«Hacker haben unsere Wasserversorgung angegriffen»

Unpraktisch, aber sicher vor Hackern: Walter Zürcher erklärt die analoge Wasserversorgung von Schwarzenegg. Foto: Christian Pfander

Aus London und Korea kamen die Attacken, sie zielten aufs Lebendige. «Hacker haben unsere Wasserversorgung angegriffen», teilte Ebikon letzten Dezember mit. Doch, welch Glück, hauseigene IT-Spezialisten konnten die Angriffe abwehren. Nur knapp schien die Luzerner Gemeinde an der Katastrophe vorbeigeschrammt zu sein.

Es ist das grosse Horrorszenario des digitalen Zeitalters: Computerprofis dringen in lebenswichtige Systeme ein, drehen das Wasser ab, kappen den Strom, legen Spitäler lahm.

Cyberangriffe auf die Infrastruktur sind in der Schweiz Alltag. «Die Attacken nehmen zu und werden professioneller», sagt René Gehlen, Leiter der Fachstelle Informationssicherheit bei der Stadt Zürich. Deren Systeme werden rund um die Uhr breit attackiert. Oft sind es automatisierte Vorgänge – Angriffe also, die viele Institutionen treffen. «Hintergrundrauschen» nennt sich das in der Branche. «Vereinzelte Angriffe richten sich aber auch spezifisch gegen die Stadt Zürich», sagt Gehlen. Heikle Infrastrukturen wie die Wasserversorgung schütze man mit «zusätzlichen Mechanismen». Weiter ins Detail will Gehlen nicht gehen. Zu heikel.

Ein endloser Wettlauf

Was passiert, wenn eine virtuelle Falle nur ansatzweise zuschnappt, zeigte sich in Uster, kurz vor der letzten Weihnacht. Ein Virus namens Gandcrab drang ins System der drittgrössten Stadt im Kanton Zürich ein. Dort begann es, alle Daten zu verschlüsseln. Wobei es nicht weit kam. «Wir haben es nach der Infektion rasch erkannt und gestoppt», sagt Stadtschreiber Daniel Stein. Schaden richtete das Virus trotzdem an. Wegen der Kontroll- und Reparaturarbeiten liefen die Computersysteme der Gemeinde während drei Tagen langsam und liessen sich nur eingeschränkt nutzen. «Wir sind mit einem blauen Auge davongekommen», sagt Stein.

Um selbst blaue Augen zu vermeiden, hat die Stadt Zürich kürzlich eine digitale Verteidigungszentrale aufgebaut, einen Raum voller Bildschirme, gut abgesichert, nur wenige haben Zutritt. In diesem Security Operation Center (SOC) überwachen Spezialisten die städtischen Computersysteme und versuchen, verdächtige Muster zu erkennen. Hier treffen sich alle Verantwortlichen, falls ein Angriff gefährlich wird.

Angriff über Blindbewerbung

Das Abwehren sei ein endloser Wettlauf, sagt René Gehlen. Die Gegner rüsteten auf, als Verteidiger müsse man versuchen, neue Angriffsmethoden zu erkennen und zu entschärfen. Wichtig dafür sei der Austausch zwischen den Städten. Als eine Art Kummertelefon dient die Melani, die staatliche Melde- und Analysestelle Informationssicherung. Hier könnten Organisationen Probleme melden – die Melani analysiert diese und versendet Warnhinweise.

Aber selbst modernste Technik und hochgeschulte Spezialisten garantieren keine vollständige Sicherheit. Denn eine Schwachstelle bleibt: der Mitarbeiter. So lief der Angriff in Uster über eine Blindbewerbung, die als E-Mail eintraf. Der Empfänger in der Verwaltung klickte auf ein Word-Attachment. Das genügte, um den Schädling auszusetzen.

Die Stadt Uster hat seither die digitale Panzerung verstärkt. Besonders anfällige Dokumente, etwa alte Word-Files mit der Endung .doc, nimmt die Verwaltung von aussen nicht mehr entgegen. Zudem werden die Mitarbeiterinnen mit Kampagnen «sensibilisiert» – sowohl in Uster wie auch in der Stadtzürcher Verwaltung. Eine der Botschaften lautet: «Verwenden Sie nie das gleiche Passwort mehrfach im Internet.»

Sparen beim Brunnenmeister

Marc Ruef testet, wie Mitarbeiter bei einem Angriff reagieren. Er und seine Firma Scip hacken sich beruflich in Organisationen – digital, aber auch analog. Sie verkleiden sich als Putzkräfte oder Mitarbeiter und versuchen, ins Innere von Banken oder Spitälern zu gelangen. Dort stecken sie USB-Sticks in Geräte und klauen Laptops. Sie tun alles, um sich Zugang ins Netzwerk zu verschaffen. «Penetration Testing» heisst das. «Heute kann man alles hacken. Alles», sagt Ruef. Es komme lediglich auf die vorhandene Zeit und kriminelle Energie an. Das gelte auch für Wasserversorgungen, von denen er einige berät. «Es wird zu wenig gemacht», sagt er. «Die Sicherheit hat nicht überall höchste Priorität.» Zwar werde in Firewalls investiert – gleichzeitig verpasse man es, die Leute weiterzubilden. Meist aus Kostengründen.

Das sieht der Schweizer Brunnenmeisterverband ähnlich. Im Jahresbericht bemängelt dieser, dass Gemeinden die Brunnenmeister, also jene Angestellten, die sich ums Wasser sorgen, zu wenig unterstützten. Es werde gespart, die Kürzungen träfen oft Weiterbildungen für die Wasserspezialisten. Ruef seinerseits findet, dass es in diesem Bereich einen zusätzlichen Lehrgang brauche.

Dabei gibt es eine einfache Schutzvorrichtung, die zu hundert Prozent sicher ist: offline zu sein, die Wasservorsorgung nicht mit dem Internet zu verbinden. Vor allem kleinere Gemeinden arbeiten noch heute auf diese Weise: von Hand, wie vor 50 Jahren.

Aus diesem Raum, SOC genannt, wehrt Zürich Cyberattacken ab. Foto: Stadt Zürich

Zum Beispiel Schwarzenegg, ein Dorf ob Thun, 462 Einwohner, einmal in der Stunde ein Bus. Walter Zürcher ist hier Brunnenmeister, seit zwölf Jahren schon, wie einst der Vater. Zürcher steht viele Meter unter Boden vor seiner Kommandozentrale, die von der Ferne aussieht wie ein Kleiderschrank. Er öffnet die Schranktür und sagt fast schon entschuldigend: «Uralt, das alles, aber es funktioniert.» Das einzig Moderne hier unten ist der Wasserstandmesser, eine Linie zeigt auf einem Display an, wie der Wasserpegel ab sechs Uhr morgens sinkt, wenn die Schwarzeneggerinnen und -egger duschen und Toiletten spülen. Alles andere – Anzeige, Sicherungen, Elektronik – stammt aus dem vergangenen Jahrhundert.

Das Alter der Anlage hat seine Vorteile. Hier können die besten Hacker nichts ausrichten. Das Schlimmste, was passieren kann, wäre, dass irgendwo eine Leitung rinnt. Dann bekommt Zürcher einen Alarm auf sein Handy, dann geht er auf Fehlersuche. Kann Stunden dauern. Überhaupt dieser Alarm: Wenn er abgeht, muss Zürcher ausrücken. Auch morgens um zwei. Ist auch schon passiert. «Unangenehm», sagt Zürcher.

Wäre die Anlage digitalisiert, könnte er von seinem Bett aus auf dem Tablet schauen, wo es harzt, und vielleicht gleich den Alarm ausschalten. «Würden wir nehmen», sagt Zürcher, «obwohl ich mich wahrscheinlich an die neue Technik gewöhnen müsste.» Und an die Gefahren, die sie mit sich bringt. An der letzten Tagung der Brunnenmeister erzählte ein Hacker, wie einfach es sei, auf eine schwach geschützte Infrastruktur zuzugreifen. «Das macht schon etwas Angst», sagt Zürcher. Momentan bleibt in Schwarzenegg alles beim Analogen, der Gemeinderat hat eine Erneuerung bis zum Herbst aufgeschoben.

Es geht immer ums Geld

Hacker, die auf Schweizer Werke und Verwaltungen losgehen, verfolgen meist keine strategischen Ziele. Es gehe nicht darum, den Staat zu schwächen oder lahmzulegen, sagt Penetration-Tester Marc Ruef. Solche Sabotage erlebe man vor allem in Krisengebieten wie der Ukraine oder Nordkorea.

Die Hacker von Schweizer Infrastruktur wollen etwas Handfesteres. Erst versuchen sie, Daten zu stehlen, Informationen zu verschlüsseln oder Dienste zu blockieren. «Damit wollen sie dann Geld erpressen», sagt René Gehlen von der Stadt Zürich. Die Konsequenzen eines gelungenen Angriffs können happig sein, sagt Marc Ruef. Das Image leide, oft folgten rechtliche Konsequenzen, und manchmal müsse man zahlen, obwohl er das nicht empfehle.

Wie viel Geld Hacker in der Schweiz einnehmen, lässt sich nicht sagen. Es besteht keine Meldepflicht. Gewisse Firmen oder Privatpersonen würden aber durchaus Geld überweisen, sagt Pascal Lamia, Leiter der Melani. Die Erpresser selber entwischen meist ungestraft. Eine Identifikation sei oft sehr schwierig und aufwendig. «In den seltensten Fällen kommt es zu Verhaftungen.»

Immerhin, die Abwehr funktioniert. Das Horrorszenario eines Totalausfalls ist Szenario geblieben. Laut Lamia gab es in der Schweiz bisher keinen erfolgreichen Sabotageakt. Auch nicht in Ebikon. Was dort genau vorfiel, bleibt wohl im Dunkeln. Die Gemeinde will sich nicht mehr dazu äussern. Zu heikel.

Erstellt: 12.03.2019, 19:54 Uhr