So schützen sich Nürnbergs Firmen vor Cyber-Terroristen

Nürnberg - Ob Trinkwasser-Aufbereitung, Müllverbrennung oder das Kraftwerk der N-Ergie in Sandreuth: Auch in Nürnberg sind zahlreiche Einrichtungen vorstellbar, die Cyber-Terroristen nur zu gerne attackieren wollen könnten. Wie ist es um die Sicherheit dieser IT-Systeme bestellt?

Das Thema „nehmen wir sehr ernst“, sagt N-Ergie-Sprecherin Heidi Willer. Der Regionalversorger habe „hohe Sicherheitsstandards“. Regelmäßig werde überprüft, ob Hacker von außen in die Systeme eindringen könnten – sowohl durch eigene Fachleute als auch durch externe Experten. Was dies genau bedeutet, lässt Willer unbeantwortet: „Mehr ins Detail wollen wir nicht gehen.“

Roland Felme hat da weit weniger Berührungsängste. Die Stadt Nürnberg ist an das bayerische Behördennetz angeschlossen und folgt dessen Vorgaben, berichtet der IT-Sicherheitsbeauftragte der Stadt. Parallel dazu werde das „Grundschutz-Handbuch“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) „Zug um Zug umgesetzt“. Einen „hundertprozentigen Schutz“ vor Hacker-Angriffen „kann man nicht seriös versprechen“, sagt Felme. Denn die Experten können immer nur solche Löcher im System schließen, die bekanntgeworden sind. Gerade im Software-Bereich wird längst nicht jedes unerwünschte Einfallstor erkannt, das ein Cyber-Angreifer nutzen könnte. Doch „wir versuchen, die Risiken zu minimieren“.

Zu den grundlegenden Sicherheitsvorkehrungen gehört, sogenannte „kritische Systeme“ von der IT der Stadtverwaltung abzukoppeln. Gelänge es einem Hacker, in das Verwaltungssystem einzudringen, könnte er also noch längst nicht auf die Verkehrssteuerung zugreifen, auf die Computersysteme der Stadtentwässerung oder der Müllverbrennung. Außerdem lässt der Sicherheitsbeauftragte keine telefonischen Einwahlstellen zu, über die ein Zugriff auf eines der städtischen IT-Systeme möglich wäre.

Eine solche Einwahlstelle hatte offenbar ein IT-Sicherheitsexperte genutzt, der nach Darstellung von „Report München“ vor zwei Monaten im Rahmen einer Demonstration vor IT-Experten in die Signalsteuerung eines deutschen U-Bahn-Systems eingedrungen sein soll. Der Beitrag, der am Montag dieser Woche im Bayerischen Fernsehen gezeigt wurde, suggeriert, dass die Automatische U-Bahn in Nürnberg Ziel dieses Hacker-Angriffs gewesen sei. Die Verkehrs AG bestreitet dies entschieden.

Roland Felme, der ausschließlich die Informationen aus der BR-Sendung kennt, steht solchen „White Hats“ (also: Hackern, die gutwillig auf Sicherheitslücken aufmerksam machen wollen) positiv gegenüber. Mit sogenannten Penetrationstests könnten solche Experten von außen überprüfen, „ob die Sicherheitsmaßnahmen eines IT-Systems greifen“. Denn gefährdet sind alle elektronischen Bereiche, die auf irgendeinem Weg mit dem Internet verbunden sind.

Mindestens ebenso wichtig ist aber die menschliche Seite, unterstreicht Felme. Denn bei rund 10.000 städtischen Angestellten stellt Social Engineering durchaus eine Gefahr dar. Dabei versuchen Außenstehende, Mitarbeiter so zu beeinflussen, dass sie zum Beispiel dazu bereit sind, vertrauliche Informationen zu beschaffen und preiszugeben. Um dem zu begegnen, müsse man bei den Stadt-Mitarbeitern „ein Bewusstsein für IT-Sicherheit schaffen“.