Wehe, wenn länger der Strom ausfällt

Beim Symposium „Licht aus im Ruhrgebiet“ wird deutlich: Weder Staat noch Bürger sind für einen Blackout gewappnet

Cyberangriff auf ein Krankenhaus, kriminelle Hacker wollen ein Millionen-Lösegeld erpressen. Alle IT-Systeme heruntergefahren. Während das FBI ermittelt, sterben dutzende Intensivpatienten durch fehlgesteuerte Medikamentenpumpen und Beatmungsgeräte. Am 23. Februar 2016 flimmerte das Katastrophenszenario in der TV-Serie „CSI:Cyber“ über deutsche Bildschirme. Was die wenigsten Zuschauer wussten: Knapp zwei Wochen vorher war die Bedrohung ganz real. Direkt vor unserer Haustür. Cyberangriff auf das Lukaskrankenhaus in Neuss, alle IT-Systeme heruntergefahren. Erpressung durch kriminelle Hacker, FBI und LKA ermitteln. Die finale Katastrophe bleibt beim am 10. Februar gestarteten Hackerangriff zum Glück aus, Menschen kommen nicht zu Schaden. Der von Dr. Nicolas Krämer, kaufmännischer Geschäftsführer des Lukaskrankenhauses, mit vielen Details dargestellte Zwischenfall zeigt mit bestürzender Klarheit: Jederzeit kann ein Angriff von außen unsere vermeintlich sichere Alltagwelt nachhaltig erschüttern. SIND WIR DARAUF ANGEMESSEN VORBEREITET? Mit dieser zentralen Problemstellung beschäftigte sich die dritte Diskussionsrunde der Reihe „Das Ruhrgebiet – ein sicheres Stück Deutschland?“, organsiert vom Gesprächskreis Innere Sicherheit NRW und der Brost-Stiftung in der Mülheimer Wolfsburg. Das Symposium „Licht aus im Ruhrgebiet – Stromausfall eine unterschätzte Gefahr?“ bemühte sich um Antworten auf die Fragen: Wie wahrscheinlich ist ein Stromausfall im bevölkerungsreichen Ruhrgebiet? Welche Gefahren sind damit verbunden? Wie gut sind unsere Hilfsorganisationen, die Polizei und Energieversorger auf den Fall der Fälle vorbereitet? ZWISCHENZEILE: Wie kommt Benzin ohne Strom aus der Zapfsäule?   Um Sie bereits hier angemessen zu beunruhigen, drei Fakten: Allein im Februar 2016 ereigneten sich 28 Hackerangriffe auf Krankenhäuser in NRW, der jährliche wirtschaftliche Schaden durch Hackerangriffe weltweit liegt bei 55 Milliarden Euro. ABER: MEHR ALS 50 PROZENT DER NRW-UNTERNEHMEN HABEN KEINE NOTFALLPLANUNG FÜR DEN FALL EINES ERFOLGREICHEN ANGRIFFS! Selbst die Krisenszenarien der öffentlichen Sicherheitsorgane beruhigen nicht wirklich, wie Frank Richter, Polizeichef von Essen und Mülheim, zur Einstimmung in die Debatte ausführte. „Wir haben mit allen Beteiligten einmal den Notfall eines totalen Stromausfalls durchgespielt. Die Pläne halten dem Praxistest nicht stand, beispielsweise bei der Benzinversorgung für Polizeifahrzeuge. Stichproben ergaben, dass ein Großteil der Tankstellen nicht über eine Handpumpe verfügte. Wie soll der Sprit dann in die Fahrzeuge gelangen, wenn der Strom für die Zapfsäule fehlt?“ Derartige Mängel bei der praktischen Gefahrenabwehr und Krisenbewältigung legten die Referenten im Laufe der Debatte beängstigend oft offen. DIE ZENTRALE SCHWACHSTELLE BEI ANGRIFFEN AUF IT IN SICHERHEITSRELEVANTEN BEREICHEN IST JEDOCH DER MENSCH! „Tests bei uns und in anderen Krankenhäusern haben bewiesen, dass noch bis zu 50 Prozent der Mitarbeiter die Anhänge von unbekannten Mailabsendern angeklickt haben, obwohl wir vorher eindrücklich davor gewarnt haben“, erklärte Nicolas Krämer. Sogenannte Pishing Mails (Kunstwort aus „Password" und „fishing", steht für das Stehlen von Passwörtern) öffnen das Einfalltor für Hacker.   Zwischenzeile: Fotografieren Sie nicht Ihre Bordkarte!   Was dann passiert, führte Matteo Cagnazzo auf der Klaviatur eine Profihackers vor. „92 Prozent aller erfolgreichen Hackerangriffe starten mit einer Pishing Mail“, erklärte der Experte für IT-Sicherheit. Live demonstrierte er dem zunehmend verunsicherten Publikum, wie leicht ein Hacker sich Zugang zu einem vermeintlich sicheren Account verschaffen kann. Ein Beispiel: fotografierte Bordkarten, die viele Menschen (Sie auch?) zur Sicherheit bei Instagram ablegen. Mit dem naheliegenden Hashtag verschaffte sich Cagnazzo Zugriff auf eine Unzahl von Bordkarten, Klarnamen und weitere Details. Der Weg zu Kreditkartendaten war nicht mehr weit... Als Geschäftsführer eines Unternehmens für IT-Sicherheit spürt Cagnazzo den Schwachstellen und der Leichtfertigkeit von Nutzern nach, um Hackern das Leben schwerer zu machen. Im Zeitalter rasant wachender Digitalisierung und Vernetzung eine mission impossible: 2020 wird es weltweit 20 Milliarden vernetzte Geräte geben. „Je mehr Systeme vernetzt sind, desto mehr Angriffsflächen bieten sie für Kriminelle, Terroristen oder fremde Staaten,“ warnte Dr. Christian Endreß (Allianz für Sicherheit in der Wirtschaft/ASW). Er machte die Bedrohungslage z.B. durch einen Blackout anfassbar. In Form von roten ( für „falsch“) und grünen Stimmkarten („richtig“), mit denen er das Publikum bestimmte Thesen bewerten ließ. Erkenntnis: Die überwiegende Mehrzahl hatte das richtige Gefühl für den Ernst der Lage.   Zwischenzeile: Deutschland hat kein Konzept bei einem Blackout These 1: „Die meisten Kommunen in Deutschland sind auf einen Stromausfall vorbereitet.“ Denkste! Aber dafür fallen Telekommunikations- und Datendienste teilweise schon nach wenigen Stunden oder sofort aus. Nach 24 Stunden ist die Funktionsfähigkeit des Gesundheitssystems erheblich beeinträchtigt, Grundnahrungsmittel durch Hamsterkäufe ausverkauft. Chaos vor Banken und Geldautomaten, Verkehrsunfälle durch Ampelausfall, Gefängnisausbrüche durch Ausfall der Sicherungssysteme. Die wissenschaftlich belegte Gesamtbetrachtung des deutschen Krisenmanagements mit hohem Potential zum Auslösen von Schlafstörungen: „Ein Gesamtkonzept zur Bewältigung von Krisen unter Einschluss von Ernährungsnotfallvorsorge liegt derzeit nicht vor.“ Trotz der vom damaligen Innenminister Thomas de Mazière bereits 2016 dargestellten Gefahrenlage: „Strom, Wasser, IT-Versogung, Ernährung bieten vielfältige Angriffspunkte. Für mich persönlich ist am wahrscheinlichsten ein regional oder überregional lang anhaltender dauerhafter Ausfall der Stromversorgung.“ Mit Fakten lässt sich die Sorge des Ex-Innenministers freilich nicht belegen, wie Peter Speckbruck (RWE Konzernsicherheit) abschließend (zur Verbesserung der Einschlafqualität des Publikums) erläuterte. Laut Bundesnetzagentur betrug die durchschnittliche Strom-Unterbrechungsdauer pro Kunde im Fünfjahresvergleich 2016 nur 11,5 Minuten. Aber Speckbruck sagt auch, dass Bestseller-Autor Marc Elsberg die Prozesse des 14-tägigen Stromausfalls in seinem Buch „Blackout – Morgen ist es zu spät“ realistisch dargestellt hat. KÖNNEN WIR UNS ALSO ENTSPANNT WIEDER HINLEGEN? Polizeichef Richter warnt mit leichtem Augenzwinkern: „Die Verantwortungsspirale funktioniert bei uns noch nach einem Grundmuster. Wenn sich auf die Frage Wer ist im Ernstfall verantwortlich keiner findet, lautet die Quintessenz: Das wird schon nicht passieren...“ P.S. Laut einer Umfrage besitzen nur 17 Prozent der Deutschen genügend Vorräte, um einen Stromausfall von 14 Tagen zu überstehen.