Der Cyberangriff auf US-amerikanische Tankstellen-Überwachungssysteme markiert einen neuen Eskalationsgrad in der Instrumentalisierung von Cyberwaffen durch staatliche Akteure. Die betroffenen automatisierten Tankmess-Systeme (ATG-Systeme) waren direkt aus dem Internet erreichbar und wiesen keine grundlegenden Sicherheitsmaßnahmen wie Passwortschutz auf – ein klassisches Szenario, vor dem Sicherheitsexperten seit mehr als einem Jahrzehnt warnen.
Iran wird als wahrscheinlicher Urheber verdächtigt, nicht zuletzt aufgrund seiner Vorgeschichte mit Angriffen auf Tankinfrastrukturen und seiner aktuellen geopolitischen Spannungen mit den USA und Israel. Obwohl forensische Beweise fehlen, passt der Angriff in ein bekanntes Muster iranischer Cyberoperationen. Die Angreifer schafften es, die angezeigten Werte zu verfälschen – ein psychologischer und strategischer Schachzug, der mehr über Abschreckung aussagt als über unmittelbare physische Schäden.
Besonders bemerkenswert ist das zugrundeliegende Ziel: Ein Angriff auf die Energieversorgungskette in Zeiten volatiler Ölpreise und geschlossener Handelswege wie der Straße von Hormus sendet eine klare geopolitische Botschaft. Die Experten sind sich einig: Selbst vermeintlich unbedeutende Schwachstellen in kritischen Infrastrukturen können Kaskadeneffekte auslösen und das tägliche Leben von Millionen Menschen beeinträchtigen.
Für Deutschland sollte dieser Vorfall Anlass zur Sorge sein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits mehrfach vor Internet-exponierten Operationstechnologie-Geräten (OT-Geräten) in verschiedenen Sektoren gewarnt. Deutsche Energieversorger, Tankstellenbetreiber und Logistikfirmen müssen ihre Systeme sofort überprüfen: Sind ATG- und ähnliche Systeme noch ins Internet exponiert? Fehlen grundlegende Authentifizierungsmechanismen?
Unternehmen, die personenbezogene Daten verarbeiten und Opfer eines solchen Angriffs werden, unterliegen der DSGVO-Meldepflicht. Verstöße können zu Bußgeldern bis zu 4 Prozent des weltweiten Jahresumsatzes führen. Der Bundesbeauftragte für Datenschutz (BfDI) könnte zudem tätig werden, wenn es um die Sicherheit kritischer Infrastrukturen geht.
Experten empfehlen strukturierte Sicherheitsrichtlinien, segmentierte Netzwerke, minimale Zugriffskontrolle und automatisierte Compliance-Lösungen – Standards, die im IT-Bereich längst etabliert sind, aber im OT-Bereich oft mangeln. Die Colonial-Pipeline-Ransomware-Attacke von 2021 hat bereits gezeigt, wie schnell solche Angriffe wirtschaftliche und soziale Auswirkungen haben können.