19.08.2019 •

Licht aus im Ruhrgebiet

Thomas Fürst

Wiki Commons

Am 14.03.2019 fand das 3. Symposium als gemeinsame Veranstaltung der Essener Brost-Stiftung mit dem „Gesprächskreis Innere Sicherheit NRW“ (GIS NRW) in der Katholischen Akademie „Die Wolfsburg“ in Mülheim statt. Nachdem das 1. Symposium im Juli 2018 mit dem Oberthema „Ruhrgebiet – ein sicheres Stück Deutschland?“ gestartet ist, wurde das 2. Symposium im November 2018 verschärft in der Fragestellung „Prävention – eine Sackgasse?“ (www.broststiftung.ruhr). Die erfolgreichen Veranstaltungen fanden mehr und mehr Beachtung. Nun widmeten sich die Sicherheitspartner der Frage „Stromausfall – eine unterschätzte Gefahr?“ mit dem konkreten Beispiel eines Stromausfalls im Ruhrgebiet.

Stromausfall – eine unterschätzte Gefahr

Der Sprecher des GIS NRW, Polizeipräsident des PP Essen und Mülheim, Frank Richter begrüßte die etwa 200 Besucher aus Behörden, Wirtschaft und Hilfsorganisationen. Natürlich durfte bei der Thematik „Blackout“ ein Hinweis auf den 2012 erschienenen Bestseller des österreichischen Autors Marc Elsberg nicht fehlen.

Eine Suche nach Antworten auf Kernfragen sollte die Zielrichtung dieses Symposiums sein.

Fragestellungen waren: Wie wahrscheinlich ist ein Stromausfall im bevölkerungsreichen Ruhrgebiet? Welche Gefahren sind damit verbunden? Wie gut sind unsere Hilfsorganisationen, die Polizei und die Energieversorger auf einen solchen Fall vorbereitet?

Technik, die unser Leben leichter macht, ist anfällig und braucht Energie… Frank Richter brachte seine Erfahrungen als Leiter einer großen Polizeibehörde sehr offen ein, leider konnte auch er dadurch nur die Größe der Problemdimension unterstreichen und nicht für Beruhigung sorgen.

Die Expertenrunde mit Moderatorin
Die Expertenrunde mit Moderatorin
Quelle: T. Fürst

Wie komme ich ohne Strom an Benzin?

Richter informierte das Plenum: „Wir haben mit allen Beteiligten einmal den Notfall eines totalen Stromausfalls durchgespielt. Die Pläne halten dem Praxistest nicht stand, beispielsweise bei der Benzinversorgung der Polizeifahrzeuge. Stichproben ergaben, dass ein Großteil der Tankstellen nicht über eine Handpumpe verfügte. Wie soll der Sprit dann in die Fahrzeuge gelangen, wenn der Strom für die Zapfsäule fehlt?“

Diese Erfahrungen werden im Ernstfall viele Mitspieler in der Krisenbewältigung ebenfalls machen. Für Richter handelt es sich daher um eine sehr schwer zu bewältigende Lage, er scheute auch keinen Klartext: „…eine A-D-S-Lage…“, für alle Beteiligten im Klartext „Ach-Du-Sch…“.

Immer, wenn sich bei der Problemlösung eine Problemtür schloss, gingen viele andere Türen auf. Nur in der Bündelung und Vernetzung von unterschiedlichen Professionen und deren Entscheidungsträgern können belastbare Ergebnisse entstehen. Somit setzte Frank Richter viel Hoffnung auf die Inhalte der Fachvorträge und die anschließenden Diskussionsrunden.

Die Veranstaltung wurde von Frau Anja Bröker (WDR) moderiert. Frau Bröker ist als Redakteurin und Hauptmoderatorin des ARD-Morgenmagazins bekannt und zeichnete sich durch eine gute inhaltliche Vorbereitung, besonders in den Diskussionsrunden aus.

Cyberattacke auf ein Krankenhaus

Die Einführung in den Vortrag von Dr. Nicolas Krämer (kaufm. Geschäftsführer, Lukaskrankenhaus Neuss) war serienreif. In einer Filmsequenz aus der Serie CSI-Cyber (ausgestrahlt bei RTL am 23.02.2016) sahen die Besucher des Symposiums einen fiktiven Cyberangriff auf ein Krankenhaus. Kriminelle Hacker wollen auf diesem Wege ein Millionen-Lösegeld erpressen. Alle IT-Systeme des Krankenhauses fahren durch den Angriff herunter. Das FBI rückt an und versucht die Täter zu finden. In der Serienfolge sterben Intensivpatienten aufgrund der versagenden Technik.

Nur in Hollywood?

Dr. Krämer hatte die volle Aufmerksamkeit des Auditoriums, als er die Realität aus dem Lukaskrankenhaus Neuss schilderte. Am 10.02.2016 startete ein Cyberangriff auf das Lukaskrankenhaus. Alle IT-Systeme fuhren unaufhaltsam herunter. Erpresser stellten ihre Forderungen. Das LKA und (tatsächlich wegen US-Bezügen des Falles!!) das FBI begannen zu ermitteln. Im Darknet werden Patientendaten gegen Bitcoins gehandelt, die Cyberkriminalität verzeichnet hohe Wachstumsraten. Der Angriff auf das Lukaskrankenhaus kam wortwörtlich unerwartet „…aus der Dunkelheit“. 

Nur einen Unterschied zwischen der Serienfiktion und dem realen Angriff in Neuss konnte Dr. Krämer dankbar benennen: Patienten kamen im Februar 2016 im Lukaskrankenhaus nicht zu Schaden. Bei etwa 51 % der deutschen Krankenhäuser (insbesondere in kommunaler Trägerschaft werden rote Zahlen bilanziert. Da liegt die Vermutung nahe, dass jede Investition wohlüberlegt sein will. Auf der Prioritätenliste finden sich deshalb Ausgaben für IT-­Sicherheit und für Fachleute in der IT-Abteilung nicht auf den vordersten Plätzen.

Visite 2.0

Andererseits ist eine IT-Aufrüstung in der medizinischen Versorgung ein wesentlicher Trend und nicht nur ein Wettbewerbsfaktor. Jederzeitiger Zugriff auf Patientendaten, Tablet-PC’s bei der Visite, Vernetzung mit dem Fachwissen medizinischer Datenbanken, IT-gesteuerte Technik zur Medikamentengabe und sogar Beatmung werden zum Standard. Von einer reinen Verwaltung oder nur Speicherung von Patientendaten ist das Gesundheitssystem mittlerweile weit entfernt. Trotzdem ist die digitale Entwicklung auf weiteren Ausbau angewiesen. Die Bundeskanzlerin kündigt Initiativen an. Telematikanwendungen mit der Gesundheitskarte sind seit 2003 beschlossen (www.gematik.de).

Auch in Neuss werden z. B. Daten aus den Rettungswagen mittels Telemedizin, schon auf der Anfahrt ins Krankenhaus, in die dortige Notaufnahme übertragen (telemetrisches EKG).

Rücksturz in die Vergangenheit

Der Cyberangriff katapultierte das Neusser Krankenhaus zurück in die Vergangenheit. Ohne IT-Unterstützung, quasi im Handbetrieb, mussten unaufschiebbare Operationen geplant und durchgeführt werden und die gesamte Logistik zur Patientenversorgung gewährleistet werden.

Parallel versuchten Experten von LKA und BSI den eingeschleusten Computervirus zu bekämpfen. Kein Einzelfall, 2016 wurden 28 Angriffe auf Krankenhäuser in NRW dokumentiert. Ein vergleichbarer Fall aus dem Hollywood Presbiterian Medical Center rief das FBI auf den Plan. Das Medical Center hatte an die Täter gezahlt, die Geschäftsführung des Lukaskrankenhauses war nicht auf die Forderungen eingegangen. Der Täter steht bis heute nicht fest, eventuell gehört er zum Kreis der weltweit „Most Wanted Hackers“ des FBI.

Ist die Krise eine Chance?

Was kann man tun, um ein Krankenhaus vor solchen Angriffen zu schützen? Was hat davon Allgemeingültigkeit? Eine Lösung heißt: AWARENESS!! Vorsicht bei Mails unbekannter Absender, keine Mehrfachnutzung von Kennwörtern, sichere Kennwörter (siehe Richtlinien des BSI) verwenden, BSI Grundschutz zertifizieren, Penetrationstests durchführen und Notfallpläne für den Betrieb ohne IT bereithalten, Mitarbeiter sensibilisieren und befähigen. Erkenntnisse aus Neuss zeigen, dass eine robuste IT-Sicherheit die nötige Voraussetzung für weiter digitale Entwicklungen darstellt.

Eine engagierte Anschlussdiskussion betonte den überwiegenden Nutzen der digitalen Entwicklung für die Medizin und die grundsätzlich gesteigerte Sicherheit von Patientendaten gegenüber analogen Dachbodenakten. Trotzdem wird es eine 100 %ige IT-­Sicherheit niemals geben. Dessen müsse man sich, trotz Planübungen und Trainings, bewusst sein. Der digitale Trend in der Medizin ist nicht umkehrbar. 3D-Drucker beginnen Tests zur Anfertigung von Ersatzorganen, Big-Data-Analysen helfen Krankheiten weltweit zu bekämpfen und Künstliche Intelligenz (KI) wird die medizinische Zukunft verändern.

Wie ist das alles möglich?

Matteo Cagnazzo, Geschäftsführer der AWARE7 GmbH, nutzte seine Vortragszeit zur Sensibilisierung und damit besseren Risikobewertung der Zuhörer: Wie gehen Kriminelle vor? Was ist das tagesaktuelle IT-Geschehen? Welche Sicherheitslücken gibt es?

Beeindruckende Beispiele von gelungenen Angriffen auf große Unternehmen zeigten die möglichen Auswirkungen von ­Hackerangriffen. Im Februar zerstörten Angreifer die komplette Infrastruktur der Mailsicherheit des amerikanischen Anbieters „VFE-Mail“. Die MAERSK –Gruppe aus Dänemark, die größte Containerschiffreederei weltweit, konnte 2017 ihre Firmendaten nur retten, weil eine einzige Computerfestplatte in einer Filiale in Nigeria zur Zeit des Virusangriffs vom Netz getrennt war.

Der jährliche wirtschaftliche Schaden durch Hackerangriffe weltweit liegt bei etwa 55 Milliarden Euro. Trotzdem haben nach Angaben der AWARE7 GmbH weniger als die Hälfte der Unternehmen in NRW eine Notfallplanung für den Fall eines erfolgreichen Angriffs.

Was wollen Angreifer?

Angreifer wollen uns zu unterschiedlichen Handlungen bringen. Sie wollen, dass wir bestimmte Websites besuchen, Dateien (Anhänge) herunterladen und suchen personenbezogenen Kontakt. Diese Kontakte werden genutzt, um mit den personenbezogenen fremden Daten auf anderen Plattformen zu handeln, persönliche Daten zu verkaufen. Daten sind an sich schon Geld wert. In einem Beispiel wurden für etwa 200.000 gehackte Personendaten 6.000.000 Dollar (in Bitcoins) gezahlt. Das ist lukra­tiv, solange man sich nicht erwischen lässt. Gehackte PC’s können Kriminelle auch selbst aus der Distanz weiter nutzen, als Webserver für eigene Aktivitäten, für E-Mail-Attacken, zur Rufschädigung, Bot-Aktivitäten, etc. Der kriminellen Kreativität sind da kaum Grenzen gesetzt.

Gibt es eine zentrale Schwachstelle?

Eine zentrale Schwachstelle bei Angriffen auf IT in sicherheits­relevanten Bereichen ist jedoch nicht die Technik. Die größte Schwachstelle bleibt der Faktor Mensch! Schon Dr. Krämer machte zuvor deutlich, dass fast die Hälfte der Mitarbeiter in seinem Krankenhaus auch nach deutlichen Warnungen, die Anhänge in Mails unbekannter Absender wieder angeklickt hatten. Gut, dass es nur ein Test war.

Dann zeigte Matteo Cagnazzo sehr eindrücklich und live über den Beamer, wie leicht sich Profihacker Zugang zu einem sicheren Account verschaffen kann. Viele Menschen fotografieren ihre Bordkarten bei Flugreisen und legen die Fotos entweder zur Sicherheit oder aus Mitteilungsbedürfnis sichtbar bei Instagram oder auf anderen Plattformen ab. Anhand des auf den Fotos erkennbaren QR-Codes war es bis zu den echten Personendaten, E-Mailadressen ja sogar zu den Bankdaten nicht mehr weit. Erschreckend einfach, erschreckend wirksam.

In einem weiteren Beispiel führte er vor, wie er anhand von Bedienungsanleitungen im Internet, mit Fernwartungsdaten, Zugriffe auf private Router oder Steuerungen im SmartHome nehmen kann.

Lowest hanging fruit

Es wurde sehr deutlich, wie viele Nutzer von IT sich nicht schützen oder nur schwache Schutzvorkehrungen getroffen haben. Die Kriminellen bedienen sich immer der größtmöglichen Einfachheit und finden ihre „…lowest hanging fruit“. Viele User, die aufgefordert werden, ihren Arbeitsplatz zu fotografieren, damit die Internetcommunity Hinweise zur Verschönerung geben kann, liefern damit ganz freiwillig die Mailadressen und Passwörter auf ihrer Schreibtischunterlage oder an der Pinnwand mit. Das Einfallstor für Hacker steht dann weit offen. Die AWARENESS-Hinweise des Vorredners erhielten noch einmal eine deutliche Betonung. Vor der Diskussionsrunde zeigte Matteo Cagnazzo noch einen Anruf, der von seinem privaten Handy ausgeht und dem Anrufer eine bekannte Rufnummer der Polizei suggeriert.

In der anschließenden Diskussion und Fragerunde nahm er Stellung zu den Fähigkeiten seiner Gesellschaft und deren Bemühungen, IT-Sicherheit nach Auftrag und in Abstimmung mit dem Bedarfsträger zu entwickeln. Er warb für die physikalische Trennung von einzelnen IT-Bereichen und hielt eine nur virtuelle Trennung von Speichern nicht für ausreichend. Der Versuch Schwachstellen aufzuspüren, um Hackern den Zugang zu erschweren, wird die Unternehmen für IT-Sicherheit nicht arbeitslos werden lassen. Schon im Jahr 2020 soll es weltweit etwa 20 Milliar­den vernetzte Geräte geben.

Können Allianzen helfen?

Komplexe Ereignisse und deren Auswirkungen stellte Dr. Christian Endreß nach der Mittagspause dar. Dr. Endreß von der Allianz für Sicherheit in der Wirtschaft (ASW) fragte eine Risikoeinschätzung des Auditoriums mittels grüner und roter Stimmkarten ab. Mit den Antworten „richtig“ oder „falsch“ schätzten die meisten Symposiumsbesucher die Sicherheitslage nach einem Blackout zutreffend ein.

Nach den mitgelieferten Erläuterungen von Dr. Endreß sind die meisten Kommunen in Deutschland nicht auf einen längerfristigen Stromausfall vorbereitet. Telekommunikationsdienste fallen teilweise schon nach wenigen Stunden oder sogar sofort aus. Etwa nach 24 Stunden funktioniert das Gesundheitssystem nicht mehr, Grundnahrungsmittel sind ausverkauft und nicht mehr in den Läden verfügbar. Banken und Geldautomaten können kein Bargeld mehr liefern. Es kommt vermehrt zu Verkehrsunfällen durch das Versagen der Ampelregelungen, Sicherungssysteme in Gefängnissen sind durch Notschaltungen außer Betrieb. Plünderungen werden wahrscheinlich.

Generell sind die Einflüsse auf Rettungsdienst/Brandschutz, Polizei, Versorgung/Entsorgung, Finanzdienstleistungen, Medien, Landwirtschaft, Behörden, Verkehr/Transport, IT/Telekommunikation für alle greifbar, aber im vollen Ausmaß oft kaum denkbar.

Vier globale Megatrends

Die ASW beobachtet vier große, weltweite Trends/Herausforderungen mit Grund zur besonderen Beachtung:

  • Staatszerfall, Erosion politischer Systeme
  • Klimatische und ökologische Verwerfungen
  • Asymetrische Bedrohungen/Hybride Kriegsführung/Terror
  • Rapide wachsende Digitalisierung und Vernetzung

Hier steckt viel Potential für Krisen, die sich auch in Deutschland auswirken können. Dr. Endreß schilderte eine wissenschaftlich belegte Gesamtbetrachtung der deutschen Krisenvorsorge, die sich aus Zeiten des Kalten Krieges in die Gegenwart geschleppt habe. „Ein Gesamtkonzept zur Bewältigung von Krisen unter Einschluss von Ernährungsnotfallvorsorge liegt derzeit nicht vor.“ Dieses schlechte Vorsorgezeugnis gilt auch für die am wahrscheinlichsten zu erwartende Krise, einem „…regional oder überregional lang anhaltenden Ausfall der Stromversorgung…“ (Innen­minister Thomas de Mazière, 2016) aus.

Die ASW empfiehlt daher, ein staatliches Konzept mit Strategien für zivile Krisenszenarien zu entwickeln. Der Staat hat eine gesetzliche Verpflichtung zur Sicherung der Ernährung der Bevölkerung. Die Ernährungswirtschaft sieht (mangels Anreiz) keine Notwendigkeit für eigene Initiativen. Sie empfiehlt weiterhin, Allianzen und Netzwerke in „Friedenszeiten“ zu bilden, „Leuchttürme“ als Anlaufstellen im Krisenfall einzurichten und bekannt zu machen, die Selbsthilfefähigkeit und den Wirtschaftsschutz zu stärken, sowie Behörden und Hilfsorganisationen auf konkrete Szenarien vorzubereiten.

Dr. Endreß erinnerte noch an eine fehlerhafte „Schalthandlung“ zur Ausfahrt des neuen Kreuzfahrtschiffes „Norwegian Pearl“ mit einer kaskadenhaften Auswirkung über Deutschland bis nach Südwest- und Südosteuropa im November 2006. Letztendlich waren bis zu 12 Millionen Bürger davon betroffen. So können punktuelle Ursachen, gerade bei Stromschwankungen im Netz, internationale Folgen haben.

In der anschließenden Diskussion verwies Dr. Endreß auf die Empfehlungen des BBK zur privaten Notfallvorsorge, etwa für 14 Tage vorzusorgen. KRITIS-Unternehmen und die meisten DAX-­Unternehmen beschäftigen Personal zum Wirtschaftsschutz. Kleinere Unternehmen eher nicht. In Israel z. B. gibt es eine 24/7 Hotline für Wirtschaftsschutz.

Die Frage nach Segen oder Fluch des föderalen Systems in Deutschland, beantwortete Dr. Endreß fast salomonisch: Je komplexer ein System ist, desto schwieriger werden einheitliche Regelungen. Seiner Ansicht nach gibt es keine ruhrgebietstypischen Alleinstellungsmerkmale oder Gefahren. Die Risikohäufung in Ballungsräumen liegt aber auf der Hand.

Besonders sorgenvoll äußerte Dr. Endreß, dass nach seinem Wissen im Moment niemand an zentraler Stelle die Forschungserkenntnisse zu Versorgungssicherheit zusammenführt.

Versorgungssicherheit – Was kann ein Energiekonzern leisten?

Zunächst machte Peter Speckbruck (Leiter Konzernsicherheit, RWE) deutlich, dass seine Ausführungen nicht als RWE-Konzern­aussagen gedeutet werden können, da er nur für seinen Aufgabenbereich, nämlich Konzernsicherheit sprechen könne. Aber im Verlauf der Vorträge sei deutlich geworden, dass es auch immer wieder Sicherheitsfragen sind, die diskutiert werden müssen.

Bei der Annahme einer Krise in Form eines regional oder überregional lang anhaltenden oder dauerhaften Ausfall der Stromversorgung, gäbe es aber beruhigende Fakten von der Bundesnetzagentur: Im Fünfjahresvergleich (2012 - 2016) betrug die durchschnittliche Strom-Unterbrechungsdauer pro Kunde nur 11,5 Minuten im Jahr. Nur etwa jeder vierte Deutsche war überhaupt davon betroffen. Allerdings sollte folgende Tatsache stets im Auge behalten werden: Je weniger störanfällig ein Land in seinen Versorgungsleistungen ist, umso stärker wirkt sich jede Störung aus (nach Rosenthal, 1992). 

Der Umstand, dass sich mit zunehmender Robustheit und geringerer Störanfälligkeit ein durchaus trügerisches Gefühl von Sicherheit entwickelt und die Auswirkungen eines „Dennoch-Störfalls“ überproportional hoch sind, wird als „Verletzlichkeitsparadoxon“ bezeichnet (Quelle: BBK). So würde jeder Stromausfall auf jeden Fall Wirkung erzeugen, auch wenn es nur Öffentlichkeitswirkung ist. Zudem gilt in Deutschland das Anrecht auf die Energieversorgung – d. h. in Deutschland gilt sowohl für die Versorger als auch für die Verbraucher der Grundsatz einer Versorgungssicherheit. Dieser Grundsatz umfasst das Recht aller Energiekunden auf eine lückenlose Versorgung. Hieraus entsteht Anspruch und Wirklichkeit der Energieversorgung im Land. Laut Speckbruck beschreibt Bestseller-Autor Marc Elsberg die Prozesse und Folgen des 14-tägigen Stromausfalls in seinem Buch „Blackout – Morgen ist es zu spät“ allerdings durchaus realistisch.

Es wird schon nicht passieren…

In seinem Schlusswort dankte Frank Richter der Moderatorin und den Referenten für die Beiträge im Symposium (s. Foto). Auch er war der Ansicht, dass auf die Inhalte der Vorträge Entscheidungen und Taten folgen müssen, im öffentlichen Diskurs und in der persönlichen Umsetzung. Augenzwinkernd warnte er davor, in alte Verhaltensmuster zurück zu fallen: „Die Verantwortungs­spirale funktioniert bei uns noch nach einem Grundmuster. Wenn sich auf die Frage: Wer ist im Ernstfall verantwortlich… keiner findet, lautet die Quintessenz: Das wird schon nicht passieren…“

Also macht niemand etwas.

Mehr zu den Themen:

Crisis Prevention 2/2019

Thomas Fürst, Polizeioberrat
Landespolizei NRW, Polizeipräsidiums Dortmund
Leiter der Führungsstelle einer Polizeiinspektion        


Verwandte Artikel

Gebäudeeinspeisung von Gerätehäusern und Unterkünften

Gebäudeeinspeisung von Gerätehäusern und Unterkünften

Wie die Gebäudeeinspeisung funktioniert, seht ihr hier anhand eines Praxisbeispiels mit einem ENDRESS BOS Lichtmastanhänger.

Schwerwiegender Zwischenfall im europäischen Stromversorgungssystem am 8. Januar 2021

Schwerwiegender Zwischenfall im europäischen Stromversorgungssystem am 8. Januar 2021

Am Freitag, dem 8. Januar 2021 kam es um 14:05 Uhr zu einem gravierenden Vorfall im europäischen Stromversorgungssystem, der im größten zusammenhängenden Stromnetz der Welt zu einer weitreichenden Netzauftrennung führte.

Blackout-Planung im Freistaat Sachsen

Blackout-Planung im Freistaat Sachsen

Das Thema „Lang andauernder und flächendeckender Stromausfall“ ist weder neu noch unbekannt. Spätestens mit Vorliegen der Bundestagsdrucksache 17/5672 - Bericht des Ausschusses für Bildung, Forschung und Technikfolgenabschätzung an den...

: