Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Sabotage – ein neuer Blickwinkel?!

Als eine linksextremistische Gruppe im März 2024 einen Brandanschlag auf die Stromversorgung des Autobauers Tesla in Grünheide verübt hat, verursachte sie mit relativ wenig Aufwand (ein brennender Strommast) einen Schaden von mindestens 100 Millionen Euro – das Verhältnis von Aufwand zu Schaden war im negativen Sinn einzigartig. Ist dies ein exotischer Einzelfall oder eine Bedrohung für Firmen, die man leicht übersieht? Schenken verbreitete Sicherheitskonzepte solchen Bedrohungen hinreichend Beachtung?

Sebastian BroeckerManagement und WissenSecurity-Management
Lesezeit 9 Min.

Von Sebastian Broecker, Bad Soden

Die Idee der Sabotage von Produktionsabläufen geht zurück auf die sogenannten Maschinenstürmer des 19. Jahrhunderts, bei dem – heute würde man sagen: streikende – Frauen ihre Holzschuhe („Sabots“) in die damals aufkommenden „Maschinen“ warfen, um die Produktionsabläufe zu stören. Übertragen auf die moderne Zeit gibt es zunächst die Trennung in digitale und physische Sabotage: Zur digitalen Sabotage zählen vor allem [Distributed-]Denial-of-Service-(DDoS)-Attacken (z. B. gegen die Webseite eines Onlinehändlers) oder der Missbrauch von IT-Rechten (z. B. als Administrator, um Daten zu verändern oder zu löschen), Ransomware (welche den vorgesehenen Zugriff auf Dateien verhindert) sowie das mutwillige Einbringen von Schadsoftware. Als neuere Sabotage-Variante ließe sich beispielsweise auch das vorsätzliche „Verseuchen“ von Lerndatenbanken oder Trainingsdaten einer künstlichen Intelligenz (KI) auffassen, wie es etwa schon 2016 de Microsoft Chatbot Tray passierte [1].

Zudem muss man sich fragen, ob ein Reputationsangriff nicht auch eine Form der digitalen Sabotage ist: Eine Störung des Werts eines Aktienunternehmens stellt aus Sicht des Autors ebenfalls eine Sabotage dar (Stichwort: Gamestop-Aktie). Allerdings sollen Angriffe auf derartige Werte hier nicht näher besprochen werden, da dies doch ein eher spezifisches Thema ist.

Physische Sabotage lässt sich zudem prinzipiell in die Störung von Betriebsabläufen durch Manipulation physisch angreifbarer Dinge von innerhalb und außerhalb des Werksgeländes untergliedern. Solche Angriffe umfassen unter anderem die Zerstörung oder Beeinträchtigung der Funktion von Bauwerken, Geräten, Zufahrtswegen, Gleisen, Strom-, Wasser- oder Gasleitungen, Fahrzeugen, Personal („falscher Feueralarm“), Informationen-transportierenden Kabeln (z. B. Glasfasern), Computern, Datenspeichern oder erzeugten Gütern/Produkten.

Viele Firmen denken hier noch immer sehr konservativ und sehen die Bedrohung nur als Aufgabe des Werkschutzes „innerhalb des Zauns um die Firma“ an. Sucht man im Internet nach Stellenanzeigen in Richtung eines Chief-Physical-Security-Officer (CPSO), findet man sehr wenige und stellt fest, dass dieser Jobtitle im englischsprachigen Bereich deutlich stärker vertreten ist als in Deutschland. Auch zeigen die wenigen Stellenanzeigen hierzulande, dass man eher in kleinen Dimensionen denkt. Doch möglicherweise ist dieses alte Securitydenken (Sicherung der „Burg“ durch eine „Burgmauer“) nicht mehr zeitgemäß – dazu später mehr.

Erschreckende Beispiele

Die folgenden kurzen Beispiele aus den Medien sollen veranschaulichen, was alles passieren kann und was gegebenenfalls auch außerhalb der Erwartung üblicher Risiken geschehen ist: So entfernten Saboteure* im Frühjahr 2015 im fast fertigen Neubau des BND in Berlin mehrere Wasserhähne im 6. Stock und fluteten so das Gebäude – der verursachte Schaden lag bei einer Million Euro und einer erheblichen Bauverzögerung.

Eine unbeabsichtigte Nachlässigkeit von Bauarbeitern im Jahre 2014 zeigt zudem, wie schnell schwer zu beseitigende Schäden an einer Infrastruktur entstehen können: Hier bohrten Arbeiter beim Aufhängen von Feuerlöschern den Reaktormantel eines Schweizer Atomkraftwerks vier Zentimeter tief an [2]. Die nur notdürftig reparierte Hülle muss nun bis zum Abschalten im Jahr 2040 in Betrieb bleiben. Wie groß hätte der Schaden sein können, wenn ein Arbeiter vorsätzlich, vielleicht aus umweltaktivistischen Gründen die Löcher tiefer gebohrt hätte?

Ein weiterer kurioser (und ebenfalls unabsichtlicher) „Sabotagefall“ ereignete sich 2012 an einem Flughafen nahe New York: Dort kam es regelmäßig zu schweren Störungen des Global-Positioning-Systems (GPS), die den Flugverkehr und somit Menschenleben gefährdeten. Wie sich herausstellte, hatte ein externer Transportfahrer sein Fahrzeug mit einem GPS-Jammer ausgerüstet, um der Überwachung seines Arbeitgebers zu entgehen.

Diese wenigen Beispiele zeigen, wie sich ungewöhnliche und außerhalb der üblichen Erwartung jeglicher Risikomanager schwerwiegende Sabotageakte durch leicht verfügbare Mittel (z. B. einen GPS-Jammer für 100 €) oder bösartige Kreativität (abgeschraubte Wasserhähne im 6. Stock) durchführen lassen. Zwar gibt es immer noch klassische Sabotagefälle wie das Durchtrennen von Lichtleitern, doch geht der Trend eindeutig zu Angriffen, die einen gewissen (bösen) Einfallsreichtum und gleichzeitig eine Schlichtheit der Durchführung charakterisieren.

Motivation der Angreifer

Letztendlich gibt es für Sabotageakte verschiedene
Gründe, die ebenfalls für eine angemessene Risikobewertung
wesentlich sind:

  • emotionale Beweggründe (z. B. Rache eines gekündigten Angestellten)
  • finanzielle Motivation (z. B. Erpressung oder Verkauf von Diebesgut)
  • strategisches Vorgehen (z. B. Konkurrenz ausschalten)
  • Machtpolitik (z. B. bei Konflikten zwischen Ländern)
  • ideologische Gründe (z. B. als Protest für die politische Haltung eines Konzerns)
  • Verstärkung eines Cyberangriffs
  • sonstige Auslöser wie Trigger durch Fake News, Ablenkung von anderen Straftaten, Leichtsinn, …

Faszinierend ist hier ein Vorkommnis aus dem letzten Jahr: Züge der polnischen Bahn zeigten immer öfter einen Totalausfall der Elektronik. Wie eine monatelange Untersuchung ergab [4], hatte der Hersteller der Züge vorsätzlich eine Softwareroutine eingebaut, welche die Systeme nach bestimmten Wartungsarbeiten, die nicht von der Herstellerfirma, sondern dem Betreiber der Bahn selbst durchgeführt wurden, deaktivierte.

Auch mögliche Täterkreise sind zu berücksichtigen: Saboteure können mit dem Unternehmen verbunden (Angestellte) oder völlig Fremde (z. B. Metalldiebe) oder eine Mischung aus beidem sein (Helfer in der Firma). Das Täterfeld ist weit gestreut: von Dilettanten, die Stromkabel mit 10 000 V im laufenden Betrieb durchschneiden, über professionelle Kriminelle (gerade bei Metalldieben), clevere Aktivisten, die in der Lage sind, Informationen zur Angreifbarkeit des Unternehmens sinnvoll aus dem Internet/Darknet zu besorgen und zu analysieren, bis hin zu hochprofessionellen staatlichen Akteuren/Agenten, wie beispielsweise bei der Zerstörung der Nordstream-Pipeline.

Schätzungen zufolge kommt jeder dritte Angriff von einem Innentäter. Diese verfügen meist über ein gutes Wissen um die Angreifbarkeit der eigenen Firma und die Betriebsabläufe. Zudem haben sie in der Regel auch die passenden Berechtigungen (Zugang, Zutritt, Zugriff), um größeren Schaden verursachen zu können. Die Gründe dafür sind überwiegend Wut und Enttäuschung – etwa über eine bevorstehende Entlassung oder fehlende Anerkennung. In den letzten Jahren gewannen politische und (klima-)aktivistische Handlungen an Bedeutung, jedoch auch staatlich beauftragte Aktivitäten.

Gleichzeitig zeigten sich verstärkt „nicht vorsätzlich böse“ Saboteure, die das Ausmaß ihres Handels, das meist auf der leichten Verfügbarkeit oder Nutzung einer Möglichkeit beruht, gar nicht verstehen. Als Beispiel hierfür mögen Blendungen durch Laser-Pointer bei Piloten und Zugführern dienen: Die Deutsche Flugsicherung verzeichnete allein im August und September letzten Jahres 44 Laserblendungen am Frankfurter Flughafen [3]. Bei diesem Phänomen vermengen sich viele Dinge: Drohnen, Laserpointer, Pyrotechnik, Rauchbomben, Pfefferspray, GPS-Jammer und so weiter sind oft preiswert und problemlos im Internet erhältlich. Dort findet man ebenso Anleitungen für Sabotagehandlungen, Informationen über kritische Infrastrukturen, Aufrufe in (a)sozialen Medien zur Sabotage wie auch politische, religiöse oder ideologische Indoktrinationen und Halbwahrheiten.

Aktuelle Sabotagegefahr

Derzeit gibt es mehrere Gründe, warum Sabotageakte in der nächsten Zeit stark zunehmen dürften:

  • Effizienzdarstellung in den Medien: Der Anschlag auf die Stromversorgung von Tesla in Grünheide füllte tagelang die Schlagzeilen. Ein einzelner, geschickt ausgesuchter brennender Strommast bedeutete relativ wenig Aufwand für die Saboteure, brachte das Werk eine Woche lang zum Stillstand und erzeugte einen Schaden von mindestens 100 Millionen Euro. Die Mischung aus weltweiter Berichterstattung, Einfachheit des Angriffs und fehlender Schützbarkeit von Strommasten könnte zahlreiche Nachahmer zu solchen und ähnlichen Taten anregen.
  • Einfache Verfügbarkeit der Mittel: Wie bereits angesprochen, senken relativ günstig und leicht verfügbare „exotische“ Sabotagemittel den Aufwand für Planung und – womöglich nur leichtfertigen – Einsatz. Selbst das bloße Zerschneiden von Zäunen hätte auch ohne weitere Handlungen oder ein Eindringen in das Gelände an bestimmten Bundeswehrstandorten oder Einrichtungen zur Wasserversorgung zur „richtigen Zeit“ im Spätsommer vermutlich für (zumindest lokale) Schlagzeilen gesorgt – und die Abwehr muss sich natürlich um jegliches Vorkommnis kümmern, um zunächst einmal festzustellen, was überhaupt geschehen ist.
  • Während in Filmen wie „Oceans Eleven“ oft ein gewaltiger Aufwand und ein komplexer Plan benötigt werden, um eine Infrastruktur anzugreifen, sieht die Praxis inzwischen anders aus: Sowohl die Materialien oder Werkzeuge (wie GPS-Jammer oder Pyrotechnik) als auch heikle Informationen über die Angreifbarkeit eines Unternehmens lassen sich schnell im Internet beschaffen. Der Autor fand schon nach kurzer Googlesuche erstaunliche Angriffswerkzeuge für 300 $, mit denen sich viel Schaden anrichten ließe – deren konkrete Art und Quellen sollen hier jedoch ungenannt bleiben, um keine Anleitung für Sabotageakte in den Webarchiven der <kes> zu dokumentieren.
  • Politische Motivation: Derzeit polarisiert der Krieg in Nahost viele Menschen – auch Firmen werden dabei schnell(er) zur Zielscheibe politisch motivierter Saboteure. So warfen vor Kurzem in Birmingham Aktivisten lebende Mäuse, die mit Palästina-Flaggen bemalt waren, in eine McDonalds-Filiale – als „Strafe“ für eine angebliche proisraelische Haltung des Konzerns.
  • Potenzielle Destabilisierungsversuche durch Staaten: Im April 2024 nahm die Polizei zum Beispiel zwei russischstämmige Saboteure in Bayreuth fest, die Brandanschläge auf die Infrastruktur geplant hatten, weil Deutschland die Ukraine im Krieg gegen Russland unterstützt.
  • Großereignisse: Selbst „unterhalb“ von Mega-Events wie einer Fußball-EM oder den Olympischen Spielen gibt es viel Aufmerksamkeit rund um Feste, Feiern oder Wettbewerbe – man denke nur an das Münchner Oktoberfest oder die Weihnachtsmärkte. Das damit verbundene mediale Interesse könnte durchaus auch Sabotageakte begünstigen, die beispielsweise politisch-ideologisch motiviert sind, um so für die dahinterstehende „Sache“ zu werben.

Mögliche Gegenmaßnahmen

Zum einen zeigen schon grundlegende Schriften (etwa des BSI [5]) recht viele Beispiele, an die ein CPSO – oder in dessen Abwesenheit jeglicher andere Sicherheits-Verantwortliche – vielleicht noch nicht gedacht hat. Des Weiteren hilft eine Vernetzung zu den CPSOs, CISOs et cetera anderer Firmen, um über den „erweiterten Flurfunk“ bei einer Tasse Kaffee neue Entwicklungen zu berichten oder zu erfahren sowie das Verfolgen der Nachrichten (z. B. Tesla-Vorfall).

Zudem sollte man auch im Lichte möglicher (gerade physischer) Sabotageakte das vorliegende Sicherheitskonzept gründlich hinterfragen – die meisten „altbewährten“ physischen Schutzmaßnahmen sind heute nicht mehr zeitgemäß. Die aktuelle Vermengung mit IT und Netzwerken ist ebenfalls kaum noch verstehbar, geschweige denn überschaubar (Stichwort: Gebäudesteuerung).

Und zu guter Letzt: Man unterschätze nie die Kreativität der „bösen Fantasie“. Als mögliche Gegenwehr kann man (ernsthafte) Science-Fiction-Fans in Bewertungsrunden einbinden – generell hilft eine Mischung von jungen Leuten mit Ideen sowie erfahrenen Menschen mit einem Gespür für Prozessabläufe, Experten für Gebäudesteuerung und Logistik, Optimisten, Realisten und Pessimisten. Im Endzeitschocker „World War Z“ überlebt eine Stadt etwa die Angriffe nur, weil sie vorher die Rolle eines „Pessimisten“ im Risikoteam eingeführt hatte.

Ist der Autor ein Pessimist? Vielleicht. Doch gerade im Moment schadet eine erhöhte Vorsicht nicht, denn heute sind es nicht mehr die Holzschuhe der Maschinenstürmer, die ein Werk lahmlegen, sondern brennende Strommasten und abgeschraubte Wasserhähne. Und angesichts der Vernetzung sowie Just-in-Time-Production nebst vielfältigen Abhängigkeiten in komplexen Lieferketten sind sowohl Ursachen als auch Auswirkungen nur noch selten streng lokal begrenzt.

Dr. Sebastian Broecker war lange Jahre als CISO tätig und arbeitet derzeit als freiberuflicher Autor und Referent.

Literatur

[1] Roland Quandt, Microsoft stoppt KI-Chatbot Tay nach 24h: Troll-Attacke der Grund?, WinFuture, März 2016, https://winfuture.de/news,91588.html

[2] Matthias Brake, Löcher im Schweizer AKW, Telepolis, August 2014, https://telepolis.de/-2293653

[3] Max Mescher, DPA, Zahl der Laserpointer-Attacken rund um Frankfurter Flughafen steigt, airliners.de, Oktober 2023, www.airliners.de/zahl-laserpointer-attacken-frankfurter-flughafen/71092

[4] Malte Mansholt, Ausfälle vorprogrammiert – Hacker decken gezielte Zug-Sabotage auf, Capital, Dezember 2023, www.capital.de/wirtschaft-politik/zugausfaelle–hacker-decken-gezielte-sabotage-auf–durchden-hersteller-34290662.html

[5] Bundesamt für Sicherheit in der Informationstechnik (BSI), Elementare Gefährdungen, Dezember 2020

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.