäten über Lkw zu schaffen«, so ein Sprecher der Arbeitsgruppe zu »nd«. »Ob sich ein Ausfall einer Pipeline daher auf die gleiche Weise auf die Bevölkerung auswirken würde, können wir daher nicht beantworten.«

Dazu kommt: Die meisten in Deutschland aktiven Raffinerien, Pipelines und Tankstellen gehören auf die eine oder andere Weise einem der großen internationalen Ölkonzerne. 2011 führte das Bundeskartellamt eine Untersuchung durch, laut der die fünf größten - BP (Aral), Jet, ExxonMobil (Esso), Total und Shell - bei den Tankstellen ein »marktbeherrschendes Oligopol« bildeten. Noch allerdings hat in Deutschland kein einzelnes Unternehmen eine so bestimmende Stellung wie Colonial im Südosten der USA.

Diese Gefahr wird auch vom Gesetzgeber erkannt. Mit dem IT-Sicherheitsgesetz von 2015 wurden Betreiber kritischer Infrastruktur zu besonderem Schutz ihrer Systeme verpflichtet. Alle zwei Jahre müssen sie dem BSI nachweisen, dass und wie sie sich zum Beispiel vor Cyberangriffen schützen.

Aber ganz so einfach ist es nicht. Denn der Schutz kritischer Infrastrukturen ist ein komplexes Thema mit vielen beteiligten Organisationen. Neben dem BSI ist in Sachen Energieversorgung manchmal auch die Bundesnetzagentur für die Festlegung von Sicherheitsstandards zuständig. Dazu kommt noch der UP KRITIS, eine Kooperation zwischen Hunderten von Unternehmen, BSI und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe.

Und auch auf lokaler Ebene mischen verschiedene Behörden mit: »Beispielsweise ist für Tanklager die zuständige Aufsichtsbehörde manchmal die Gewerbeaufsicht, manchmal auch das Ordnungsamt«, so der Sprecher der AG KRITIS. »Wir bezweifeln, ob die notwendige Kompetenz für die Prüfung des sicheren Betriebs eines Mineralöl-Tanklagers bei einem Gewerbeaufsichtsamt, das sich normalerweise mit Schanklizenzen oder der Kontrolle von Konzessionen beschäftigt, wirklich vorhanden ist.«

Eigentlich sollte von staatlicher Stelle geprüft werden, ob es für alle Kategorien von Kritischer Infrastruktur ausreichende Vorkehrungen gebe, so die AG KRITIS. Und von diesen Kategorien gibt es einige. Nachzulesen ist das in der BSI-Kritisverordnung, mit genauen Schwellenwerten: Pipelines für Öl oder Treibstoff sind ab 4,4 Millionen beförderten Tonnen pro Jahr kritische Infrastruktur, ein Tankstellennetz ab 420 Millionen jährlich verkauften Litern Treibstoff. Liegt ein Unternehmen darüber, muss es nachweisen, dass es ausreichend geschützt ist.

»Grundsätzlich müssen Kritische Infrastrukturen sorgsamer und ausfallsicherer betrieben und ausgebaut werden als andere Infrastrukturen. Dies widerspricht den Bestrebungen nach Gewinnmaximierung durch privatwirtschaftliche Betreiber. Wirksame Regulierungen, unabhängige Kontrollinstanzen und kompetente Aufsichtsbehörden für die einzelnen Sektoren sind daher notwendig«, fordert die AG KRITIS dazu.