Funken sprühen, Leitungen glühen. Blackout in Dresden. Ein simpler Kinderluftballon mit einer Metallbeschichtung landet auf einer Stromleitung und legt eine halbe Großstadt lahm: Straßenbahnen bleiben stehen, Ampeln fallen aus, Verkehrschaos. Ein tragischer Unfall. Doch in Krisenzeiten könnten auch Saboteure Trafostationen angreifen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt derzeit Betreiber kritischer Infrastrukturen (KRITIS) – wie Energieversorger oder Automobilfabriken – vor einer „erhöhten Bedrohungslage“. Und auch Autofahrer mit ihren vernetzten Fahrzeugen geraten vermehrt ins Visier von Cyberkriminellen. Das BSI fordert sogar einen Crashtest für Cybersicherheit.
“In der Vergangenheit hatten Angriffe auf IT-Fahrzeugsysteme schon mehrfach Erfolg”, erklärt Dr. Thorsten Henkel, Experte für Automotive-Security im Fraunhofer-Institut für Sichere Informationstechnologie (SIT). Über veraltete Software steuerten Hacker beispielsweise das Fahrzeugdisplay sowie die Innenbeleuchtung oder verschafften sich über USB-Anschlüsse Zugang. Zahlreiche Schnittstellen wie Bluetooth, WLAN oder Mobilfunk laden Hacker geradezu ein.
In den ersten sieben Monaten des russischen Angriffskrieges wurden dem BSI mehr als 250 IT-Störungen in KRITIS gemeldet. Dies umfasst Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen. Dazu gehören auch Wasserversorgung, Telekommunikation, Transport und Verkehr. Allein in Deutschland gibt es schätzungsweise rund 2.000 solcher Objekte. Brücken und Tunnel gelten als besondere Angriffsziele. Experten rechnen gar mit Terroranschlägen: Tanklaster sind rollende Bomben. “Wobei ein Unfall in einem stark frequentierten Tunnel ein Worst-Case-Szenario darstellen würde”, befürchtet Henkel.
Auch für Städte mit mehr als 500.000 Einwohnern gilt eine Meldepflicht für IT-Störungen. Auf Anfrage hält man sich dort bedeckt, versichert aber, dass man im Dialog mit dem BSI stehe. Gefürchtet ist vor allem der Blackout. Leitsysteme, Schranken, Ampeln: Alle sind an das Versorgungsnetz der Stadtwerke angeschlossen und fallen dann aus – auch wenn in einigen Fällen Notstromaggregate anspringen. Schon in friedlichen Zeiten fällt bundesweit täglich 450 Mal der Strom aus, im Schnitt 12 Minuten lang. Im Citybereich bleiben dann Ampeln aus, Kreuzungen verstopfen, es herrscht Verkehrschaos. Kürzlich fielen etwa 250 Ampeln im gesamten Berliner Stadtgebiet aus. Nach drei Stunden war das Systemproblem behoben und die Staus lösten sich auf. Greifen Hacker gezielt an, reichen schon wenige Kreuzungen um den Verkehr lahm zu legen: Forscher in Texas verzögerten mit Attacken auf sieben ausgewählte Ampeln in der Hauptstadt Austin den Verkehrsablauf um 75 Prozent. “Allerdings ist die Datenlage für eine Bewertung echter Angriffe derzeit noch unzureichend”, stellt Securityexperte Thorsten Henkel fest.
Realistisch sind aber Bedrohungen für Autofahrer beim autonomen Fahren. Künftig kann selbst ein einfaches Verkehrsschild Unfallauslöser sein – wenn es falsch interpretiert wird. So warnt das BSI vor “Adversarial Attacks” (feindliche Angriffe) auf Autos. Dann überlisten Hacker sogar die Künstliche Intelligenz. Sie soll eigentlich durch ständige Datenaufnahme aus dem Umfeld lernen und a utonome Autos sicherer machen. Hacker täuschen aber die Sensorik und simulieren einen zusätzlichen Datencode auf Verkehrsschildern: Ein paar unsichtbare Pixel verwirren dann die Bilderkennungssoftware. „So könnte ein Angreifer ein Muster für einen unauffälligen Aufkleber berechnen, welches zur Falscherkennung eines Stoppschildes als Tempo-100-Schild führt“, erläutert das BSI. Die Auswirkungen wären fatal.
Gelegentlich tricksen sich Autofahrer aber auch selbst aus. Denn sie stellen ihr Navi-System falsch ein. Mit der Einstellung “Passstraße” ertönt dann im Gotthard-Tunnel der wiederholte Hinweis: „Bitte Wenden!“. Die Kantonspolizei Uri erwischt etwa dreimal im Monat Autofahrer, die daraufhin ihren Wagen im Tunnel wenden wollen. Strafe: umgerechnet 1000 Euro.