Hacker attackieren Regierungscomputer. Sie nehmen die Seiten von Online-Zeitungen vom Netz, kappen die Stromversorgung Zehntausender Haushalte und sabotieren die Steuerungssysteme unserer Häuser. Black Monday in Österreich! Ein digitaler Mega-Angriff trifft unser Land.
Es könnten islamische Fundamentalisten sein. Terroristen, eine kriminelle Vereinigung oder auch ein Hacker-Kollektiv, das in Österreich ein ideales Testgelände für größere Aufgaben sieht. Egal, an diesem Montag – später wird er „Black Monday” genannt werden – spielen die Hintermänner der Attacken zunächst keine Rolle. Erstmal macht sich an diesem Tag X Erstaunen breit. Erstaunen darüber, dass unbekannte Angreifer auf Knopfdruck einfach so mediale Inhalte ändern und damit unseren geordneten Tagesablauf – zumindest ein Stück weit – durcheinanderbringen können.
Tag X, 7.34 Uhr
Zum Frühstück gibt es weiche Eier mit Speck, dazu Kaffee und einen Distributed Denial of Service (DDoS)-Angriff. Unter der Last einer Angriffskapazität von 280 Gigabit pro Sekunde gehen österreichische Online-Zeitungen und News-Portale offline. Die Websites des Bundeskanzleramts und des Bundesministeriums für Inneres werden „defaced”, Terroristen bringen sie also unter ihre Kontrolle und nutzen die Seiten zur Verbreitung propagandistischer Parolen. Über Twitter (#WarOnAustria) und Facebook verkünden die Angreifer ihre Erfolge. Die österreichische Bevölkerung reagiert (noch) weitgehend uninteressiert.
Tag X+1, 9.06 Uhr
Die DDoS-Attacken dauern auch am nächsten Tag an. Es erscheinen fremde Inhalte in TV-Kanälen, nachdem der Sendebetrieb schon durch Streaming ersetzt wurde. Lästig, aber von Besorgnis ist im Land nichts zu spüren.
Tag X+4, 6.30 Uhr
Jetzt geht es ans Eingemachte. Die Wasserversorgung von Großstädten wird attackiert. Die Schadsoftware erinnert an Stuxnet, welcher vor Jahren gegen iranische Atomanlagen eingesetzt wurde. Damals haben die Steuerungsanlagen falsch gearbeitet, aber Funktionsfähigkeit gemeldet. Die Angriffe scheitern, weil die PLC-Steuerungssysteme (Programmable Logic Controller = Industriesteuerungssysteme angesteuert via Internet) nur zur Überwachung eingesetzt werden.
Tag X+4, 13.12 Uhr
In drei österreichischen Behörden und Unternehmen treten Fälle von inkonsistenten Datenbeständen auf. Der Datenverlust ist auf gezielte Angriffe zurückzuführen, sogenannte Advanced Persistant Threats (APT). Im Laufe des Tages gehen 14 weitere entsprechende Meldungen bei CERT.at ein. Das österreichische Computer Emergency Response Team ist der erste Ansprechpartner in Sachen Cybersicherheit und stemmt sich gegen die Attacken.
Tag X+6, 10.01 Uhr
Sechs Tage nach Beginn der Angriffe versendet der Server eines österreichischen Energieversorgungsunternehmens eine Flut falscher SCADA-Pakete. SCADA (Supervisory Control and Data Acquisition) überwachen und steuern technische Prozesse digital und werden über Web fernbedient. Der Angriff bewirkt, dass die Balance zwischen Produktion und Verbrauch nicht mehr abgelesen werden kann. Ein daraus resultierender Kaskadeneffekt erfordert eine Segmentabschaltung, 89.000 Haushalte sind vorübergehend ohne Stromversorgung (Blackout).
Tag X+8, 8.10 Uhr
Von zwei Regierungsmitgliedern werden private Webcam-Mittschnitte auf Instagram und Facebook publiziert. Ein Video zeigt intime Details, das andere einen Fall häuslicher Gewalt. William Binney, der frühere NSA-Abteilungsleiter, hat wohl nicht ohne Grund dazu geraten, die Kameras von Laptos zu überkleben und dessen Mikrophone zu deaktivieren. Die österreichische Bevölkerung reagiert auf die Enthüllungen schockiert, das Vertrauen in die politische Elite geht – mitten in dieser Krise – ein Stück weit verloren.
Tag X+9, 11.23 Uhr
An Tag neun werden die Personendaten von 1,6 Millionen Kunden eines Versicherungsunternehmens online gestellt. Die DDoS-Angriffe dauern an, die Bevölkerung ist massiv beunruhigt.
Tag X+11, 7.16 Uhr
1,2 Millionen private E-Mail-Empfänger und 238.000 E-Mail-Konten in Firmen erhalten eine offizielle Nachricht des Innenministeriums mit einer „Empfehlung zum Umgang mit der aktuellen Krisensituation”. Die E-Mail ist gefälscht und enthält ein PDF mit Schadcode, der 98.000 Privat-PCs und 15.000 Firmen-Computer infiziert. Eine Hälfte der infizierten PCs verschlüsselt die Netzlaufwerke und macht sie unbrauchbar. Die andere Hälfte startet eine konzertierte DDoS-Attacke gegen heimische Websites.
Tag X+13, 16.05 Uhr
Über das Internet anwählbare PLC-Steuerungen werden von Angreifern übernommen. Betriebe sind dadurch in ihrer Produktion erheblich beeinträchtigt, Waren-Bestellungen können nicht mehr durchgeführt werden. Der Schaden beträgt mittlerweile Hunderte Millionen Euro, der Angreifer ist aber immer noch unsichtbar. Die Behören wissen weder, mit wem sie es zu tun haben, noch von wo die Attacken geritten werden. Erschwerend kommt hinzu, dass nun auch viele Steuerungssysteme von Gebäuden nicht mehr einwandfrei funktionieren. Die Bundesregierung erwägt eine Einschränkung des Internet-Datenverkehrs.
Zurück ins Hier und Jetzt und zur Frage, ob Entwicklungen wie in unserem Horrorszenario tatsächlich möglich wären. „Ja”, sagt Cybersicherheits-Experte Harald Reisinger, Geschäftsführer des IT-Security-Dienstleisters RadarServices. „Moderne Gesellschaften sind hochgradig vernetzt und von funktionierenden Strukturen der Informationstechnologie abhängig.” DDoS-Attacken seien laut Reisinger längst Realität. „Die zentrale IT-Infrastruktur eines österreichischen Telekommunikationsanbieters wurde kürzlich über mehrere Tage lahmgelegt”, nennt Reisinger ein Beispiel. „Der Internetzugang für Kunden funktionierte nicht oder nur teilweise. Medienberichte sprachen von Erpressung, angeblich wurde ein mehrstelliger Millionenbetrag in Bitcoins (digitale Währung) gefordert, um die Angriffe zu stoppen.” Auch das Fernsehen war schon Ziel von Attacken. Im Mai 2015 übernahm der Islamische Staat beinahe das Programm des französischen Senders TV5 Monde. Die Terrororganisation hätte damit ihre Propaganda ungehindert in mehr als 200 Länder verbreiten können.
Beim Österreichischen Rundfunk wäre laut dem ORF-Sicherheitsbeauftragten Pius Strobl ein derartiges Vorgehen von Terroristen ausgeschlossen: „Bei uns sind die digitalen Zufahrtswege zur Übertragung gesperrt, weil die senderelevanten Systeme von den anderen getrennt sind. Der Datenstrahl ist auf diesem Wege nicht manipulierbar und die Übertragung kann gegenüber dem Zuseher nicht verändert werden.” Im Gespräch mit Militär Aktuell sieht Strobl vor allem kleine und mittelständische Betriebe im Visier digitaler Aggressoren. „Für den vergleichsweise großen ORF ist die Sicherheit ein bilanzrelevanter Ausgabeposten”, so Strobl. „Aber auch für uns wird es immer schwieriger, mit den technologischen Entwicklungen Schritt zu halten.”
Für Philipp Timmel, langjähriger Penetration-Tester, sind auch Private vor Cyberattacken nicht gefeit: „Smartphones haben unseren Vernetzungsgrad enorm gesteigert. Sie verfügen über Features, die über das Telefonieren weit hinausgehen und zahlreiche Angriffsmöglichkeiten bieten.” Reisinger präzisiert: „Mit einem Cryptolocker kann ein Angreifer beispielsweise persönlichen Daten digital in Geiselhaft nehmen und für deren Freigabe Geld verlangen. Oder er droht damit, alle digitalen Funktionen eines Hauses zu deaktivieren. Digitale Schutzgelderpressungen sind so längst ein weltweites Business und Terroristen könnten auf diesem Weg auch Unsicherheit und Angst verbreiten.”
Reisinger geht im Zuge der fortschreitenden Digitalisierung von einer Potenzierung der Gefahren aus. „Unsere Daten verraten viel über unseren Alltag und machen uns damit angreifbar. An die negativen Folgen dieser technologischen Entwicklung denkt aber noch kaum jemand.” Die Möglichkeit, bei einem Angriff der Größenordnung eines „Black Monday” das Internet abzuschalten oder den Datentransfer einzuschränken, bewertet Philipp Timmel skeptisch: „Das ist technisch schwer vorstellbar, das Internet ist und bleibt nun mal dezentral. Zudem ist davon auszugehen, dass sich auch im Land selbst terroristische Akteure aufhalten.”
Auch prophylaktische Gegenmaßnahmen sind aus Sicht des Penetration-Testers schwierig: „Es muss erst etwas passieren, bevor man reagieren kann. Wichtig ist es daher, sich auf diese Reaktion bestmöglich vorzubereiten.” Dazu zähle etwa das perfekte Zusammenspiel von Gesetzgeber, Gesellschaft und Unternehmen. Aber auch des Militärs. Im Krisenfall brauche es redundante Kommunikationsmittel und einen guten Draht zu den großen Softwarefirmen, wie ihn beispielsweise CERT.at unterhält. Hinsichtlich redundanter Systeme setzt Timmel auf das Bundesheer und Streitkräfte generell: „Militärische Systeme sind heute zivilen Ursprungs. Daher sind sie genauso angreifbar, aber das Militär verfügt darüber hinaus auch noch über den guten alten Funk, der von Internetausfällen verschont bleiben sollte, solange eine unabhängige Stromversorgung vorhanden ist. Über diesen Kanal könnte die erste Krisenkommunikation laufen und eine Abstimmung unterschiedlicher Entscheidungsträger erfolgen.”
Auch Reisinger sieht militärische Strukturen gefährdet: „Wenn das Militär glaubt, von derartigen Angriffen nicht betroffen zu sein, dann ist das eine Illusion. Alleine schon deshalb, weil die Angehörigen des Militärs als Menschen auch von den Auswirkungen einer digitalen Attacke auf die Gesellschaft betroffen sind. Also sind auch für das Militär alle Themen relevant, wie sie im Black-Monday-Szenario beschrieben sind.”
