Der Stromausfall von 2003, der 55 Millionen Menschen in den USA und Kanada ins Dunkel stürzte, war kein Cyberangriff – es war ein Softwarefehler und ein Kommunikationsfailure. Doch mehr als zwei Jahrzehnte später bedrohen ausgefeilte Gegner dieselbe Infrastruktur, und die Sicherheitslücken sind teilweise noch größer als damals.
Operationelle Technologie funktioniert nach anderen Regeln als die IT-Welt, die wir kennen. Während in konventionellen IT-Systemen Vertraulichkeit und Integrität zentral sind, gibt es in OT – den Systemen, die Stromschalter öffnen und schließen, Spannung regulieren und Fehler überwachen – nur eine Priorität: Verfügbarkeit. Sicherheit war nie Teil des ursprünglichen Designs, und sie nachträglich einzubauen ist unmöglich, wenn Ausfallzeiten nicht tolerierbar sind.
Viele dieser Systeme laufen noch auf älteren Protokollen ohne Verschlüsselung und mit schwacher Authentifizierung. Wenn es schiefgeht, gibt es keinen Datenleck oder Geldbuße – Menschen verlieren Strom, Wasser und Wärme. Die Infrastruktur, auf der modernes Leben basiert, stoppt.
Der chinesische State-Sponsored-Akteur Volt Typhoon demonstrierte genau diese Gefahr: Er verbliebt fast ein Jahr lang in US-amerikanischen kritischen Infrastruktur-Netzwerken, nutzte legitime Anmeldedaten und native Systeme. Es ging nicht um Datendiebstahl – es ging um Positionierung für Sabotage. Und weil das Kanada-USA-Stromnetz tief verflochten ist, hört die Bedrohung nicht an Grenzen auf.
Aktuell werden Betreiber kritischer Infrastruktur aufgefordert, ihre kryptografische Einsatzbereitschaft zu attestieren – zu bestätigen, dass ihre Verschlüsselung im Quantencomputer-Zeitalter sicher ist. Das ist eine berechtigte Forderung. Aber die meisten Betreiber haben keine Ahnung, wo Kryptografie in ihren Systemen überhaupt existiert. Und die Bewertungsrahmen, auf denen diese Attestierungen basieren, wurden niemals für OT-Umgebungen entwickelt.
Das ist nicht die Schuld von Regulatoren oder Betreibern – es ist eine grundlegende Lücke. Kryptografie kann in veralteter Firmware eingelagert sein, in Geräten mit nur 32 Kilobyte RAM hart codiert, die Jahrzehnte ohne Update funktionieren. Post-Quantum-Algorithmen wurden für solche Constraints nie entwickelt. Einige Geräte wurden installiert, bevor es überhaupt Kryptografie-Standards gab.
Eine noch schlimmere Bedrohung wird selten laut ausgesprochen: Daten werden bereits heute gesammelt. Gegner, die verschlüsselte Daten aus OT-Umgebungen abhören, warten nicht darauf, dass sie sie heute lesen können – sie warten auf den Moment, wenn sie es können. Dieser Moment rückt näher. “Harvest now, decrypt later” ist nicht Theorie, es ist Strategie. Ein Angreifer, der heute Firmware-Signaturschlüssel stiehlt, kann in Jahren malicious Updates auf jedes Gerät zurückspielen – und alle nehmen sie an, weil die Signatur legitim aussieht.
Die zentrale Frage bleibt: Wenn Betreiber nicht wissen, wo Kryptografie lebt, wie können sie dann attestieren, dass alles sicher ist? Die Antwort ist unbequem: Viele wählen den Weg des geringsten Widerstands – sie unterschreiben das Formular, ohne das Problem wirklich gelöst zu haben. Doch Papiersicherheit ist gefährlicher als ehrliche Unsicherheit.