Als am 20. November der Windenergiekonzern Vestas das Herunterfahren einiger elektronischer Datenverarbeitungs- und Kommunikationssysteme als Reaktion auf einen Hackerangriff meldete, war der Windenergie-Ernstfall da. Die Vorsichtsmaßnahme sei Teil des unternehmenseigenen Krisenmanagements, teilte das Unternehmen aus Aarhus mit. Vestas reagiere damit auf ein Cyber-Security-Ereignis vom Vortag. So nennt sich ein schmerzhafter Treffer durch einen Angriff aus dem Internet auf die Datensicherheit. Zwei Tage später, am 22. November, deutete Vestas dann an, dass die Hacker auch Daten abgegriffen hatten.
Ausgerechnet oder vielleicht nicht zufällig der Weltmarktführer war damit wohl das erste prominente Opfer unter den führenden Windturbinenbauern. Zugleich meldeten die Dänen eine Teilentwarnung: Der Angriff habe zu keinem Zeitpunkt zum Zugriff auf Zulieferer- oder Kundendaten geführt. Und beim Windparkausbau sowie der Instandhaltung von Turbinen seien Unterbrechungen ausgeblieben, obwohl das Unternehmen aus Vorsicht „einige operative IT-Systeme“ habe herunterfahren müssen. Stufenweise und kontrolliert warf Vestas nun die Systeme wieder an.
Verstärkte Cyber-Angriffe auf Infrastruktur
Was die Angreifer bezweckten, wird womöglich erst deutlich später, wenn überhaupt, bekannt werden. Doch unter Experten und Aufsehern für die Internetsicherheit dürfte die Tat als Angriff auf die kritische Infrastruktur der Energieversorgung der Zukunft gelten. Denn Warnungen vor Cyber-Überfällen auf Anlagen und Akteure der Energiewende sind längst nicht mehr neu.
Die Anfälligkeit für solche Attacken nimmt jährlich zu. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) weiß seit 2018 von einer Zunahme der meldepflichtigen Sicherheitsvorfälle zu berichten, die Einrichtungen oder Systeme der kritischen Infrastrukturen (Kritis) beeinträchtigen können. Zwei Mal hintereinander nahm diese um zwei Drittel zu. Im Vergleich zu den 145 gemeldeten Kritis-Sicherheitsvorfällen von 2018 waren es im Ergebnis 2020 schon 419. Dabei handelt es sich außer um Cyber-Attaken auch um Programmfehler oder Stromausfälle, wie ein BSI-Sprecher erläutert. Außer der Versorgung mit Energie bedrohen diese Ereignisse auch die Verfügbarkeiten der Infrastruktur in sieben weiteren Kritis-Versorgungsbereichen vom Gesundheitssystem bis hin zu den Bereichen Ernährung oder Siedlungsabfallwirtschaft (siehe Stichwort Kritis, rechs). Als kritisch im Energiebereich gelten im Datensicherheitsgesetz alle Anlagen ab einer Gesamtnennleistung von 420 Megawatt (MW) oder Unternehmen, die mindestens 500.000 Menschen versorgen. 2021 blieben die Sicherheitsvorfälle mit 396 auf dem hohen Niveau von 2020, allerdings verdoppelte sich der Jahresspitzenwert bei den täglichen Bot-Infektionen von 20.000 auf 40.000 – also der Befall durch digitale Viren, die befallene Computer zu einem Netzwerk verbinden. Auch übermittelte das BSI 2021 schon 14,8 Millionen Meldungen zu Schadprogramm-Infektionen an die deutschen Netzbetreiber, doppelt so viele wie 2020. Und nachdem es die digitale Sicherheit im Land in den Vorjahren als angespannt bewertet hatte, nennt es sie nun „angespannt bis kritisch“.
Sicherheitszulieferer mahnt zur Eile
Das Reutlinger Unternehmen Voleatech ist ein Hersteller von Industrieroutern, die als Schnittstelle im Datentransport zwischen Computern, Maschinen und Internet fungieren und damit die IT-Systeme vom direkten Zugriff von außen abkoppeln. Zudem richtet Voleatech als Dienstleister für kommunale Energieversorger eine auf frei verfügbarer Linux-Technik gestellte Firewall gegen unbefugte Eintritte ein – eine digitale Brandmauer also. Kundenzielgruppe sind Stadtwerke und Stromnetzbetreiber auf dem Weg in die Energiewende und in die damit verbundene Digitalisierung. Voleatech mahnt zur Eile, nun auch dezentrale Erneuerbare-Energien- Anlagenparks, mittelgroße Netzbetreiber und Stadtwerke gegen Netzangriffe abzusichern.
Voleatech-Entwicklungschef Sven Auhagen analysiert dringenden Nachholbedarf. Mittelgroße kommunale Energieversorger unterschätzten die Herausforderung, sagt Auhagen. Fälschlich nähmen diese an, wegen fehlender Größe nicht für Angreifer interessant zu sein. Allerdings sind die Einfallstore gemäß Beobachtung Auhagens zu groß dafür, um nicht durch die automatisiert attackierenden Angreiferprogramme aufgestoßen zu werden.
Gerade die sogenannten Scada-Steuerungs- und Überwachungssysteme kleinerer dezentraler Energieanlagen wie Windturbinen oder Solarstromfelder sind demnach leicht zu knacken: „Fehlende Verschlüsselung, Programmierungs-Schreibbefehle aus den 1980-er Jahren – und Schwachstellen in der Hardware“, also primitiv oder unsauber verbaute Internet-Technologie, das alles steht in Auhagens Mängelliste. Auch schlechte oder fehlende Informationssicherheitsmanagement-Systeme (ISMS) notiert er als Schwäche mittelgroßer Stadtwerke. Demnach fehlen klare Vorgaben aus der Unternehmensführung oder gar eines IT-Sicherheitsbeauftragten, die den Mitarbeitern einen einheitlichen Standard für die Datensicherung an die Hand geben und diesen Standard auch absichern. Auch das BSI bezieht rund ein Drittel der Sicherheitsmängel der Energieunternehmen auf ISMS-Versäumnisse.
Allerdings nimmt Auhagen auch zunehmendes Interesse seines Kundensegments an einer besseren Absicherung gegen Cyber-Attacken wahr. „Es geht jetzt voran“, sagt Auhagen. „Weil große Netze mit zunehmendem Anteil der wetterabhängig einspeisenden Erneuerbaren nur noch digital zu managen sind, wollten zumindest die Netzbetreiber ihre Anlagen auf dem Stand der Technik wappnen.“
Auch Stadtwerke stecken ihre Treffer ein
Und auch bei Stadtwerken sind nun Treffer zu verzeichnen. So waren Ende September viele Mitarbeiter der Schweriner Stadtwerke in der Kundenbetreuung, im Service und in der wirtschaftlichen Steuerung des Unternehmens plötzlich von Daten und Kundenkontakten abgeschnitten. Hacker hatten ihre Daten verschlüsselt. Die Schweriner mussten ihre Online-Verbindungen als Vorsichtsmaßnahme nach außen kappen. Die aus Sicherheitsgründen davon abgetrennte technische Betriebs- und Anlagenführung war nicht betroffen. Mitte Oktober waren die benachbarten Schweriner Stadtwerke dran: Die Eindringlinge erschwerten die Erreichbarkeit der Internetseite der Stadtwerke Schwerin. Dann streuten sie die Falschnachricht, dass die Energieversorgung in der Landeshauptstadt gefährdet sei, die in Wirklichkeit vom Angriff nicht betroffen war. Schon im Mai 2020 gelang es Eindringlingen bei den Technischen Werken Ludwigshafen (TWL) in Rheinland-Pfalz sich Kundendaten abzusaugen. TWL musste die betroffenen Kunden um einen Austausch ihrer Passwörter bitten. Aufgrund der TWL-Sicherheitsvorkehrungen fuhr das Unternehmen zwischenzeitlich seine Hauptrechner herunter.
Ein Fanal war bereits 2015 der Stromausfall für 230.000 Einwohner der westukrainischen Region Iwano Frankiwsk. Über Mails hatten die Hacker ein Schadprogramm an die Mitarbeiter des Energieversorgers ausgespielt und dieses nach dem Öffnen durch Mitarbeiter sich im Gesamtsystem ausbreiten lassen. Weil das Scada-System einen verhältnismäßig großen Automatisierungsgrad in der Steuerung der Energieerzeugung gewährleistete, konnten die Angreifer mehrere Umspannwerke vom Netz abtrennen und die Stromversorgung stoppen. Nach drei Stunden gelang dem Versorger die Wiederherstellung der Stromversorgung.
Die Motive der IT-Angriffe sind seit Jahren bekannt, zumindest im Grundsatz: 2018 zählte der Geschäftsführer der Digital- und Internet-Technologie-Sparte des Bremer Windparkprojektierungsunternehmens WPD, Michael Tenten, im Gespräch mit ERNEUERBARE ENERGIEN zu den wichtigsten Angreifern kriminelle Serientäter, die ihre Ziele eher zufällig treffen. Sie ließen speziell entwickelte Programme ununterbrochen das Internet durchkämmen und Systeme mit Schwachstellen für eine Attacke auskundschaften. Dann erfolge der eigentliche Angriff mit dem Ziel ihrer finanziellen Bereicherung. Andere Angreifer betrieben Wirtschaftsspionage, um beispielsweise Daten weiterzuverkaufen. Für Angriffe zur Störung der Energieversorgung etwa aus dem Ausland seien Windparks zwar kaum geeignet, weil der Ausfall einzelner Windparks kaum zu einem Blackout führen kann. Aufgrund der Verbindungen der Windparks mit dem Versorgungsnetz und zunehmender großräumiger Vernetzung der Erneuerbare-Energien-Anlagen mitsamt immer mehr installierten Speichern im System aber seien diese Angriffe künftig nicht mehr auszuschließen.
Immer neue digitale Einstiegsluken
Möglichkeiten finden Kriminelle offenbar immer neue: Zunehmend setzen sie Ransomware ein, die Daten im aufgesuchten Netzwerk verschlüsselt. Die Cyber-Einbrecher müssen danach nur noch Geld dafür verlangen, dass sie die sonst verlorenen digitalen Werte wieder freigeben. Wirtschafts- oder strategische Spionage dürfte der Angriff auf das US-amerikanische Software-Unternehmen Solarwinds zum Ziel gehabt haben. 2020 hatte ein Schadprogramm durch ein Update eines Solarwindprogramms nicht nur das angegriffene Unternehmen, sondern über die Nutzung der Solarwinds-Software auch eine große Menge an Solarwinds-Kunden befallen. Die infiltrierte Software konnte damit Daten und Netzwerke von Kunden sogar in Deutschland ausspionieren. Und Anfang 2021 war für eine kurze Zeit eine Lücke im Computer-Betriebssystem Microsoft Exchange für Attacken verantwortlich.
Windparks seien schlechter gesichert als E-Mail-Konten, warnte schon 2016 das Unternehmen Internetwache.org. Bereits Suchanfragen über die Internetmaschine Google könnten Informationen aus einem Windpark offenlegen. Als „White Hats“, gute Hacker, drangen die Internetwächter in die Systeme ihrer Kunden ein. Bei den Stadtwerken Bad Kreuznach und Ettlingen veranschaulichten sie damit, wo es etwas zu reparieren gibt.
Allerdings sind selbst Offshore-Windparks noch keine herausragenden Ziele von Hackerangriffen, obwohl hierzulande einzig Windparks im Meer die gesetzlich als kritisch definierte Größe von 420 MW erreichen. Direkte Angriffe seien nicht bekannt, erklärte im Dezember 2018 der Geschäftsführer des Bremer Instituts für Seeverkehrswirtschaft und Logistik, Frank Arendt. Er verwies auf frische Resultate aus dem Forschungsprojekt Offshore Windenergie – Schutz und Sicherheit.
Der Gesetzgeber kann die Sicherheit der deutschen Meereswindkraft zudem bald schonmal lückenlos beobachten: Schon bisher galt eine Meldepflicht für Angriffe. Das 2021 erneuerte IT-Sicherheitsgesetz verlangt von Kritis-Anlagen ab 2023 zusätzlich den Betrieb einer Software zur Angriffserkennung.
Nicht alle Befürchtungen bisher real
Manche Befürchtungen über Cyber-Angriffe auf Windparks und vielleicht sogar Photovoltaikanlagen blieben bisher bloßes Geraune von Sicherheitsexperten und Medien. So hatte die Dokumentation „Blackout – Angriff auf unser Stromnetz“ im Zweiten Deutschen Fernsehen 2019 gewarnt: „Die Umstellung auf erneuerbare Energien macht das Stromnetz anfälliger für Hacker“ – zugegeben nicht ganz falsch. Die Erklärstimme im Film argumentierte, dass die Anlagen im Windpark eng miteinander vernetzt seien, was die Durchschlagskraft für Hackerangriffe erhöhe. Angreifer könnten sie von überall her lahmlegen, hieß es mit Verweis auf ihre dezentralen Standorte. Nach Minute 6 von mehr als 28 Minuten war das Kapitel Windkraft allerdings ohne Beleg eines Angriffs abgeschlossen.
Weitere Informationen: kritis.bund.de
Kritische Infrastruktur
Kritis-Einrichtungen sind Anlagen einer bestimmten Größe in den Sektoren Energie, Informationstechnik (IT) und Telekommunikation, Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung. Dies legt das BSI-Gesetz für die IT-Sicherheit fest.