Mobilität, Energie, Kommunikation : Warum wir nicht schutzlos gegen Cyberattacken sind

Es ist der 17. Februar 2026, als die Website und die Buchungs-App der Deutschen Bahn über Stunden ausfallen. Die Ursache, wie sich später herausstellt: eine DDoS-Attacke auf das Unternehmen.

Drei Jahre zuvor, am 15. Februar 2023: Ausfall zentraler IT-Systeme bei der Lufthansa, Annullierung zahlreicher Flüge samt temporärer Schließung des Frankfurter Flughafens, tausende Passagiere stranden. Die banale Ursache: Bauarbeiten entlang einer Bahnstrecke, die ein dort verlegtes Glasfaserkabel der Telekom für den Kunden Lufthansa beschädigt hatten.

Die Nacht vom 11. auf den 12. September 2020: Nach einem Ransomware-Befall muss die Uniklinik Düsseldorf eine Notfallpatientin abweisen, die nach Wuppertal weitertransportiert werden muss und entsprechend erst verzögert behandelt werden kann. Die Patientin stirbt. Auch wenn amtlich festgestellt wurde, dass die Abweisung nicht ursächlich für den Tod war, bleibt ein Beigeschmack.

Das sind nur drei von vielen Fällen im Bereich kritischer Infrastrukturen, bei denen nach der ersten Aufregung eine genaue Analyse folgen sollte. Denn in diesen Fällen, wie bei anderen Vorkommnissen, stellt sich immer wieder heraus, dass grobe handwerkliche Fehler bei der Planung und dem Betrieb von Infrastruktur und Software maßgeblich waren für die Auswirkungen bei den Kunden.

Ob Bagger, DDoS-Attacke oder banale Ransomware: Hunderte Male kommen diese Fälle jedes Jahr in der Praxis vor und sie wären weitgehend vermeidbar, hätte Deutschland beim Thema Cybersicherheit seine Hausaufgaben gemacht.

Kein Ruhmesblatt für die Verantwortlichen

DDoS-Attacken etwa sind seit gut einem Vierteljahrhundert bekannt. Professionelle Dienstleister wie Cloudflare oder Akamai bieten schlüsselfertige Lösungen für die Abwehr solcher Angriffe für Unternehmen, deren Business von Webseiten abhängt. Kaum ein nennenswertes E-Commerce-Unternehmen verzichtet heute auf derartige Services. Die Bahn hatte so etwas augenscheinlich nicht implementiert.

Noch banaler ist der Vorfall bei der Lufthansa: Hier hat schlicht ein Ausweichweg für die Rechenzentrumsanbindung gefehlt oder die Umschaltung auf einen solchen Ersatzweg hat nicht funktioniert. In beiden möglichen Fällen kein Glanzstück der Infrastrukturverantwortlichen, denn die heute für private wie öffentliche Netze dominierende IP (Internet Protocol) -Technologiebasis ist von Haus aus darauf ausgelegt, derartige Störungen im System weitgehend automatisch zu kompensieren. Wenn man sich an grundlegende Bauvorgaben hält. Bei Hochverfügbarkeitsanforderungen in Datennetzen plant man üblicherweise mit „knoten- und kantendisjunkten“ Alternativwegen. Man führt das Reservekabel so, dass der berühmte Bagger oder eine andere Störung dies nicht beim gleichen Vorfall „mit erledigen“ kann. Wie das Beispiel Lufthansa zeigt, nicht immer selbstverständlich.

Organisationsversagen statt Schicksal

Auch der Befall mit Ransomware ist keinesfalls ein gottgegebenes Schicksal, sondern meist eher ein Organisationsversagen, hat doch entweder jemand „auf den falschen Link geklickt“ (was das Uniklinikum ausschließt), oder man hat bei Auswahl und Betrieb und Updates/Patching der Software gepfuscht.

Ein echter „Zero-Day“-Vorfall – bei dem man als Unternehmen Opfer wird, ohne wirklich etwas dagegen tun zu können – ist die große Ausnahme. Häufiger ist da schon eine nachlässige Software-Verwaltung oder das, was man gemeinhin „Schatten-IT“ nennt. In so einem Fall nutzt eine Fachabteilung eines Unternehmens oder einer öffentlichen Einrichtung eine Software ohne Rücksprache mit der IT-Abteilung, zumeist, ohne über die Security-Implikationen nachzudenken. Bei einem bekannten süddeutschen Zeitungsverlag hatte der Autor im Juni 2022 eher zufällig ein solches Problem gefunden und die Inhaberschaft informiert. Der CIO ist aus allen Wolken gefallen, er wusste schlicht nicht, dass gleich zwei Instanzen der störanfälligen Software „Confluence“ der Firma Atlassian in seinem Unternehmen in Betrieb waren. Später stellte sich heraus, dass diese Software testweise installiert und dann „vergessen“ worden war. Ein ideales Einfallstor für eine Cyber-Attacke. Eine Attacke, deren Erfolg in diesem Fall durch „Stecker ziehen“ schlussendlich verhindert werden konnte.

Dennoch gilt: „Stecker ziehen“ ist keine besonders nachhaltige Sicherheitsstrategie und kommt oft zu spät. Dies bekommen zunehmend Energieversorger, aber auch Fertigungsunternehmen zu spüren. Das Problem dort: Energieversorgungssysteme und Fertigungsanlagen haben typischerweise eine Lebensdauer von Jahrzehnten, viel länger als die Hardware und Software für die Steuerung.

Abhängigkeiten in der Lieferkette

Die eingesetzte Steuerungstechnik wird meist mit der Inbetriebnahme installiert und läuft auch dann weiter, wenn es keine Updates mehr gibt. Windows NT, Windows 95 – teils ist die Betriebssoftware Dekaden alt. Das ist alles kein Problem, solange es keine Verbindung nach „draußen“ gibt. Doch in den letzten Jahren wurden nicht nur Fertigungsanlagen immer mehr vernetzt, auch Energiesysteme bedürfen zunehmend externer Überwachung und Steuerung. Ein „Smart Grid“ ist ohne diese kaum denkbar.

Doch nicht nur grundlegende Planung, Software-Wartbarkeit/-Wartung und Schatten-IT können zum Problem werden. Auch die Abhängigkeiten in der Lieferkette können eine Rolle spielen und speziell bei Telekommunikationsunternehmen für Risiken sorgen, die weit über den Betreiber hinausreichen. Dies betrifft den Einsatz von Komponenten für Festnetz und Mobilfunknetze, wo ohne chinesische Netzausrüster kaum noch etwas geht. Betroffen ist auch das gesamte von Unternehmen genutzte Hardware-Software-Ökosystem, das längst globalisiert ist und auf Komponenten und Services setzt, deren Verfügbarkeit nicht standardmäßig gesichert.

Thomas Köhler ist Verfasser mehrerer Bücher zur Sicherheit im Netz, zuletzt „Cybersicherheit“ (Campus-Verlag). Der Autor ist Research Professor an der Hankou University/China und Geschaftsführer der Technologieberatung CE21 in München.