Hacker-Angriff auf Nürnbergs U-Bahn? VAG dementiert

Nürnberg - Aufregung um das TV-Magazin "Report München" des Bayerischen Rundfunks: Ein Beitrag zu Cyber-Terrorismus am Montagabend hat den Eindruck erweckt, dass ein Hacker in die Steuerung der automatischen U-Bahn in Nürnberg eingedrungen ist. Die VAG bestreitet den Angriff zum momentanen Zeitpunkt.

Deutschland ist vor Cyber-Terroristen schlecht geschützt. Das vermittelt der Beitrag der BR-Autoren Sabina Wolf und Jonathan Schulenburg. Zahllose computerbasierte Systemsteuerungen seien so schlecht gesichert, dass sie von außen problemlos angegriffen, ja übernommen werden könnten. Als ein Beispiel zeigt der "Report"-Beitrag den Hacking-Angriff auf die Signalsteuerung einer U-Bahn.

"Wir sind live dabei, während sich IT-Experte Marco Di Filippo Zugang zur IT-Steuerung der Bahn verschafft", heißt es weiter. Dazu flimmern Bilder von der Fachtagung "Blackout" über den Bildschirm, die Ende November 2014 in München stattfand. Und es sind Aufnahmen zu sehen, die eindeutig aus dem Nürnberger U-Bahn-System stammen – von den U-Bahnhöfen Rathenauplatz und Hauptbahnhof. "Es ist egal, wo ich sitze", sagt Sicherheitsexperte Di Filippo dazu im Off: "Das Einzige, was ich benötige, ist ein Internetzugang." Ganz simpel, über eine öffentlich zugängliche Telefonnummer, sei der IT-Fachmann "bis ins Herz der Signalsteuerung" gelangt, so der Beitrag.

Die VAG dementierte gestern den Einbruch in ihr System entschieden. Der BR-Beitrag habe das Unternehmen "überrascht", so Sprecherin Elisabeth Seitzinger: "Wir können selbst definitiv ausschließen, dass unsere IT-Systeme kompromittiert wurden." Das habe Di Filippo "uns auch bestätigt. Er hat uns nicht gehackt. Dies wäre auch strafbar."

Dessen ungeachtet haben VAG-Spezialisten mit umfangreichen Analysen des IT-Systems der Nürnberger U-Bahn begonnen. Für eine abschließende Bewertung benötige man noch etwas Zeit, so Seitzinger. Und: Weder die Report-Redaktion noch Dritte hätten sich im Vorfeld des Beitrags an die städtische Nahverkehrs-Tochter gewandt.

Marco Di Filippo unterstrich gegenüber der Nürnberger Zeitung, dass der "Blackout"-Vortrag im November eine reine Simulation gewesen sei, die auf der Nürnberger U-Bahn basiert habe. Ziel sei es unter anderem gewesen zu zeigen, welche Angriffe kriminelle Hacker fahren, wie häufig solche Angriffe erfolgen oder wie viel (bzw. wie wenig) Fachkompetenz der Einbruch in ein fremdes IT-System erfordere.

"Report München"-Autorin Sabina Wolf wiederum sagte, das Filmteam habe im November tatsächlich auch einen realen Hacker-Angriff verfolgt. "Während des Vortrages wurde gezeigt, dass die Signalsteuerung einer U-Bahn einer deutschen Großstadt von außen zugänglich war." Diese Steuerung "hätte manipuliert werden können".

So oder so: Viele kommunale IT-Systeme sind offenbar sehr verwundbar. Ob die U-Bahn-Steuerung VAG dazugehört, die Kraftwerks-Steuerung N-Ergie oder gar die Stadt Nürnberg selbst, bleibt vorerst offen.