Cybercrime auf dem Land – oder: Wenn Windräder und Landtechnik-Werke still bleiben

portrait-gisbert@2x

Guten Tag!

Stell Dir vor, es ist Krieg – und tausende Windräder bleiben still. Genau das ist tatsächlich in den frühen Morgenstunden des 24. Februar 2022 hierzulande passiert. Am Tag, als Putins Truppen in die Ukraine einfielen, waren zwischen Oberrhein und Ostsee mindestens 5800 Windenergieanlagen des Auricher Herstellers Enercon nicht mehr von außen anzusteuern. Sie drehten sich zwar noch und lieferten auch Strom, teilte das Unternehmen mit, waren aber aus der Ferne nicht mehr digital zu erreichen, etwa um die Technik zu überwachen.

Einen Cyberalarm ganz anderer Sorte gab es erst vor wenigen Tagen in Marktoberdorf im Allgäu. Die Traktorenfirma Fendt wurde am 5. Mai von bislang unbekannten Hackern angegriffen und digital zum Stillstand gezwungen. Betroffen waren auch andere Firmensitze des internationalen Landmaschinenherstellers AGCO/Fendt.

Die stummen Windräder und das stillgelegte Traktorenwerk: Es sind nur zwei von vielen Beispielen, die zeigen, dass der ländliche Raum weder von digitalen Störungen noch von Cyberkriminalität verschont bleibt. Warum sollte er auch? Weil Landromantiker:innen sich das Landleben so vorstellen? Nichts wäre falscher als das (und „falsch“ kann man eigentlich gar nicht steigern …).

Genau deswegen schauen wir uns das einmal näher an. Wir tun das natürlich nicht, um potenziellen Digital-Täter:innen eine Vorlage zu liefern oder sie auf „dumme Gedanken“ zu bringen. Vielmehr möchten wir auf ein Thema aufmerksam machen, das nach unserem Eindruck noch immer zu wenige ernst nehmen. Und zu viele haben es noch immer „nicht auf dem Schirm“ – bis der Bildschirm tatsächlich schwarz da steht und schweigt.

Kein Netz, keine Bauteile, kein Traktor

Am Morgen des 5. Mai war das so in den Büros und Werkshallen bei Fendt in Marktoberdorf im Allgäu. Tausende Mitarbeiter:innen mussten wieder nach Hause geschickt werden, berichtete der Bayerische Rundfunk. Dem Bericht zufolge hatte kein Computer des Werkes eine funktionierende Internetverbindung. Es konnten keine Bauteile bestellt oder versandt, es konnten auch keine Traktoren gebaut werden. Schecks, so heißt es, hätten ebenfalls nicht ausgestellt werden können. Mit anderen Worten: Da lief nichts mehr.

Nicht nur in Marktoberdorf war das so, sondern in sämtlichen Werken des US-amerikanischen Mutterkonzerns AGCO. Und für all jene, denen dieses Kürzel nichts sagt: AGCO zählt mit insgesamt 21.000 Beschäftigten und einem Jahresumsatz von 9 Mrd. US-Dollar zu den größten Landtechnikunternehmen weltweit, ist also alles andere als eine Schrauberbude.

Wer hat wie viele Daten gestohlen?

Anfang dieser Woche, nach zehn Tagen Produktionsstopp, konnten Fendt und die anderen Werke des Konzerns schrittweise wieder ihren Betrieb aufnehmen. Bis Ende der Woche soll in der AGCO-Welt alles wieder normal laufen. Aber: Es ist wohl zu einer „Daten-Exfiltration“ gekommen, wie der Weltkonzern vorgestern ausdrückte. Anders gesagt: Während der Attacke wurden Daten kopiert und abgesaugt. Aber welche genau, wie viele und wohin? Und mit welcher Absicht? Das alles weiß derzeit niemand. Auch wer hinter der Attacke steckt, ist bislang nicht bekannt.

Sicher ist so viel: Fendt ist kein Einzelfall. Erst in der vergangenen Woche gab das Bundeskriminalamt bekannt, dass die Polizeibehörden 2021 mehr als 146.000 Cyber-Straftaten in Deutschland gezählt haben, also 400 Cyber-Delikte pro Tag! Die Zahl habe stark zugenommen, inzwischen seien komplette Lieferketten gefährdet, so das BKA weiter.   

Und das sind nur die Taten, von denen die Polizeibehörden, auf welchen Wegen auch immer, erfahren haben. „Hellfeld“ nennen es die BKA-Leute. Sie räumen in ihrem Bericht ein, dass 2021 nur etwa ein Drittel der Taten aufgeklärt werden konnte. Und zum „Dunkelfeld“ sagen sie nur, dass es wohl „weit überdurchschnittlich ausgeprägt“ sei.

Deine Daten zurück? Erst zahlen!

Aber jetzt noch einmal einen Schritt zurück: Was genau passiert, wenn von Cyber-Straftaten die Rede ist?

Insider unterscheiden drei Arten des digitalen Angriffs. Da ist zum Ersten der heimliche Datendiebstahl. Dabei verschaffen sich die Täter:innen einen verborgenen Zugang über das Internet auf den Rechner, beispielsweise über den nicht sicher genug eingestellten Router, über Programmierlücken im Betriebssystem oder in der Software. Ende Dezember 2021 wurde beispielsweise eine Schwachstelle in sogenannten Java-Anwendungen entdeckt, das sind Teilstücke vieler kommerzieller Software- und freier Open-Source-Programme. Während also der Rechner oder das Tablet scheinbar stabil läuft, schleichen sich Datendieb:innen im Hintergrund über das Internet ein. Auf dem Rechner können sie dann beispielsweise Daten ihrer Wahl absaugen, um die Eigentümer:innen später zu erpressen, um ihre Daten an Dritte zu verkaufen oder auch, um politischen Einfluss auszuüben.

Zum digitalen Diebesgut können beispielsweise schon Steuererklärungen oder Lohnabrechnungen gehören, vielleicht auch Familienfotos, die nicht für jede:n bestimmt sind, oder auch, besonders brisant, Zugangsdaten für das Bank- oder E-Mail-Konto.

Ein Gruß aus dem Trojanischen Pferd?

Von hier ist der Weg nicht weit zur zweiten Art des digitalen Angriffs, der Blockade eines Rechners durch „Ransomware“. Dahinter verbirgt sich ein Programm, das sich im gekaperten Computer einnistet und aus der Ferne seine Daten verschlüsselt, vielleicht auch den Zugang zum Rechner oder gar zum gesamten Netzwerk blockiert. Der Zugang wird von den anonymen Hackern erst wieder freigegeben, wenn Lösegeld gezahlt wird.

Die Täter:innen verstecken die Ransomware in einer E-Mail, die an den „Opfer-Rechner“ geschickt wird. Dieser E-Mail sieht man ihren gefährlichen Inhalt nicht an. Vielmehr sieht sie aus, als enthielte sie irgendetwas Hilfreiches – und als käme sie von einer vertrauenerweckenden Adresse: von einem Freund, von einer Kollegin oder, besonders häufig, von einer als solide geltenden Instanz, sagen wir: von den Stadtwerken A, der Bank B oder dem Reiseanbieter C.

Bisweilen werden auch Internetlinks so fingiert, dass sie nach dem Anklicken Ransomware auf den Rechner laden.

Die Schadenshöhe, angerichtet durch Cyber-Kriminalität, ist immens – und sie nimmt von Jahr zu Jahr zu. Dem Branchenverband Bitkom zufolge wurde 2020/21 allein in deutschen Wirtschaftsunternehmen durch Datenklau, Cyber-Spionage oder auch -Sabotage ein Schaden von rund 220 Mrd. Euro angerichtet. Damit wären die Jahresetats der Bundesministerien für Arbeit und Soziales, Verkehr und Digitales sowie Landwirtschaft und Umwelt schon mal gedeckt. Und noch ein Vergleich: Im Vorjahr war der Schaden nur halb so groß.

Nach digitalem „Anhalt“ ein großes „Bitterfeld“: Der erste Cyber-Katastrophenfall

Ländliche oder kleinstädtische Kommunalverwaltungen wurden in jüngster Zeit auffallend häufig Opfer solcher Erpresserattacken. In Sachsen-Anhalt kam es im Sommer vergangenen Jahres sogar zum ersten Cyber-Katastrophenfall in Deutschland: Unbekannte hatten das gesamte Computer-Netzwerk der Kreisverwaltung Anhalt-Bitterfeld per Schadsoftware gekapert und verlangten Lösegeld. Der Landkreis blieb für Wochen komplett lahmgelegt.

Um den Druck zu erhöhen, stellten die anonymen Täter:innen einen Teil der erbeuteten Daten sogar ins Netz: private Daten von 92 Personen, unter ihnen 42 Kreistagsmitglieder,  Bankverbindungen, Namen früherer Arbeitgeber, nicht-öffentliche Sitzungsprotokolle – solche Sachen.

Der Landkreis ging auf die Erpresser:innen nicht ein. Stattdessen wurde das Bundesamt für Sicherheit in der Informationstechnik (BSI) gerufen. Und sogar auch die Bundeswehr. Sie half unter anderem dabei, ein Notnetz aufzubauen. Ein Großteil der Daten war gesichert und konnte rekonstruiert werden. Der Katastrophenfall wurde aber erst nach sechs Monaten wieder aufgehoben. Ein vollständig neues IT-Netz soll in diesen Tagen wieder in Betrieb genommen werden. Nach Presseberichten soll das ganze 2 Mio. Euro verschlungen haben.

Stadtwerke, Kliniken, Sozialdienste: Lohnende Ziele?

Anhalt-Bitterfeld war und ist überall. Ähnliche Attacken gab es in Geisenheim im Rheingau-Taunus-Kreis, in Wolfenbüttel in Niedersachsen, im Landkreis Ludwigslust in Mecklenburg-Vorpommern, in Witten im Ennepe-Ruhr-Kreis oder in Neustadt am Rübenberge bei Hannover.

Ziele der Attacken waren kommunale Dienste und Internetangebote, aber auch Einrichtungen wie etwa Stadtwerke, Krankenhäuser oder Sozialdienste. Die den Grünen nahestehende Heinrich-Böll-Stiftung hat ein öffentliches Verzeichnis solcher Attacken angelegt. Seit 2021 verzeichnet sie hier eine „deutliche Zunahme“ .

Agrarunternehmen: „Besonders anfällig zwischen Saat und Ernte“

Besonders attraktiv für Cyberangriffe scheint derzeit auch die Agrar- und Ernährungswirtschaft zu sein. Die Attacke auf Fendt passt in ein Muster, vor dem erst kürzlich die amerikanische Sicherheitsbehörde, das FBI (Federal Bureau of Investigation), eindringlich gewarnt hat. So seien landwirtschaftliche Betriebe und Agrarunternehmen durchweg digitalisiert und deswegen auch anfällig. Vor allem zwischen Saat und Ernte seien sie besonders erpressbar. Sie sollten sich also jetzt darauf einstellen, verstärkt ins Visier von Cyberkriminellen zu geraten, warnte das FBI. So seien allein seit dem Herbst vergangenen Jahres mehrere Getreidegenossenschaften, ein Futtermittelunternehmen und eine weitere Agrarfirma, die mit Getreide, Saatgut und Düngemitteln handelt, Opfer solcher Angriffe geworden. Namen, Orte und Firmen werden nicht genannt.

„Die USA sind weit weg!“ – mag nun manche:r ländlich-landwirtschaftliche Unternehmer:in hierzulande denken. Gefühlt mag das stimmen. Aber für Hacker, wo immer sie sitzen, ist alles nur ein paar Mausklicks voneinander entfernt: der Getreidespeicher in Texas, der Melkroboter-Hersteller in Schleswig-Holstein, das Futtermittelwerk am Dortmund-Ems-Kanal – oder die Traktorenbauer im Allgäu.

Macht sich strafbar, wer Lösegeld zahlt?

Wer mit dem Gedanken spielt, sich bei so einer Cyberattacke mit Lösegeld freikaufen zu können, geht ein hohes Risiko ein. Denn er kann sich wegen „Unterstützung einer kriminellen Vereinigung“ strafbar machen. Nach Paragraph 129 Absatz 1, Satz 2 des Strafgesetzbuchs kann das eine Freiheitsstrafe von bis zu drei Jahren oder eine Geldstrafe nach sich ziehen.

Bislang sei zwar in Ransomware-Fällen niemand angeklagt worden, erklärte kürzlich NRW-Oberstaatsanwalt Markus Hartmann, Leiter der Zentral- und Ansprechstelle Cybercrime (ZAC NRW), auf einer Tagung der Wirtschaftsstrafrechtlichen Vereinigung und der Generalstaatsanwaltschaft Köln. Aber, so zitiert ihn die Frankfurter Allgemeine Zeitung vom 11. Mai 2022: „Es gibt aktuell keine Rechtssicherheit.“ Natürlich habe ein angegriffenes Unternehmen nicht die Absicht, eine kriminelle Vereinigung zu unterstützen. Aber genau auf diese Absicht komme es für die Strafbarkeit gar nicht an.

Auf der Tagung warf Hartmann übrigens auch die Frage auf, ob man stattdessen nicht sogar einen neuen Tatbestand brauche, nämlich: „Grob fahrlässige Schlamperei bei der IT-Sicherheit“…

Was war mit den still stehenden Windrädern?

Und jetzt haben wir noch gar nicht über die dritte Art des Cyberangriffs gesprochen: die digitale Sabotage. Dabei dringen Angreifer:innen gezielt in ein System ein, um dort Schaden anzurichten oder es sogar vollständig „auszuschalten“. Lösegeld oder so etwas interessiert sie also gar nicht, sondern nur: Störung oder gar Zerstörung.

Nach allem, was mittlerweile bekannt ist, zählt die Stille der 5800 Windräder in diese Kategorie der Sabotage. Im März, wenige Tage nach der Störung, war zumindest die technische Ursache klar: Ein Weltraum-Satellit namens KA-SAT war in einer digitalen Attacke stillgelegt worden. Gewöhnlich führt dieser Satellit Kommunikationsdienste durch und verbindet etwa 30.000 Terminals in Mitteleuropa miteinander, darunter auch rund 5800 Windräder.

Keine Gefahr, aber …

„Eine Gefahr für die Windenergieanlagen bestand und besteht nicht“, teilte der Hersteller Enercon am 19. April der Öffentlichkeit mit. Mehr als 1200 Windparks und damit rund 95 Prozent der betroffenen Windräder seien wieder erreichbar, entweder über eilig installierte Modems oder über LTE/Mobilfunk. „Netzbetreiber haben weiterhin uneingeschränkt Zugriff auf die Anlagen, um deren Verhalten im Stromnetz zu steuern – beispielsweise um die Einspeiseleistung zu drosseln, sollte dies aus Gründen der Netzstabilität notwendig sein.“

Die Suche nach der Ursache ging weiter. Erst in der vergangenen Woche, am 10. Mai, erklärten die EU, Großbritannien und die USA, der russische Militärgeheimdienst GRU sei „mit ziemlicher Sicherheit“ für den Angriff vom 24. Februar verantwortlich – „it is almost certain“, heißt es in der Erklärung der britischen Behörde für Cybersicherheit. Der russische Militärgeheimdienst habe in der Hauptsache wohl dem ukrainischen Militär zusetzen wollen, das auch KA-SAT nutze. Die Attacke aber habe eben auch zahlreiche andere Kunden betroffen, darunter „windfarms and internet users in central Europe“.

Es war also keine gezielte Attacke auf Windräder, sondern eine Art Kollateralschaden. Aber das macht die Sache nicht besser.

ZUGABE

Wie schütze ich mich vor einer Cyber-Attacke?

Sind alle Fenster zu? Steckt noch der Hausschlüssel in der Garagentür? Sind mein Portemonnaie und mein Ausweis sicher in Rucksack oder Tasche verborgen? Solche Fragen stellt sich jede:r, der Haus oder Wohnung verlässt. Aber auch bei digitalen Dingen? Hand aufs Herz: Die meisten winken eher ab und fühlen sich eher aufgehalten oder gar belästigt durch Schutzmaßnahmen wie regelmäßige Datensicherung, Verwendung und regelmäßiger Wechsel komplexer Passwörter, Mehrfach-Authentifizierung.

Was jede:r dringend beachten sollte, egal ob beim Onlinebanking, beim Smart Home oder beim Tummeln in sozialen Medien, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) hier zusammengestellt. Die Seite bietet gute Tipps zur Cybersicherheit, geschrieben für Einsteiger und digitale Laien.

Wer tiefere Einblicke ins Thema erhalten möchte, kann bei den Kolleg:innen des Computerportals Heise online stöbern.

Theater unter freiem Himmel

„Jim Knopf und Lukas der Lokomotivführer“ brausen an diesem Wochenende durch die Balver Höhle im Sauerland. Es ist eine der ersten Aufführungen dieser Saison auf den Freilichtbühnen im Land. Zwischen Westerstede im Norden und Emmendingen im Süden gibt es mehr als 80 dieser Laienbühnen, die meisten von ihnen auf dem Land. Eine Übersicht aller Freilichtbühnen und natürlich auch einen aktuellen Spielplan gibt es hier.

Viele Grüße und Ihnen alles Gute wünscht

Gisbert Strotdrees