Hacker-Kongress: Schutz kritischer Infrastruktur im Fokus

Manchmal bleiben Züge einfach stehen. Nicht nur in Deutschland, auch in Polen. Die niederschlesische Eisenbahn war im Sommer vergangenen Jahres davon betroffen. Und die Experten waren ratlos.

Die Züge standen nämlich zur Wartung in einer Zugreparaturwerkstatt namens SPS. Deren Techniker haben die Züge einfach nicht zum Laufen bekommen. "Die SPS-Leute haben dann einfach mal 'polish hackers' gegoogelt und sind auf uns gestoßen", berichtet Michal Kowalczyk, Netzname Redford.

Er und seine Kollegen von der ethischen Hackergruppe Dragon Sector wollen nach eigenen Angaben einen undokumentierten Freischaltcode gefunden haben, der über das Zugführerpult eingegeben werden konnte. Aber das sei nicht das einzige Problem gewesen, heißt es. Denn insgesamt hätten die Hacker gleich mehrere Codes entdeckt, die zum Zugausfall führten.

Außerdem fanden die Hacker nach eigenen Angaben noch ein sogenanntes "Geofencing-Werkzeug". Es soll bewirken, dass Zugriffe auf die Zugsteuerung nicht angenommen werden vom System, wenn der Zug sich an bestimmten per GPS-Koordinaten festgelegten Orten aufhält. Diese Orte stimmten mit den Positionen der herstellerunabhängigen Werkstätten überein.

Die Hacker von Dragon Sector sagen, dass auf diese Weise herstellungsunabhängige Wartungswerkstätten per Geolokalisation erkannt werden, eben um zu verhindern, dass andere Werkstätten als von Newag zugelassene solche Wartungs- und Reparaturarbeiten ausführen können.

Zughersteller Newag bestreitet das. Man habe keine Werkstatt-Erkennungssoftware eingebaut. Newag behält sich eine Klage wegen Verleumdung und wegen Verletzung von Urheberrechten vor. Außerdem hat der Hersteller die für den Eisenbahnverkehr zuständigen polnischen Behörden informiert, weil in die Zugsteuerungssoftware eingegriffen worden sei. Das sieht der Hersteller als ein Sicherheitsproblem an.

Nicht nur der Eisenbahnverkehr hat mit derartigen Sicherheitsproblemen und mit Software zu tun, die für Ausfälle sorgt. Auch digitale Pumpensteuerungen in Wasserwerken oder Lastverteilungsrechner in der Stromversorgung sind davon betroffen.

Nicht immer sind es digitale Angriffe, die hier zu Ausfällen führen. Mitunter sorgt eine Kontrollsoftware für unerwünschte Nebenwirkungen. Oder an eine Steuerungssoftware wurden immer wieder Bestandteile angebaut. Irgendwie wird sie dann nicht mehr durchschaubar und unkontrollierbar.

Bis zum Ausfall einer kritischen Infrastruktur ist es dann nicht mehr weit. Deshalb kümmert sich die AG Kritis, eine zivilgesellschaftliche Community, um solche Probleme.

Die Nerds haben während der vergangenen Jahre viele Vorschläge gemacht, wie Verkehrsleitsysteme und andere kritische Infrastrukturen besser geschützt werden können. Umso geschockter waren die technischen Sachverständigen des Chaos Computer Clubs, als kurz vor Weihnachten der Entwurf zur Umsetzung der EU-Richtlinie zur Absicherung kritischer Infrastruktur vom Innenministerium veröffentlicht wurde.

Ihre Vorschläge standen da nicht mehr drin. "Wir sind ziemlich frustriert, vor allen Dingen, weil weiterhin Bereichsausnahmen drin sind", bringt Johannes Rundfeldt von der AG Kritis die Enttäuschung der Hacker auf den Punkt.

Staatliche Stellen, Kommunalverwaltungen, das Finanz- und Versicherungswesen oder der Bereich Telekommunikation sind weitgehend von den angedachten gesetzlichen Maßnahmen zum Schutz kritischer Infrastrukturen ausgenommen.

Die Bewertung der Hacker auf dem Chaos Communication Congress ist einhellig: Ein desaströser Gesetzesentwurf. Dabei könnten die Politiker sich doch auf dem 37c3 an vielen Beispielen erläutern lassen, welche verheerenden Konsequenzen unzureichender Schutz von Wasserwerken, Energieversorgung, Telekommunikationsunternehmen habe, meinen die Nerds.