Es klingt nach einem Albtraumszenario: Hacker dringen in die System eines Strombetreibers ein, um die Steuerung des Netzes unter ihre Kontrolle zu bringen. Und doch scheint genau das öfters zu passieren als man gemeinhin annehmen möge, wie die Nachrichtenagentur AP berichtet.

Blackout? Noch nicht.

In den letzten zehn Jahren sind zwölf Fälle dokumentiert, in denen es Hackern gelungen ist, die Steuerung von Teilen des US-Stromnetzes zu übernehmen. Sicherheitsexperten gehen davon aus, dass meist fremde Regierungen oder kriminelle Organisationen hinter den Angriffen stehen. All diese Attacken scheinen derzeit aber lediglich als Vorbereitung gedacht zu sein, um dann im Fall des Falles losschlagen zu können und etwa einen Blackout zu provozieren.

Spurensuche

Als Beispiel nennt der Bericht einen Angriff gegen den texanischen Energieversorger Calpine, der in den USA und Kanada insgesamt 82 Kraftwerke betreibt. Bei diesem sei im Sommer 2013 ein geknackter FTP-Server gefunden worden. Die weitere Untersuchung habe ergeben, dass die Angreifer gezielt versucht haben Passwörter und Zugangsdaten bei Angestellten des Stromanbieters – und bei seinen Partnern – abzugreifen. Infolge wurden dann unter anderem geheime Baupläne gestohlen und Schadsoftware im System hinterlassen. Bei der Analyse der Malware wurden dann zahlreiche Kommentare in Farsi gefunden, es dürften hier also iranische Hacker am Werk gewesen sein.

Fehler

Ganz allgemein streicht der Bericht aber auch heraus, wie marod die IT-Infrastruktur bei solch kritischer Infrastruktur ist. So würden bei vielen Stromversorgern noch immer Rechner mit Windows 95 laufen. Auch nicht gerade hilfreich ist, dass viele betroffene Unternehmen erfolgreiche Einbrüche in ihre Systeme verheimlichen, um sich nicht der öffentlichen Kritik stellen zu müssen. Zumindest letzteres sollte aber in Zukunft ein Ende finden: Mit dem Cybersecurity Act hat der US-Kongress unlängst ein Gesetz verabschiedet, das – neben viele umstrittenen Punkten – Unternehmen zum Austauch von Informationen über Hacks verpflichten soll. (red, 23.12.2015)